Cyberataki: nowe możliwości dzięki COVID-19 i pracy zdalnej

Przeczytaj także: Cyberprzestępczość 2020. Prognozy i rady

Jak podkreśla w komentarzu do najnowszego raportu Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs, pierwsze półrocze bieżącego roku zaowocowało bezprecedensową wręcz skalą cyberataków. Zaobserwowano również istotną ewolucję metod ich przeprowadzania - cyberprzestępcy nie tracili czasu, próbując zwiększać zyski poprzez dostosowywanie swoich taktyk do obecnych, skupiających się przede wszystkim na COVID-19, wydarzeń.

COVID-19, czyli sposoby na nowe cyberataki:

O tym, że cyberprzestępcy uciekają się do socjotechnicznych metod, bazując przy tym na najbardziej gorących z bieżących wydarzeń, wiadomo było już od dawna. Jednak w pierwszej połowie 2020 r. wznieśli się na kolejny poziom. Zarówno hakerzy tworzący ataki phishingowe, jak też współpracujący z rządami znaleźli wiele sposobów, aby na ogromną skalę skorzystać na pandemii.

Wśród najpopularniejszych kampanii znalazły się ataki phishingowe, oszustwa polegające na podszywaniu się w korespondencji elektronicznej pod innych pracowników firmy, ataki, za którymi stały instytucje rządowe oraz, oczywiście, ransomware.

Globalny charakter pandemii ułatwił zwiększenie zakresu i metod cyberataków. Pokazuje to, jak szybko przestępcy są w stanie zareagować na wydarzenia mające wpływ na społeczeństwa na całym świecie, aby zwiększyć siłę rażenia ataków.

Firmowe sieci trafiły do domów:

Wzrost liczby zdalnych pracowników niemal natychmiast sprawił, że zmieniły się proporcje, w jakich łączność przez sieć z zasobami IT odbywała się lokalnie oraz przez Internet. Cyberprzestępcy natychmiast wykorzystali tę okazję. W pierwszej połowie 2020 r. na szczycie listy cyberataków wykrywanych przez rozwiązania IPS (Intrusion Prevention System) znalazły się próby włamania do wielu modeli routerów klasy konsumenckiej oraz urządzeń IoT.

Ponadto, wśród botnetów dominowały Mirai i Gh0st, które umożliwiały atakowanie poprzez stare i nowe podatności sprzętów Internetu rzeczy. Trendy te są godne uwagi, ponieważ pokazują, w jaki sposób zasięg sieci rozrósł się i trafił do gospodarstw domowych. Cyberprzestępcy poszukiwali tam urządzeń, które umożliwiałyby dostęp do infrastruktury sieciowej przedsiębiorstw. Firmy muszą się więc przygotować i podjąć konkretne kroki w celu ochrony swoich użytkowników, urządzeń i informacji w sposób podobny, jak zabezpieczają firmowe sieci.

Przeglądarki celem cyberprzestępców:

Rosnąca popularność pracy zdalnej otworzyła przestępcom bezprecedensową szansę, aby na wiele sposobów wykorzystać rozwiązania IT osób pracujących z domu. Zauważono między innymi, że liczba kampanii phishingowych, w których manipulatorskie komunikaty dostarczane były przez strony internetowe, przewyższyła liczbę ataków tego typu dokonywanych tradycyjnie poprzez zwykłą pocztę e-mail.

Phishing na stronach internetowych był najbardziej popularny w styczniu i lutym, a dopiero w czerwcu wypadł z pierwszej piątki. Może to świadczyć o próbach przeprowadzania takich ataków, gdy najbardziej narażone na nie osoby otwierają strony internetowe w domu. Pokazuje to, że nie tylko przeglądarki, ale też urządzenia coraz częściej będą głównym celem cyberprzestępców, ponieważ nadal kierunkują oni cyberataki na pracowników zdalnych.

Informacje o lukach nadal w cenie:

Lektura listy CVE pokazuje, że w ciągu ostatnich kilku lat wzrosła liczba luk wykrytych w rozwiązaniach IT, co wywołało dyskusję na temat priorytetowego traktowania aktualizacji mających na celu ich załatanie. Mimo że w roku 2020 liczba wykrytych luk będzie prawdopodobnie rekordowa, to równocześnie – jak do tej pory – bardzo niewiele z nich zostało wykorzystanych przez cyberprzestępców (wskaźnik ten może być najniższy w 20-letniej historii tworzenia list CVE, tymczasem w 2018 roku wyniósł on aż 65%).

