12 największych zagrożeń 2017. Poznaj pomysły cyberprzestępcy

Przeczytaj także: 2017: na co narażą nas cyberprzestępcy?

Aktualne i pojawiające się zagrożenia
Wzrost liczby destrukcyjnych ataków DDoS na urządzenia Internetu Rzeczy

W minionym roku Mirai obnażył potencjał destrukcyjny, jaki towarzyszy atakom DDoS. Wzrost liczby tego rodzaju ataków to bezpośrednie następstwo mało rozważnego użytkowania urządzeń Internetu Rzeczy (IoT) przez konsumentów. Warto zdawać sobie sprawę, że ataki Mirai wykorzystywały skromną liczbę słabo zabezpieczonych urządzeń, które były słabo zabezpieczone, używając do tego podstawowej techniki odgadywania haseł. Należy się jednak spodziewać, że cyberprzestępcy będą próbować rozszerzenia zasięgu swoich działań, ponieważ ciągle wiele przedmiotów IoT pracuje w oparciu o nieaktualizowane systemy lub aplikacje zawierające luki bezpieczeństwa. Z dużą dozą prawdopodobieństwa można założyć, że urządzenia IoT z jeszcze większą intensywnością będą wykorzystywane do ataków typu DDoS lub przejmowania innych urządzeń w sieci.

Wzrost znaczenia ataków skierowanych bezpośrednio na użytkowników

Często zdarza się, że sam użytkownik jest najbardziej podatnym na ataki elementem systemu bezpieczeństwa. Cyberprzestępcy coraz chętniej wykorzystują wyrafinowane i przekonywujące techniki służące do pozyskania informacji o konsumentach. Powszechną praktyką jest wysyłanie e-maili, które informują odbiorcę o rzekomym zadłużeniu. Wykorzystują one przerażenie odbiorcy, który pod wpływem emocji klika w link zawarty w wiadomości, otwierając tym samym hakerom drogę do łatwego ataku i wyłudzenia informacji. Ataki phishingowe, są coraz trudniejsze do rozpoznania, ze względu na ich podobieństwo do autentycznych wiadomości wysyłanych przez instytucje, a tym samym coraz trudniej im przeciwdziałać.

Infrastruktura finansowa narażona na większe ryzyko ataku

Zastosowanie ukierunkowanego phishingu i ataków skierowanych na zarząd lub dyrekcję firmy (whaling) wciąż wzrasta. Ataki te wykorzystują szczegółowe informacje o kierownictwie firmy do oszukiwania pracowników i nakłaniania ich do zapłaty cyberprzestępcom lub pogorszenia zabezpieczenia kont. W najbliższych miesiącach zwiększy się też liczba ataków na infrastrukturę krytyczną instytucji finansowych z użyciem SWIFT. Tego typu działania w lutym 2016 kosztowały Bank Centralny Bangladeszu 81 mln USD. Stowarzyszenie SWIFT przyznało niedawno, że w zeszłym roku doszło do kilku innych, skutecznych ataków tego typu i spodziewa się, że może być ich jeszcze więcej. W liście skierowanym do współpracujących z nim banków wspomina bowiem, że „zagrożenie ciągle wzrasta i adaptuje się do zmian”.

Użytkowanie niezabezpieczonej infrastruktury internetu

Niemal wszyscy internauci polegają na podstawowych protokołach - to oczywiste. Ich wszechobecność sprawia, że prawie niemożliwa jest ich reorganizacja lub zastąpienie nowocześniejszymi. Archaiczne protokoły, będące podstawą internetu i sieci biznesowych są wyjątkowo podatne na ataki hakerskie. Ataki wykorzystujące BGP (Boarder Gateway Protocol) mogą potencjalnie zakłócić, przejąć kontrolę lub całkowicie wyłączyć z użytku dużą część internetu. Przykładem działania tego typu jest październikowy atak DDoS na Dyn, który wspomagany przez tysiące przejętych urządzeń IoT, sparaliżował dostawcę DNS, a wraz nim dostęp do części Internetu. Był to jeden z największych ataków tego typu, a eksperci twierdzą, że była to jedynie próba sił przed nadchodzącymi atakami. Dostawcy usług internetowych mogą podjąć pewne kroki, aby się przed nimi zabezpieczyć, ale może nie udać się zapobiec wszystkim szkodom, jeśli przestępcy odkryją najpoważniejsze luki w bezpieczeństwie internetu.

Zwiększenie złożoności ataków

Ataki coraz częściej łączą wiele elementów - technicznych i socjotechnik oraz bardzo często długotrwałe i ostrożne sondowanie sieci organizacji. Atakujący penetrują serwery i stacje robocze ofiary na długo przed tym jak zaczynają wykradać dane, lub zachowywać się agresywnie. Zarządzany przez ekspertów atak ma charakter strategiczny, a nie taktyczny i może spowodować znacznie większe szkody. Włamania tego typu znacznie różnią się od tych, które mogliśmy obserwować do tej pory – nie opierają się już na zaprogramowanych i zautomatyzowanych infekcjach malware, ale raczej na cierpliwym poznawaniu zabezpieczeń i unikaniu wykrycia.

