Fortinet: cyberataki nie odpuszczają, ale jest szansa to zmienić

Przeczytaj także: Cyberataki: w III kw. phishing nieco osłabł, ale miał godnych następców

Oto najważniejsze informacje z raportu za pierwsze półrocze 2021 r:

1. W cyberatakach typu ransomware chodzi o coś więcej niż pieniądze

Dane FortiGuard Labs wskazują, że aktywność oprogramowania ransomware w czerwcu 2021 r. była ponad dziesięć razy wyższa niż rok temu. Świadczy to o konsekwentnym i stałym wzroście popularności tego narzędzia. Incydenty z użyciem ransomware’u sparaliżowały łańcuchy dostaw wielu przedsiębiorstw, szczególnie w branżach o krytycznym znaczeniu. Bardziej niż kiedykolwiek wpłynęły na życie codzienne, handel, produktywność pracowników itd.

Cyberprzestępcy najczęściej atakowali przedsiębiorstwa z sektora publicznego, branży telekomunikacyjnej, motoryzacyjnej, produkcyjnej oraz dostawców zarządzanych usług bezpieczeństwa (MSSP). Niektórzy jednak zmienili swoją strategię i odchodzą od inicjowania ataku poprzez wiadomości e-mail. Obecnie szczególne znaczenie ma dla nich zdobywanie danych zapewniających dostęp do sieci korporacyjnych i sprzedawanie ich, co przekłada się na rozwój modelu usługowego Ransomware-as-a-Service (RaaS).

Kluczowy wniosek jest taki, że ransomware pozostaje oczywistym i aktualnym zagrożeniem dla wszystkich firm, niezależnie od ich branży i wielkości. Muszą one przyjąć zatem proaktywne podejście do cyberbezpieczeństwa ‒ stosować rozwiązania do ochrony urządzeń końcowych w czasie ¬rzeczywistym, wykrywania incydentów i automatycznego reagowania na nie, wraz z podejściem Zero Trust Access, segmentacją sieci i szyfrowaniem.

2. Jedna na cztery firmy wykryła malvertising

W ubiegłym półroczu cyberprzestępcy najchętniej wykorzystywali techniki scareware oraz malvertising. Bazujące na nich cyberataki dotknęły ponad 25% firm. W tym kontekście należy zwrócić uwagę zwłaszcza na rodzinę trojanów Cryxos, które na zainfekowanych lub złośliwych stronach wyświetlały oszukańcze powiadomienia. Chociaż duża część wykrytych przypadków jest prawdopodobnie połączona z innymi podobnymi kampaniami wykorzystującymi JavaScript, to uznaje się je za malvertising.

Cyberprzestępcy próbują tym samym zareagować na popularność powszechnie praktykowanego hybrydowego trybu pracy i nauki, co przekłada się na zmianę trendów w ich taktyce. Teraz dążą już nie tylko do przestraszenia ofiary, ale też do wymuszenia na niej spełnienia swoich żądań. Ważne jest zatem edukowanie użytkowników sieci i zwiększenie ich świadomości na temat cyberbezpieczeństwa, aby zapobiec cyberatakom typu scareware i malvertising.

3. Trendy dotyczące botnetów wskazują, że cyberprzestępcy atakują brzeg sieci

Gwałtowne nasilenie aktywności odnotowano z kolei w przypadku botnetów. W ciągu pół roku odsetek podmiotów, które wykryły je w swojej sieci, wzrósł z 35% do 51%. Związane jest to z wykorzystywaniem przez cyberprzestępców złośliwego kodu o nazwie TrickBot. Pierwotnie był to trojan bankowy, ale został rozwinięty do postaci wyrafinowanego zestawu narzędzi do przeprowadzania wieloetapowych cyberataków.

Wprowadzenie zdalnego trybu pracy i nauki, a wraz z tym zmiana codziennych nawyków, dla cyberprzestępców wciąż stanowią okazję do działania. Z tego powodu najbardziej rozpowszechnionym botnetem był Mirai atakujący urządzenia Internetu rzeczy (IoT) używane przez osoby pracujące lub uczące się w domu. W 2020 roku wyprzedził botneta zdalnego dostępu Gh0st i utrzymuje pozycję lidera także w 2021 roku. Gh0st natomiast stanowi nadal poważne zagrożenie – umożliwia on przejęcie pełnej kontroli nad zainfekowanym systemem, przechwytywanie na żywo obrazu z kamery internetowej i mikrofonu oraz pobieranie plików. Dlatego, aby chronić sieci i aplikacje, potrzebne jest stosowanie podejścia Zero Trust Access. Znaczne ograniczenie uprawnień dostępu zabezpiecza rozwiązania IoT i inne urządzenia podłączone do sieci.

4. Zaburzenie funkcjonowania środowisk cyberprzestępczych przekłada się na zmniejszenie liczby zagrożeń

Chociaż cyberprzestępcy stają się coraz bardziej skuteczni, w 2021 r. walka z nimi przyniosła pewne sukcesy. W czerwcu twórca TrickBota został postawiony w stan oskarżenia pod wieloma zarzutami. Udało się również wyeliminować Emotet, jeden z najbardziej złośliwych programów w historii. Znaczącym krokiem było także podjęcie działań, które mają na celu przerwanie operacji związanych z należącym do kategorii ransomware oprogramowaniem Egregor, NetWalker i Cl0p. Stanowi to znaczący impuls do dalszej walki z cyberprzestępczością, głownie dla rządów z całego świata i organów ścigania.

