Fortinet, światowy lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, zaprezentował wyniki najnowszego półrocznego raportu FortiGuard Labs Global Threat Landscape Report. Wydarzenia o globalnym zasięgu stwarzają nowe możliwości: Cyberprzestępcy już wcześniej odwoływali się do bieżących wydarzeń, korzystając z nich jako z przynęty socjotechnicznej. W pierwszej połowie 2020 r. wznieśli się jednak na kolejny poziom.
Zarówno hakerzy tworzący ataki phishingowe, jak też współpracujący z rządami znaleźli wiele sposobów, aby na ogromnę skalę skorzystać na pandemii. Wśród najpopularniejszych kampanii znalazły się ataki phishingowe, oszustwa polegające na podszywaniu się w korespondencji elektronicznej pod innych pracowników firmy, ataki, za którymi stały instytucje rządowe oraz, oczywiście, ransomware. Globalny charakter pandemii ułatwił zwiększenie zakresu i metod ataków. Pokazuje to, jak szybko przestępcy są w stanie zareagować na wydarzenia mające wpływ na społeczeństwa na całym świecie, aby zwiększyć siłę rażenia ataków.
Firmowe sieci trafiły do domów: Wzrost liczby zdalnych pracowników niemal natychmiast sprawił, że zmieniły się proporcje, w jakich łączność przez sieć z zasobami IT odbywała się lokalnie oraz przez Internet. Cyberprzestępcy natychmiast wykorzystali tę okazję. W pierwszej połowie 2020 r. na szczycie listy ataków wykrywanych przez rozwiązania IPS (Intrusion Prevention System) znalazły się próby włamania do wielu modeli routerów klasy konsumenckiej oraz urządzeń IoT. Ponadto, wśród botnetów dominowały Mirai i Gh0st, które umożliwiały atakowanie poprzez stare i nowe podatności sprzętów Internetu rzeczy. Trendy te są godne uwagi, ponieważ pokazują, w jaki sposób zasięg sieci rozrósł się i trafił do gospodarstw domowych. Cyberprzestępcy poszukiwali tam urządzeń, które umożliwiałyby dostęp do infrastruktury sieciowej przedsiębiorstw. Firmy muszą się więc przygotować i podjąć konkretne kroki w celu ochrony swoich użytkowników, urządzeń i informacji w sposób podobny, jak zabezpieczają firmowe sieci.
Przeglądarki celem cyberprzestępców: Rosnąca popularność pracy zdalnej otworzyła przestępcom bezprecedensową szansę, aby na wiele sposobów wykorzystać rozwiązania IT osób pracujących z domu. Zauważono między innymi, że liczba kampanii phishingowych, w których manipulatorskie komunikaty dostarczane były przez strony internetowe, przewyższyła liczbę ataków tego typu dokonywanych tradycyjnie poprzez zwykłą pocztę e-mail. Phishing na stronach internetowych był najbardziej popularny w styczniu i lutym, a dopiero w czerwcu wypadł z pierwszej piątki. Może to świadczyć o próbach przeprowadzania takich ataków, gdy najbardziej narażone na nie osoby otwierają strony internetowe w domu. Pokazuje to, że nie tylko przeglądarki, ale też urządzenia coraz częściej będą głównym celem cyberprzestępców, ponieważ nadal kierunkują oni ataki na pracowników zdalnych.
Ransomware wciąż jest groźne: Dobrze znane zagrożenia, takie jak ransomware, nie utraciły popularności w ciągu ostatnich sześciu miesięcy. Wiadomości i załączniki o tematyce związanej z COVID-19 były stosowane jako przynęta w wielu różnych kampaniach. Zaobserwowano np. oprogramowanie ransomware, które przed zaszyfrowaniem danych nadpisywało główny rekord rozruchowy komputera (Master Boot Record, MBR). Ponadto nastąpił wzrost liczby ataków, w których dane firmy będącej ofiarą nie tylko były szyfrowane, ale także wykradane i wykorzystywane do szantażu. Cyberprzestępcy grozili, że je upublicznią, jeśli nie otrzymają okupu. Ten sposób postępowania należy traktować jako nowy, znaczący trend. Prowadzi on do wzrostu ryzyka nie tylko utraty dostępu do danych, ale także ujawnienia tych najbardziej wrażliwych. W skali globalnej podczas ataków ransomware nie oszczędzono żadnej branży, a statystyki pokazują, że wśród pięciu najbardziej poszkodowanych rodzajów przedsiębiorstw znalazły się firmy telekomunikacyjne, dostawcy usług płatniczych, placówki edukacyjne, rządowe i technologiczne. Niestety, rośnie też popularność oprogramowania ransomware sprzedawanego jako usługa. Oznacza to, że raczej nie należy oczekiwać spadku popularności tego typu zagrożeń.
