Cyberataki: w III kw. phishing nieco osłabł, ale miał godnych następców

Przeczytaj także: Fortinet: najbardziej dotkliwe cyberataki II kw. 2019 r.

Jak podaje Fortinet, bieżące cyberataki starają się zaskakiwać ofiary, które w dużym stopniu wyczulone są już m.in. na phishing. Do tej pory zdecydowana większość złośliwego oprogramowania trafiała na firmowe skrzynki za pośrednictwem poczty e-mail, z tego też względu pracodawcy położyli duży nacisk na wyeliminowanie tego rodzaju zagrożeń, wdrażając zarówno zaawansowane narzędzia ochronne, jak i organizując szkolenia dla pracowników. Działania te okazały się dość skuteczne i skłoniły cyberprzestępców do zmiany wektora ataków na taki, który skuteczniej będzie infekować firmowe środowiska.

Stąd też wzięły się cyberataki wycelowane w publiczne usługi brzegowe, jak np. infrastruktura internetowa, protokoły komunikacji sieciowej. Popularnością wśród cyberprzestępców cieszy się również omijanie narzędzi blokujących reklamy. Na przykład w ostatnim kwartale inżynierowie FortiGuard Labs zaobserwowali wykorzystanie luk umożliwiających zdalne wykonanie kodu w urządzeniach brzegowych we wszystkich regionach świata. I chociaż ta taktyka nie jest nowa, zmiana priorytetu może być skutecznym sposobem na zaskoczenie działu IT w przedsiębiorstwie i zwiększenie szans na sukces. Może to być szczególnie problematyczne przed intensywnym sezonem zakupów online, kiedy w internetowych sklepach odnotowana będzie znacznie większa aktywność.

Kolejnym, podejmowanym przez cyberprzestępców krokiem, są prace nad udoskonaleniem złośliwego oprogramowania tak, aby zmniejszyć prawdopodobieństwo jego wykrycia oraz przeprowadzać coraz bardziej wyrafinowane i złośliwe ataki, takie jak zmodyfikowana złośliwa kampania Emotet. Jest to niepokojące zjawisko dla przedsiębiorstw, ponieważ coraz częściej wykorzystywany jest złośliwy kod do wprowadzania innych niepożądanych aplikacji do infekowanych systemów, aby zmaksymalizować szansę finansowego zysku. Ostatnio atakujący zaczęli używać Emotet jako mechanizmu dostarczania złośliwego oprogramowania ransomware, aplikacji wykradających informacje oraz trojanów bankowych, w tym TrickBot, IcedID i Zeus Panda. Ponadto, nauczyli się też ingerować w wątki komunikacji e-mail prowadzonej przez zaufane osoby i umieszczać w nich swój kod. Dzięki temu znacznie wzrosło prawdopodobieństwo otwarcia osadzonych w e-mailach linków lub złośliwych załączników.

Z komunikatu Fortinet wynika również, że cyberataki mają dziś służyć przede wszystkim maksymalizacji potencjału zarobkowego. Podążając śladami przynoszącego niemałe zyski oprogramowania ransomware GandCrab, które zostało udostępnione w dark webie w modelu Ransomware-as-a-Service (RaaS), organizacje cyberprzestępcze uruchamiają nowe usługi, aby zwiększyć swój potencjał zarobkowy. Tworząc sieć stowarzyszonych partnerów, są w stanie szeroko rozpowszechniać swoje narzędzia ransomware i radykalnie zwiększać zarobki. FortiGuard Labs zaobserwował, że co najmniej dwie znaczące rodziny oprogramowania ransomware – Sodinokibi i Nemty – są wdrażane jako rozwiązania RaaS. To potencjalnie dopiero początek zalewu podobnych usług w przyszłości.

W materiale czytamy również, że skuteczną strategią pozostają także cyberataki wycelowane w starsze, wrażliwsze i kiepsko zabezpieczone systemy. Dane Fortinet potwierdzają, że odkryli, że wiekowe, znane od 12 lub więcej lat luki są dziś częściej atakowane, niż te świeżo odkryte. Podobny trend dotyczy także botnetów. Bardziej niż jakikolwiek inny rodzaj zagrożenia, najlepsze botnety co kwartał zmieniają swoją lokalizację, ale ich konstrukcja pozostaje bez większych zmian. Sugeruje to, że zbudowana przez cyberprzestępców infrastruktura kontrolująca pracę botnetów jest bardziej trwała niż różnego typu narzędzia, zaś oni sami nie mają problemów z wykorzystaniem istniejącej infrastruktury, gdy tylko jest to możliwe, aby zwiększyć wydajność i zmniejszyć ogólne koszty.

Cyberprzestępcy nadal starają się być o krok przed profesjonalistami z dziedziny cyfrowego bezpieczeństwa. Opracowują nowe złośliwe oprogramowanie i ataki zero-day, ale nie rezygnują ze stosowanych wcześniej udanych metod atakowania, aby zmaksymalizować prawdopodobieństwo sukcesu. Dlatego przedsiębiorstwa powinny zabezpieczać się na różne możliwe sposoby - oprócz podstawowych strategii, takich jak łatanie oprogramowania, segmentowanie rozwiązań IT oraz szkolenie pracowników, należy również korzystać z automatyzacji procesu wykrywania zagrożeń i sztucznej inteligencji, aby zwiększyć swoją zdolność do korelowania wydarzeń w sieci i reagowania w czasie rzeczywistym. Takie podejście zapewni jednak sukces tylko wtedy, gdy firmy zintegrują wszystkie swoje narzędzia ochronne w jedną strukturę bezpieczeństwa, która pomoże widzieć więcej i dostosowywać się do szybko zmieniającej się rzeczywistości - powiedział Derek Manky, Chief, Security Insights & Global Threat Alliances, Fortinet.

Informacje o Raporcie
Najnowszy „Threat Landscape Report” firmy Fortinet to regularny przegląd informacji zebranych w trzecim kwartale 2019 r. przez inżynierów FortiGuard Labs dzięki sieci sensorów rozlokowanych na całym świecie. Raport obejmuje również indeks krajobrazu zagrożeń (Threat Landscape Index) złożony ze wskaźników dotyczących jego trzech głównych obszarów (exploitów, złośliwego oprogramowania i botnetów) oraz prezentujący ich rozpowszechnienie i częstotliwość występowania w danym kwartale.