Ponadto, duży rozgłos, który towarzyszył niektórym cyberatakom, spowodował wycofanie się z działalności kilku operatorów ransomware. Dane FortiGuard Labs wykazały spowolnienie aktywności cyberprzestępców po wyłączeniu Emoteta. Ataki związane z wariantami TrickBot i Ryuk jeszcze się zdarzały, jednak ich skala była mniejsza. Świadczy to o tym, jak trudno jest natychmiast wyeliminować cyberzagrożenia lub wykorzystywane przez nie łańcuchy dostaw w całości, jednakże wspomniane wydarzenia stanowią ważne osiągnięcia.

5. Cyberprzestępcy preferują techniki unikania oraz eskalację uprawnień

Skrupulatna analiza danych dotyczących cyberzagrożeń pozwala na wyciągnięcie wniosków na temat tego, jak obecnie ewoluują techniki cyberataków. FortiGuard Labs badało specyficzne funkcje wykrytego złośliwego oprogramowania poprzez uruchomienie jego próbek, aby przyjrzeć się zaimplementowanym przez cyberprzestępców mechanizmom zachowania. W efekcie sporządzono listę negatywnych rezultatów, które złośliwe oprogramowanie mogłoby spowodować, gdyby zostało uruchomione w docelowych środowiskach IT.

Z tego eksperymentu wynika, że przestępcy dążyli między innymi do eskalacji uprawnień, unikania mechanizmów ochronnych, przemieszczania się pobocznymi wobec wewnętrznych systemów ścieżkami oraz wykradania danych. Aż 55% zaobserwowanych funkcji eskalacji uprawnień wykorzystało technikę przechwytywania wywołań systemowych (hooking), zaś w 40% przypadków obecne były mechanizmy wstrzykiwania procesów.

Przykłady te pokazują, że w działalności cyberprzestępców istnieje oczywisty nacisk na stosowanie taktyki unikania obrony i eskalacji przywilejów. Dzięki tym obserwacjom, chociaż techniki te nie są nowe, zespoły ds. cyberbezpieczeństwa będą lepiej przygotowane do obrony przed przyszłymi cyberatakami. Zintegrowane i korzystające z mechanizmów na sztucznej inteligencji (AI) platformowe podejście do bezpieczeństwa, bazujące na informacjach o zagrożeniach, jest niezbędne wobec zmieniającej się sytuacji, przed którą stoją dziś przedsiębiorstwa.

Skuteczność działania zapewni tylko partnerstwo, szkolenia, a także bazująca na sztucznej inteligencji prewencja oraz wykrywanie incydentów i reagowanie na nie

Chociaż instytucje rządowe i organy ścigania podejmowały wspólne akcje przeciw cyberprzestępczości w przeszłości, pierwsza połowa 2021 roku może być przełomowa pod względem tempa działań. Służby współpracują z dostawcami branżowymi, podmiotami zajmującymi się badaniem cyberzagrożeń oraz innymi globalnymi instytucjami partnerskimi. Jest to efekt przyjętej strategii, polegającej na połączeniu zasobów i informacji o cyberzagrożeniach w celu podjęcia bezpośrednich działań przeciwko przestępcom.

Niezależnie od tego, zastosowanie mechanizmów zautomatyzowanego wykrywania zagrożeń i sztucznej inteligencji (AI) pozostaje niezbędne, aby można było reagować na cyberataki w czasie rzeczywistym, łagodzić ich skutki z odpowiednią szybkością oraz we właściwej skali na każdym brzegu sieci. Ponadto, niezwykle ważne są szkolenia użytkowników w zakresie cyberbezpieczeństwa, ponieważ każdy może stać się ofiarą przestępstwa w sieci. Aby zapewnić ochronę poszczególnym pracownikom i całej firmie, potrzebny jest regularny instruktaż na temat najlepszych praktyk.

Obserwujemy wzrost liczby skutecznych i niszczycielskich cyfrowych ataków, dotykających tysiące przedsiębiorstw w ramach jednej kampanii, co stanowi ważny punkt zwrotny w wojnie z cyberprzestępczością. Teraz, bardziej niż kiedykolwiek, każda osoba ma do odegrania ważną rolę we wzmocnieniu łańcucha działań mających na celu zneutralizowanie cyberataków. Połączenie sił dzięki współpracy musi być priorytetem w celu przerwania łańcuchów dostaw cyberprzestępców. Dzielenie się danymi oraz partnerskie relacje umożliwią skuteczniejsze reagowanie i lepsze przewidywanie stosowanych w przyszłości technik w celu powstrzymania działań przeciwników. Ciągłe szkolenia w zakresie świadomości cyberbezpieczeństwa, jak również bazujące na sztucznej inteligencji mechanizmy zapobiegania zagrożeniom, wykrywania ich i reagowania na nie, zintegrowane w urządzeniach końcowych, sieciach i chmurze, pozostaną kluczowe w walce z cyberprzestępcami – powiedział Derek Manky, szef działu Security Insights i Global Threat Alliances, FortiGuard Labs.

Informacje o raporcie
Najnowszy raport Global Threat Landscape Report zawiera zbiorczą analizę opracowaną przez FortiGuard Labs, sporządzoną na podstawie danych z pierwszej połowy 2021 roku, pochodzących z należącej do Fortinetu rozległej sieci czujników, gromadzących miliardy informacji o zagrożeniach obserwowanych na całym świecie. W podobny sposób, jak ramy MITRE ATT&CK klasyfikują taktykę i techniki działania cyberprzestępców w trzech grupach obejmujących rozpoznanie, , zarządzanie zasobami i próbę uzyskania dostępu, tak FortiGuard Labs wykorzystuje ten model do opisania w dokumencie Global Threat Landscape Report w jaki sposób hakerzy znajdują luki, budują złośliwą infrastrukturę i eksplorują środowisko ofiary. Raport uwzględnia również perspektywę globalną i regionalną.