Fortinet, globalny lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberbezpieczeństwa, przedstawił prognozy zespołu badawczego FortiGuard Labs dotyczące sytuacji związanej z cyberzagrożeniami w 2023 roku i późniejszym okresie. Od szybko ewoluujących usług świadczenia ataków (Cybercrime-as-a-Service, CaaS) po nowe exploity przeciwko nietypowym celom, takim jak urządzenia brzegowe lub światy online – ilość, różnorodność i skala cyfrowych zagrożeń sprawi, że w najbliższych latach zespoły ds.
bezpieczeństwa będą musiały utrzymywać wysoką czujność.
1. Sukces RaaS jest zapowiedzią tego, co przyniesie CaaS
Model Ransomware-as-a-Service (RaaS) zapewnił cyberprzestępcom niesamowity sukces, należy więc zakładać, że coraz więcej sposobów atakowania udostępnianych będzie w postaci usługi w dark webie, co przyczyni się do znacznej ekspansji zjawiska szeroko pojętej cyberprzestępczości jako usługi (Cybercrime-as-a-Service). Oprócz sprzedaży oprogramowania ransomware i innego rodzaju złośliwego kodu, pojawi się swego rodzaju menu nowych usług. CaaS stanowi atrakcyjny model biznesowy dla wszystkich zaangażowanych w cyberprzestępczą działalność. Przy różnym poziomie umiejętności mogą oni łatwo skorzystać z gotowej oferty, nie inwestując z góry czasu i środków na opracowanie własnego, unikalnego planu ataku. Natomiast dla doświadczonych cyberprzestępców tworzenie oferty ataków i sprzedawanie ich w formie usługi zapewnia prosty, szybki i powtarzalny zarobek.
Być może rozwinie się także subskrypcyjny model oferty CaaS, który będzie zapewniał dodatkowe źródła przychodów. Ponadto, cyfrowi przestępcy zaczną również wykorzystywać pojawiające się wektory ataków, takie jak profesjonalnie spreparowane fałszywe nagrania wideo i audio (deepfake), oferując możliwość ich zakupu, a także umożliwiających ich tworzenie algorytmów.
2. Rekonesans oferowany jako usługa może zwiększyć skuteczność ataków
Innym aspektem tego, jak zmiana charakteru zorganizowanej cyberprzestępczości umożliwi tworzenie bardziej skutecznych strategii prowadzenia ataków, jest to jak rekonesans środowiska IT ofiary będzie wyglądał w przyszłości. Ponieważ ataki stają się coraz bardziej ukierunkowane, cyberprzestępcy będą prawdopodobnie zatrudniać „detektywów” w dark webie, których zadaniem będzie zbieranie informacji o konkretnym celu przed rozpoczęciem ataku.
Podobnie jak w przypadku wiedzy, którą można zdobyć wynajmując prywatnego detektywa, także usługa Reconnaissance-as-a-Service może ułatwić stworzenie schematu ataku uwzględniającego strukturę bezpieczeństwa firmy, kluczowych pracowników ds. ochrony cyfrowych zasobów, liczbę posiadanych przez nią serwerów, znane luki w zabezpieczeniach zewnętrznych, a nawet skompromitowane dane uwierzytelniające dostępne na sprzedaż. Dzięki temu cyberprzestępcy będą mogli prowadzić wysoce ukierunkowane i skuteczne ataki w modelu usługowym, a to powoduje, że bardzo ważne stanie zatrzymywanie cyberprzestępców już na etapie rozpoznania środowiska IT ofiary.
3. Zautomatyzowane pranie pieniędzy przekształci się w LaaS
Aby rozwijać organizacje cyberprzestępcze, ich liderzy oraz podmioty stowarzyszone zatrudniają muły pieniężne (słupy). Są one świadomie lub nieświadomie wykorzystywane do pomocy w praniu pieniędzy – zazwyczaj poprzez prowadzone anonimowo usługi przelewów lub poprzez giełdy kryptowalut, aby uniknąć wykrycia. Jednak prowadzenie rekrutacji tego typu osób jest czasochłonnym procesem, ponieważ wymaga od cyberprzestępców zadania sobie trudu, aby stworzyć strony internetowe dla fałszywych podmiotów oraz kolejnych ofert pracy, aby działalność ta wydawała się legalna.
Dlatego należy zakładać, że cyberprzestępcy wkrótce zaczną korzystać z uczenia maszynowego w celu doprecyzowania i ukierunkowania procesu rekrutacji, co pomoże im lepiej identyfikować potencjalnych mułów, a jednocześnie zmniejszy czas potrzebny na znalezienie tych rekrutów. Prowadzone dotychczas ręczne kampanie zostaną zastąpione zautomatyzowanymi usługami, w ramach których pieniądze będą przenoszone przez różne giełdy kryptowalutowe, co uczyni ten proces szybszym i trudniejszym do wyśledzenia. Money Laundering-as-a-Service (LaaS) może szybko stać się jednym z głównych zagadnień obszaru CaaS. Zaś dla firm lub osób, które padną ofiarą tego rodzaju cyberprzestępczości, wykorzystanie automatyzacji będzie oznaczało, że pranie pieniędzy stanie się trudniejsze do wyśledzenia, co zmniejszy szanse na odzyskanie skradzionych funduszy.
