Cyberprzestępczość przechodzi metamorfozę. Oto aktualne zagrożenia

Przeczytaj także: 6 najpopularniejszych sposobów na zarażenie programami malware

Przestępcy śledzą aktywność w sieci – Badanie najpowszechniejszych rodzajów złośliwego oprogramowania pomogło ujawnić najpopularniejsze techniki cyberprzestępców umożliwiające zdobycie „przyczółka” w przedsiębiorstwach. Ich głównym celem były platformy firmy Microsoft i dokumenty, z których większość ludzi korzysta podczas przeciętnego dnia pracy.

Kolejnym polem walki z hakerami są przeglądarki internetowe. Kategoria zagrożeń HTML obejmuje strony phishingowe zawierające złośliwe oprogramowanie oraz skrypty wstrzykujące złośliwy kod lub przekierowujące użytkowników do zainfekowanych witryn. Tego typu zagrożenia nieuchronnie nasilają się w czasach kryzysów o globalnym zasięgu lub w okresach wzmożonego handlu online. Natomiast pracownicy, którzy zazwyczaj korzystają z usług filtrowania stron internetowych podczas przeglądania ich w sieci firmowej, są bardziej narażeni na niebezpieczeństwo, gdy robią to bez wykorzystania ochronnych filtrów.

Domowe biuro pozostaje celem hakerów – W 2020 roku granice między domem a biurem uległy znacznemu zatarciu. Oznacza to, że skuteczne zaatakowanie domowej sieci przybliża przestępców do infrastruktury korporacyjnej. W drugiej połowie 2020 roku na szczycie listy zagrożeń znalazły się złośliwe narzędzia wykorzystujące luki w urządzeniach Internetu Rzeczy (IoT), które znajdują się w wielu domach. Każde z nich wprowadza do sieci nową „przestrzeń”, która musi być chroniona. Wymaga to monitorowania każdego tego typu sprzętu i dbania o jego bezpieczeństwo.

Nie ustają ataki ransomware – Według danych FortiGuard Labs, w porównaniu z pierwszą połową 2020 roku nastąpił siedmiokrotny wzrost całkowitej liczby ataków z użyciem oprogramowania ransomware. Wpływ na to miało wiele czynników: ewolucja i dostępność oprogramowania w modelu usługowym Ransomware-as-a-Service (RaaS), próby uzyskiwania wysokich okupów od ofiar o dużej skali działalności czy też groźba ujawnienia skradzionych danych w przypadku niespełnienia żądań.

Spośród analizowanych rodzajów ransomware’u najbardziej aktywnymi były, występujące w różnym stopniu rozpowszechnienia: Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING i BazarLoader. Z kolei najczęściej atakowanymi podmiotami z różnych obszarów gospodarki były: ochrona zdrowia, firmy świadczące usługi dla biznesu oraz społeczeństwa, organizacje sektora publicznego i przedsiębiorstwa z branży finansowej.

Aby skutecznie radzić sobie ze zmieniającym się ryzykiem związanym z ransomware’em, firmy będą musiały systematycznie wykonywać kompletne i odpowiednio zabezpieczone kopie zapasowe danych przechowywane poza siedzibą firmy lub przynajmniej na nośnikach odłączonych od sieci. Powinny także wdrażać strategię Zero Trust Network Access oraz segmentację sieci.

Ataki na cyfrowe łańcuchy dostaw (supply chain) w centrum uwagi – Próby zmanipulowania dostarczanych w ramach jakiegoś procesu informacji mają długą historię, ale dopiero udany atak na firmę SolarWinds przeniósł dyskusję o nich na nowe tory. W miarę jego rozwoju, od ofiar wyciekło wiele informacji. FortiGuard Labs uważnie monitorował te doniesienia i wykorzystywał je do zdefiniowania tzw. wskaźnika ataku (Indicator of Compromise) w celu wykrycia innych, powiązanych z nim działań.

Ruch w internecie, związany z dystrybuowanym w ramach tego ataku w grudniu 2020 r. backdoorem SUNBURST pokazuje, że kampania miała prawdziwie globalny charakter, zaś stowarzyszenie Five Eyes wskazało na szczególnie duży ruch, którego charakter odpowiadał zdefiniowanym wcześniej wskaźnikom ataku. Istnieją również dowody na to, że cyberprzestępczość wybrała także inne instytucje jako cel swoich ataków prowadzonych w podobny sposób, co ukazuje jej zwiększone zainteresowanie cyfrowymi łańcuchami dostaw, a więc konieczność zintensyfikowania prac nad ich zabezpieczeniem oraz zarządzaniem ryzykiem ich zakłócenia.

Duzi gracze na globalnej scenie – Cyberprzestępcze grupy, specjalizujące się w zaawansowanych uporczywych atakach APT (Advanced Persistent Threat), nadal wykorzystują pandemię COVID-19 na wiele różnych sposobów. Do najczęstszych należą kradzieże dużych baz danych osobowych lub zawierających własność intelektualną oraz pozyskiwanie informacji wywiadowczych, zgodnie z aktualnymi priorytetami, charakterystycznymi dla kraju, z którego pochodzi dana grupa prowadząca ataki APT.

