گزارش CrowdStrike از دگردیسی تهدیدهای سایبری با هوش مصنوعی و رشد چشمگیر حملات بدون بدافزار

به گزارش پیوست، این گزارش نشان می‌دهد که برخلاف سالیان گذشته، در سال ۲۰۲۴ بیشتر حملات بدون استفاده از بدافزار انجام گرفته‌اند. گزارش CrowdStrike می‌گوید ۷۹ درصد از حملات سایبری سال ۲۰۲۴ بدون استفاده از بدافزار انجام شده‌اند، در حالی که این میزان در سال ۲۰۱۹ فقط ۴۰ درصد بود. مهاجمان به‌طور فزاینده‌ای برای دور زدن مکانیزم‌های امنیت سنتی، از ابزارهای قانونی مدیریت از راه دور استفاده می‌کنند.

زمان لازم برای فراگیر شدن حمله پس از ورود اولیه مهاجم به سیستم نیز طبق این گزارش کاهش چشمگیری داشته است. در سال ۲۰۲۴، میانگین این زمان به ۴۸ دقیقه کاهش یافته و حتی در برخی موارد، مهاجمان توانسته‌اند در کمتر از یک دقیقه به شبکه‌های داخلی نفوذ کنند.

افزایش چشمگیر حملات هویتی و مهندسی اجتماعی

این گزارش نشان می‌دهد که حملات مبتنی بر سرقت هویت و مهندسی اجتماعی در سال ۲۰۲۴ به میزان چشمگیری افزایش یافتند. یکی از موارد قابل‌توجه افزایش پنج‌برابری حملات وویشینگ (Vishing) یا فیشینگ صوتی است. افزایش محبوبیت این روش هم‌زمان با عرضه ابزارهای پیشرفته هوش مصنوعی برای تولید صوت باعث شده تا فیشینگ صوتی به‌عنوان روش اصلی ورود اولیه مهاجمان در چنین حملاتی شناخته شود.

در سال گذشته همچنین تعداد تماس‌های جعلی پشتیبانی IT نیز افزایش یافت است. این گزارش نشان می‌دهد که مهاجمان در چنین حملاتی سعی کردند با فریب کارکنان IT، برای تغییر رمز عبور یا غیرفعال‌سازی احراز هویت چندمرحله‌ای (MFA)  درخواست بدهند.

همچنین، CrowdStrike می‌گوید تبلیغات اکسس بروکر‌ها، فعالانی که اطلاعات ورود به حساب کاربران را به فروش می‌رسانند، در سال گذشته تا ۵۰ درصد افزایش یافته است. طبق این گزارش داد‌ه‌های دسترسی به سیستم کاربران هم در وب تاریک و هم در وب معمولی در دسترس قرار گرفتند.

افزایش چشمگیر فعالیت هکری مرتبط با چین و نقش پررنگ هوش مصنوعی

این گزارش نشان می‌دهد که فعالیت درصدی فعالیت‌های هکری مرتبط با چین در سال ۲۰۲۴ تا ۱۵۰ درصد افزایش یافته است. در برخی صنایع حتی نرخ افزایش بیشتر از این بوده و حملات ۲۰۰ تا ۳۰۰ رشد کرده‌اند. گزارش CrowdStrike می‌گوید این گروه‌های هکری با تکیه بر تمهیدات پیشرفته امنیت عملیاتی (OPSEC)، ردگیری حملات آن‌ها را دشوارتر گذشته کرده‌اند.

استفاده از هوش مصنوعی مولد نیز همانطور که از هشدار‌های پیشین انتظار می‌رفت در حملات سایبری تا سطح تازه‌ای افزایش یافته است. این فناوری در مواردی مانند مهندسی اجتماعی، فیشینگ، کلاه‌برداری‌های دیپ‌فیک و کارزارهای انتشار اطلاعات جعلی به کار گرفته می‌شود.