Zwiększenie ilości ataków z użyciem wbudowanych języków i narzędzi administratorskich

Obserwujemy wzrost liczby ataków typu exploit opartych na PowerShell – języku Microsoft do automatyzacji zadań administratorskich. Jako język skryptowy, PowerShell jest w stanie ominąć zabezpieczenia plików wykonywalnych (z rozszerzeniem exe.). Pojawia się również coraz więcej ataków z użyciem testów penetracyjnych i innych narzędzi używanych przez adminów dostępnych w sieci. Narzędzia te nie muszą być koniecznie oznaczone jako przejęte przez przestępców, dlatego zwykle nie wzbudzają podejrzeń.

Ewolucja ransomware

W związku z tym, że coraz więcej użytkowników zna ryzyko ataku z użyciem ransomware przez pocztę elektroniczną, przestępcy starają się znaleźć inne formy dotarcia do użytkowników. Niektórzy eksperymentują z malware, które ponownie infekuje komputer już po wpłaceniu przez użytkownika okupu. Inni zaczynają korzystać z możliwości wbudowanych narzędzi, aby uniknąć wykrycia przez zabezpieczenia typu endpoint, które koncentrują się na plikach wykonywalnych. Ostatnio oszuści zaproponowali ofierze ataku, by zainfekowała komputery dwóch swoich znajomych w zamian za odblokowanie danych. W ten sposób przestępcy łatwo uzyskali dostęp do dwóch komputerów zamiast jednego i zażądali okupu od dwóch ofiar. Autorzy szkodliwego oprogramowania zaczynają również używać innych technik niż szyfrowanie danych – na przykład usuwanie plików czy zmiana ich nagłówków. Wreszcie – w sieci nadal krąży znany już ransomware, a użytkownicy mogą stać się ofiarą ataków, których skutki mogą być nieodwracalne.

Pojawienie się ataków na osobiste urządzenia IoT

Użytkownicy domowych urządzeń Internetu Rzeczy mogą nie zauważyć lub nawet nie być zainteresowani faktem, że np. ich elektroniczna niania została przejęta przez hakerów i wykorzystana do ataku na cudzą stronę internetową. Jednak gdy pojedyncze urządzenie w sieci domowej zostanie przejęte, może zagrozić innym sprzętom, takim jak laptopy, zawierającym istotne dane osobowe. Możemy spodziewać się, że liczba takich włamań, jak również przejęć kamer i mikrofonów będzie rosła, umożliwiając dokładne szpiegowanie gospodarstw domowych.

Wzrost liczby złośliwych reklam

Malvertising, czyli reklamy, rozprzestrzeniające złośliwe oprogramowanie poprzez sieci reklamowe i strony www, są znane od wielu lat. W 2016 ich liczba znacząco wzrosła. Ataki tego typu wskazują na luki bezpieczeństwa całego ekosystemu reklamowego. Ich przykładem są wyłudzenia za pomocą fałszywych kliknięć, które nie odpowiadają zainteresowaniu użytkownika. Złośliwe reklamy narażają użytkowników na równi z okradaniem reklamodawców.

Wadliwe szyfrowanie

Szyfrowanie plików powoli staje się wszechobecne, co sprawia, że produkty bezpieczeństwa nie są w stanie kontrolować całego ruchu w internecie, co ułatwia przestępcom pozostanie niewykrytym. Nie dziwi więc, że cyberprzestępcy korzystają z coraz nowszych sposobów kreatywnego wykorzystania szyfrowania. Produkty bezpieczeństwa będą musiały ściśle integrować możliwości sieci i klienta, by szybko rozpoznawać podejrzane zachowanie kodu po dekrypcji na stacji roboczej.

Ataki exploit na systemy wirtualne w chmurze

Ataki przeciwko fizycznemu hardware (np. Rowhammer) zwiększają prawdopodobieństwo pojawienia się nowych ataków typu exploit na wirtualne systemy w chmurze. Przestępca może nadużyć skompromitowanego hosta, lub konta gościa działającego na współdzielonym hoście aby uzyskać dostęp do danych innych. Jako że wirtualizacja serwerów oferowana m.in. przez Docker zyskuje coraz większą popularność, przestępcy będą starali się odkryć i wykorzystać luki bezpieczeństwa tej stosunkowo nowej tendencji w IT.

Techniczne ataki polityczne i społeczne

Ataki oparte na nowej technologii zyskują co raz częściej motywacje polityczne. Społeczeństwa stają w obliczu rosnących zagrożeń takich jak dezinformacja („Fake news”) czy zagrożenie dla systemu głosowania. Badacze wykazali, że wyborcy mogą wielokrotnie głosować w wyborach lokalnych za pomocą systemu online. Nawet, jeśli rządy państw nie angażują się w ataki na wyniki wyborów w innych państwach, przekonanie, że jest to możliwe jest potężną bronią polityczną.