Pod koniec 2020 r. nastąpił wzrost aktywności takich cyberprzestępców wobec instytucji zaangażowanych w prace związane z COVID-19, w tym badania nad szczepionkami czy też opracowanie krajowej lub międzynarodowej polityki zdrowotnej dotyczącej pandemii. Wśród zaatakowanych organizacji były np. agencje rządowe, firmy farmaceutyczne, uniwersytety i medyczne ośrodki badawcze.

Spłaszczanie krzywej wykorzystania podatności – Łatanie luk bezpieczeństwa w sprzęcie i oprogramowaniu powinno być priorytetem dla przedsiębiorstw i instytucji, ponieważ cyberprzestępczość wciąż aktywnie z nich korzysta. Śledzenie rozwoju 1500 eksploitów „na wolności” w ciągu ostatnich dwóch lat uwidacznia, w jakim tempie i jak daleko mogą się one rozprzestrzenić. Wydaje się, że większość z nich nie rozpowszechnia się bardzo szybko.

Spośród wszystkich eksploitów prześledzonych w ciągu ostatnich dwóch lat tylko 5% zostało wykrytych przez więcej niż 10% firm. Losowy wybór przy równomiernym rozkładzie daje około 1 na 1000 szans, że przedsiębiorstwo zostanie zaatakowane. Około 6% eksploitów trafia do więcej niż 1% firm w ciągu pierwszego miesiąca, a 91% nie przekroczyło progu 1% nawet po roku. Niezależnie od tego, rozsądne jest koncentrowanie się na łataniu znanych luk i priorytetowe traktowanie tych najszybciej rozprzestrzeniających się.

Walka z cyberprzestępczością wymaga zintegrowanej strategii i szerokiej świadomości

Przedsiębiorstwa i instytucje stoją w obliczu cyberzagrożeń na wszystkich możliwych frontach. Wykrywanie ataku pozostaje kluczowym czynnikiem dla jego zrozumienia oraz doboru właściwych sposobów obrony. Krytycznego znaczenia nabiera także widoczność środowiska IT, szczególnie gdy znaczna liczba użytkowników znajduje się poza tradycyjnym środowiskiem pracy. Każde urządzenie otwiera nową przestrzeń, która musi być monitorowana i zabezpieczona.

Wykorzystanie sztucznej inteligencji (AI) oraz zautomatyzowanego wykrywania zagrożeń w każdym zakątku infrastruktury sieciowej umożliwia firmom natychmiastową reakcję na ataki i jest niezbędne do łagodzenia ich skutków z odpowiednią szybkością i na właściwą skalę. Priorytetem powinno być również prowadzenie regularnych szkoleń dla całego personelu z zasad cyberhigieny, ponieważ zachowanie bezpieczeństwa leży w gestii nie tylko zespołów IT.

Przez cały rok 2020 byliśmy świadkami dramatycznego rozwoju krajobrazu cyberzagrożeń. Pandemia odegrała w tym główną rolę, a w miarę upływu roku cyberprzestępczość udoskonalała ataki, które miały coraz bardziej destrukcyjne skutki. Zmaksymalizowali oni zakres podejmowanych działań – w tej chwili uderzają nie tylko w rdzeń sieci, ale także środowisko zdalnej nauki i pracy, a także cyfrowe łańcuchy dostaw. Ryzyko związane z cyberbezpieczeństwem nigdy nie było większe niż obecnie, ponieważ w rozszerzającym się środowisku cyfrowym wszystko jest ze sobą połączone. Zintegrowane i bazujące na sztucznej inteligencji podejście platformowe do bezpieczeństwa, powiązane ze skutecznymi mechanizmami wykrywania niebezpieczeństw, są niezbędne do obrony na całym brzegu sieci oraz do identyfikowania i usuwania w czasie rzeczywistym zagrożeń, przed którymi stoją dziś przedsiębiorstwa - Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs.

Informacje o raporcie
Najnowszy raport Global Threat Landscape Report zawiera zbiorczą analizę FortiGuard Labs, sporządzoną na podstawie danych z drugiej połowy 2020 roku, pochodzących z należącej do Fortinetu rozległej sieci czujników, gromadzących miliardy informacji o zagrożeniach obserwowanych na całym świecie. W podobny sposób, jak ramy MITRE ATT&CK klasyfikują taktykę i techniki cyberprzestępców w trzech grupach obejmujących rozpoznanie, przygotowanie i próba uzyskania dostępu, tak FortiGuard Labs wykorzystuje ten model do opisania w dokumencie Global Threat Landscape Report, w jaki sposób hakerzy znajdują luki, budują złośliwą infrastrukturę i eksplorują środowisko ofiary. Raport uwzględnia również perspektywę globalną i regionalną.