برای مثال، گروه هکری FAMOUS CHOLLIMA، منتسب به کشور کره شمالی، از مصاحبه‌های شغلی جعلی با کمک هوش مصنوعی برای نفوذ به شرکت‌های فناوری استفاده کرده است.

حمله به زیرساخت ابری و نرم‌افزار به عنوان یک خدمت (SaaS)

در سال ۲۰۲۴، حملات سایبری علیه زیرساخت‌های ابری و خدمات نرم‌افزار به‌عنوان یک خدمت (SaaS) افزایش یافتند. ۳۵ درصد از حوادث امنیتی فضای ابری مربوط به سواستفاده از حساب‌های کاربری قانونی بود و مهاجمان از این دسترسی برای دور زدن مکانیزم‌های امنیتی استفاده کرده‌اند.

سرویس‌هایی مانند Microsoft 365، SharePoint و APIهای سازمانی اهداف اصلی این حملات گزارش شده‌اند. مهاجمان از دسترسی به این خدمات برای دریافت اطلاعات حساس کمک گرفته‌اند.

گزارش CrowdStrike همچنین نشان می‌دهد که دسترسی اولیه از طریق آسیب‌پذیری‌های روز صفر یا نقاط ضعف برطرف نشده بیش از نیمی از نقاط ضعف مشاهده شده در سال گذشت را تشکیل می‌دهند. طبق این گزارش آسیب‌پذیری‌های روز صفر و سو استفاده از نقطه ضعف‌های برطرف نشده (پچ‌نشده) از مهمترین نگرانی‌ها هستند و گروه‌های تحت حمایت دولت با استفاده از این نقاط ضعف برای ورود به تجهیزات شبکه و زیرساخت ابری تلاش می‌کنند.

پیشنهادات برای مقابله با تهدیدات سایبری در سال ۲۰۲۵

کارشناسان امنیتی CrowdStrike توصیه می‌کنند که سازمان‌ها برای مقابله با این تهدیدات، مکانیزم‌های حفاظتی قوی‌تر در حوزه احراز هویت و دسترسی ایجاد کنند. پیشنهاد کارشناسان استفاده از فرایند تاید هویت چند مرحله‌ای (MFA) مقاوم در برابر فیشینگ است. همچنین شرکت‌ها باید همواره با دقت بالایی بر حساب‌های دارای دسرتسی ویژه نظارت کنند و تهدید‌های فعال را برای شناسایی حملات بدون بدافزار تشخیص دهند.

امنیت فضا و زیرساخت ابری نیز از اهمیت ویژه‌ای برخوردار است. کارشناسان CrowdStrike معتقدن که بیشتر دسترسی‌ها باید براساس کمترین سطح دسترسی (Least Privilege Access) تنظیم شوند و کلید‌های دسترسی به رابط برنامه‌نویسی اپلیکیشن (API) به نظارت جدی نیاز دارند.

از آنجایی که سرویس‌های نرم‌افزار به عنوان یک خدمت نیز در این گزارش به عنوان یکی از اهداف مهم یاد شده‌اند، شرکت‌ها باید محافظت و نظارت بر این خدمات را برای جلوگیری از دسترسی غیرمجاز افزایش دهند.

همچنین با توجه به اینکه هکرها و مهاجمان بیش از پیش از طریق اتوماسیون و ابزارهای مبتنی بر هوش مصنوعی برای حملات سایبری اقدام می‌کنند، سازمان‌ها نیز باید از تحلیل‌های رفتاری پیشرفته و سامانه‌های نظارتی هوش مصنوعی برای شناسایی و متوقف کردن حملات در مراحل اولیه بهره ببرند.

با توجه به این روندها، انتظار می‌رود که در سال ۲۰۲۵ ماهیت تهدید‌ها هم از لحاظ پیچیدگی و هم از لحاظ هدفمندی وارد مرحله تازه‌ای شود. در نتیجه سازمان‌ها باید با بروزرسانی فعال راهبردهای امنیتی، از دارایی‌های دیجیتال خود در برابر مهاجمان سایبری با دقت بیشتری محافظت کنند.