4. Wirtualne miasta i światy online stają się nowymi obszarami do ataku, które będą napędzały cyberprzestępczość
Metaverse daje początek nowej, wciągającej rozszerzonej rzeczywistości w świecie online, a wirtualne miasta są jednymi z pierwszych, które wkraczają w tę nową wersję internetu. Sprzedawcy detaliczni rozpoczęli nawet oferowanie cyfrowych towarów, które można kupić w tych wirtualnych światach. Środowisko to otwiera wiele nowych furtek, ale także może przyczynić się do bezprecedensowego wzrostu cyberprzestępczości na tym niezbadanym terytorium. Na przykład, awatar danej osoby staje się w zasadzie bramą do informacji umożliwiających identyfikację tej osoby, a dane te mogą być wartościowe dla cyberprzestępców.
Ponieważ osoby fizyczne mogą kupować towary i usługi w wirtualnych miastach, ich cyfrowe portfele, konta na giełdach kryptowalut, NFT i wszelkie zasoby używane do transakcji stają się kolejnym obszarem, który może zostać zaatakowany. Rośnie również ryzyko pojawienia się hakerstwa biometrycznego ze względu na wykorzystanie w wirtualnych miastach rozwiązań do obsługi rozszerzonej i wirtualnej rzeczywistości – za ich pomocą cyberprzestępcy mogą kraść wzorce odcisków palców, dane umożliwiające rozpoznawanie twarzy lub skany siatkówki oka, a następnie wykorzystywać je do złych celów. Ponadto, aplikacje, protokoły i transakcje w tych środowiskach są również możliwym celem dla przeciwników.
5. Upowszechnienie się złośliwego oprogramowania typu wiper umożliwi bardziej destrukcyjne ataki
Złośliwe oprogramowanie typu wiper wróciło w znacznej skali w 2022 roku, a cyberprzestępcy opracowali nowe warianty tej stosowanej już od dekady metody ataku. Według raportu 1H 2022 FortiGuard Labs Global Threat Landscape, nastąpił wzrost aktywności niszczącego dane na dysku złośliwego oprogramowania typu disk-wiping w związku z wojną na Ukrainie, ale wykryto je również w 24 innych krajach, nie tylko w Europie. Wzrost jego popularności jest alarmujący, ponieważ może oznaczać początek bardziej destrukcyjnej kampanii.
Poza obecną sytuacją, w której atakujący łączą robaki komputerowe ze złośliwym kodem typu wiper, a nawet z oprogramowaniem ransomware w celu uzyskania maksymalnego efektu, problemem w przyszłości może być upowszechnienie tego typu narzędzi wśród cyberprzestępców. Wipery, opracowane i wdrożone na zlecenie rządów niektórych krajów, mogą zostać przejęte i ponownie wykorzystane przez grupy przestępcze w modelu CaaS. Biorąc pod uwagę ich szerszą dostępność, w połączeniu z odpowiednim exploitem, wipery mogą spowodować ogromne zniszczenia w krótkim czasie, co jest charakterystyczne dla zorganizowanej natury obecnej cyberprzestępczości. W związku z tym czas ich wykrycia oraz szybkość, z jaką zespoły bezpieczeństwa mogą podjąć działania neutralizujące, są najważniejsze.
Derek Manky, Chief Security Strategist & VP Global Threat Intelligence, FortiGuard Labs
– Postępująca konwergencja cyberprzestępczości oraz metod stosowanych przy zaawansowanych uporczywych atakach sprawia, że cyberprzestępcy znajdują sposoby na wykorzystanie nowych technologii, aby zakłócać prace środowisk IT i doprowadzać do zniszczeń. Nie poprzestają już na stawianiu sobie jako cel tradycyjnych obszarów ataku, ale działają również poza nimi, zarówno wewnątrz, jak i na zewnątrz tradycyjnych środowisk sieciowych. Jednocześnie poświęcają więcej czasu na rekonesans, próbując uniknąć wykrycia oraz rozpoznania technik działania i kontroli nad nimi. Wszystko to oznacza, że cyfrowe ryzyko nadal rośnie, a członkowie zarządów firm na stanowisku Chief Information Security Officer muszą być równie przebiegli i działać metodycznie jak przeciwnicy. Przedsiębiorstwa mogą uzyskać lepszą pozycję do ochrony przed tymi atakami dzięki zintegrowanej platformie cyberbezpieczeństwa obejmującej swoim zasięgiem zarówno infrastrukturę sieciową, urządzenia końcowe, jak i środowisko chmurowe. Umożliwi ona wykorzystywanie w zautomatyzowany sposób informacji o zagrożeniach, w połączeniu z zaawansowanymi funkcjami ich wykrywania na bazie analizy zachowania kodu oraz reagowania w odpowiedni sposób.