Jednocześnie ponad jedna czwarta firm odnotowała próby cyberataków bazujących na lukach opisanych na listach CVE już 15 lat temu. Wynika z tego, że wykorzystanie przez cyberprzestępców opublikowanych informacji o lukach i stworzenie na ich bazie złośliwych narzędzi nadal wymaga czasu, ale jest to popularny sposób atakowania.

Ransomware wciąż jest groźne:

Dobrze znane zagrożenia, takie jak ransomware, nie utraciły popularności w ciągu ostatnich sześciu miesięcy. Wiadomości i załączniki o tematyce związanej z COVID-19 były stosowane jako przynęta w wielu różnych kampaniach. Zaobserwowano np. oprogramowanie ransomware, które przed zaszyfrowaniem danych nadpisywało główny rekord rozruchowy komputera (Master Boot Record, MBR). Ponadto nastąpił wzrost liczby ataków, w których dane firmy będącej ofiarą nie tylko były szyfrowane, ale także wykradane i wykorzystywane do szantażu. Cyberprzestępcy grozili, że je upublicznią, jeśli nie otrzymają okupu.

Ten sposób postępowania należy traktować jako nowy, znaczący trend. Prowadzi on do wzrostu ryzyka nie tylko utraty dostępu do danych, ale także ujawnienia tych najbardziej wrażliwych. W skali globalnej podczas cyberataków ransomware nie oszczędzono żadnej branży, a statystyki pokazują, że wśród pięciu najbardziej poszkodowanych rodzajów przedsiębiorstw znalazły się firmy telekomunikacyjne, dostawcy usług płatniczych, placówki edukacyjne, rządowe i technologiczne. Niestety, rośnie też popularność oprogramowania ransomware sprzedawanego jako usługa. Oznacza to, że raczej nie należy oczekiwać spadku popularności tego typu zagrożeń.

Środowiskom OT zagraża nie tylko Stuxnet:

W czerwcu minęło 10 lat od powstania złośliwego narzędzia Stuxnet, które odegrało kluczową rolę w ewolucji zagrożeń bezpieczeństwa technik operacyjnych (OT). Obecnie sieci OT nadal pozostają celem cyberprzestępców – pokazało to m.in. wykryte na początku tego roku oprogramowanie ransomware EKANS. Przykładem zagrożenia polegającego na wykradaniu poufnych informacji ze szczególnie chronionych sieci jest też oprogramowanie szpiegowskie Ramsay.

Jak czytamy w raporcie, częstotliwość występowania zagrożeń ukierunkowanych na systemy kontroli procesów przemysłowych typu SCADA i ICS jest mniejsza niż w przypadku środowisk informatycznych, ale nie umniejsza to znaczenia tego trendu.

Sieć sięgająca gospodarstw domowych także powinna być zabezpieczona

Instytucje wywiadowcze i badawcze mogą pomóc w uzupełnieniu wiedzy o aktualnych cyberzagrożeniach poprzez dostarczenie szczegółowych informacji o aktualnych trendach oraz dogłębnych analiz metod ataku, informacji o zlecających je podmiotach i nowych taktykach. Nigdy w historii nie istniało większe zapotrzebowanie na rozwiązania dla pracowników zdalnych, które zapewniałyby bezpieczny dostęp do kluczowych zasobów, a jednocześnie wysoką skalowalność.

Jedynie platforma zaprojektowana, aby zapewnić kompleksowy wgląd w infrastrukturę i ochronę przed różnymi rodzajami cyberataków (w tym w środowiskach sieciowych, aplikacyjnych, wielochmurowych lub mobilnych) jest w stanie zabezpieczyć współczesne, szybko zmieniające się sieci.

Informacje o raporcie

Najnowszy „Global Threat Landscape Report” firmy Fortinet to regularnie publikowany przegląd informacji o miliardach sytuacji stwarzających zagrożenie, zebranych w pierwszej połowie 2020 r. przez ekspertów FortiGuard Labs dzięki sieci sensorów rozlokowanych na całym świecie. Obejmuje on globalną i regionalną perspektywę, jak też badania nad trzema aspektami: exploitami, złośliwym oprogramowaniem i botnetami.