Środowiskom OT zagraża nie tylko Stuxnet: W czerwcu minęło 10 lat od powstania złośliwego narzędzia Stuxnet, które odegrało kluczową rolę w ewolucji zagrożeń bezpieczeństwa technik operacyjnych (OT). Obecnie sieci OT nadal pozostają celem cyberprzestępców – pokazało to m.in. wykryte na początku tego roku oprogramowanie ransomware EKANS. Przykładem zagrożenia polegającego na wykradaniu poufnych informacji ze szczególnie chronionych sieci jest też oprogramowanie szpiegowskie Ramsay. Częstotliwość występowania zagrożeń ukierunkowanych na systemy kontroli procesów przemysłowych typu SCADA i ICS jest mniejsza niż w przypadku środowisk informatycznych, ale nie umniejsza to znaczenia tego trendu.
Informacje o lukach nadal w cenie: Lektura listy CVE pokazuje, że w ciągu ostatnich kilku lat wzrosła liczba luk wykrytych w rozwiązaniach IT, co wywołało dyskusję na temat priorytetowego traktowania aktualizacji mających na celu ich załatanie. Mimo że w roku 2020 liczba wykrytych luk będzie prawdopodobnie rekordowa, to równocześnie – jak do tej pory – bardzo niewiele z nich zostało wykorzystanych przez cyberprzestępców (wskaźnik ten może być najniższy w 20-letniej historii tworzenia list CVE, tymczasem w 2018 roku wyniósł on aż 65%). Jednocześnie ponad jedna czwarta firm odnotowała próby ataków bazujących na lukach opisanych na listach CVE już 15 lat temu. Wynika z tego, że wykorzystanie przez cyberprzestępców opublikowanych informacji o lukach i stworzenie na ich bazie złośliwych narzędzi nadal wymaga czasu, ale jest to popularny sposób atakowania.
Sieć sięgająca gospodarstw domowych także powinna być zabezpieczona
Instytucje wywiadowcze i badawcze mogą pomóc w uzupełnieniu wiedzy o aktualnych cyberzagrożeniach poprzez dostarczenie szczegółowych informacji o aktualnych trendach oraz dogłębnych analiz metod ataku, informacji o zlecających je podmiotach i nowych taktykach. Nigdy w historii nie istniało większe zapotrzebowanie na rozwiązania dla pracowników zdalnych, które zapewniałyby bezpieczny dostęp do kluczowych zasobów, a jednocześnie wysoką skalowalność. Jedynie platforma zaprojektowana, aby zapewnić kompleksowy wgląd w infrastrukturę i ochronę przed różnymi rodzajami cyberataków (w tym w środowiskach sieciowych, aplikacyjnych, wielochmurowych lub mobilnych) jest w stanie zabezpieczyć współczesne, szybko zmieniające się sieci.
Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs
– Przez pierwszych sześć miesięcy 2020 roku byliśmy świadkami bezprecedensowych zmian związanych ze sposobami dokonywania cyberataków. Ich dramatycznie szybko rosnąca skala oraz ewolucja metod przeprowadzania dowodzą sprawności hakerów w szybkim dostosowywaniu ich taktyki do obecnych wydarzeń skupionych wokół pandemii COVID-19 w celu zmaksymalizowania zysku. Jeszcze nigdy nie było tak bardzo oczywiste jak teraz, dlaczego przedsiębiorstwa muszą rozszerzyć zakres ochrony sieci, uwzględniając także gospodarstwa domowe i inne miejsca, z których pracownicy zdalnie wykonują swoje obowiązki. Niezwykle ważne jest, aby podejmowane działania, mające na celu ochronę ich danych, urządzeń oraz domowych sieci miały charakter długoterminowy. Rozsądne jest również rozważenie przyjęcia w świecie cyfrowym takiej samej taktyki wobec wirusów, jaką przyjmujemy w świecie rzeczywistym. „Cyberspołeczny” dystans również polega na rozpoznawaniu zagrożeń i utrzymywaniu dystansu.
Informacje o raportcie
Najnowszy „Global Threat Landscape Report” firmy Fortinet to regularnie publikowany przegląd informacji o miliardach sytuacji stwarzających zagrożenie, zebranych w pierwszej połowie 2020 r. przez ekspertów FortiGuard Labs dzięki sieci sensorów rozlokowanych na całym świecie. Obejmuje on globalną i regionalną perspektywę, jak też badania nad trzema aspektami: exploitami, złośliwym oprogramowaniem i botnetami.