W 2016 r. Kaspersky Lab wykrył zaawansowaną kampanię cyberataków, która wyróżniała się możliwością tworzenia unikatowych narzędzi dla każdej ofiary, co skutecznie podważyło sens oznak infekcji jako skutecznego sposobu wykrywania szkodliwej aktywności — tak wynika z raportu firmy poświęconego prognozom na 2017 rok. Prognozy są opracowywane co roku przez Globalny Zespół ds. Badan i Analiz (GReAT), działający w ramach Kaspersky Lab, i opierają się na szerokiej wiedzy i
doświadczeniu ekspertów z firmy. Lista zagrożeń na 2017 r. obejmuje wpływ jednorazowych narzędzi tworzonych na zamówienie, coraz częściej stosowane fałszywe bandery zaciemniające tropy wskazujące na tożsamość atakującego, podatność na ataki oplecionego gęstą siecią połączeń świata oraz wykorzystanie cyberataków jako broni w wojnie informacyjnej.
Koniec oznak infekcji
Oznaki infekcji od dawna stanowiły skuteczny sposób współdzielenia cech znanych szkodliwych programów, które pozwalały rozpoznać aktywną infekcję. Sytuacja zmieniła się po wykryciu przez zespół GReAT cyberprzestępczej kampanii ProjectSauron. Podczas analizy działań tego ugrupowania wykryto stworzoną na zamówienie platformę szkodliwego oprogramowania, w której każda funkcja była zmieniana dla poszczególnej ofiary. W efekcie wykrycie innych ofiar nie było możliwe na podstawie oznak infekcji, jeśli nie zastosowano dodatkowo innej metody, np. reguł Yara*.
Początek ulotnych infekcji
Na rok 2017 Kaspersky Lab przewiduje również pojawienie się szkodliwego oprogramowania rezydującego w pamięci, które nie jest zainteresowane przetrwaniem dłużej niż do pierwszego ponownego uruchomienia systemu, które usunie infekcję z pamięci maszyny. Takie szkodliwe oprogramowanie, mające na celu przeprowadzenie ogólnego rekonesansu oraz zgromadzenie danych uwierzytelniających, będzie prawdopodobnie umieszczane w wysoce wrażliwych środowiskach przez atakujących, którzy chcą uniknąć wzbudzenia podejrzeń czy wykrycia.
– Sytuacja zmienia się drastycznie, ale użytkownicy nie pozostaną bezradni. Uważamy, że czas promować szersze wykorzystywanie dobrych reguł Yara. Pozwolą one badaczom wykonywać szerokie skanowanie w przedsiębiorstwie, badać i identyfikować cechy w nieużywanych zasobach binarnych oraz analizować pamięć w celu zidentyfikowania fragmentów znanych ataków. Powstanie ulotnych infekcji wskazuje na potrzebę stosowania proaktywnej i wyrafinowanej heurystyki w zaawansowanych rozwiązaniach antywirusowych — powiedział Juan Andrés Guerrero-Saade, starszy ekspert ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Dalsze prognozy dotyczące największych cyberzagrożeń w 2017 r.
- Ustalanie autorstwa zapląta się wśród fałszywych flag. Ponieważ rola cyberataków w dziedzinie stosunków międzynarodowych wzrasta, ustalenie autorstwa stanie się zasadniczą kwestią w wyznaczaniu politycznego kierunku działania — takiego jak odwet. Próby zidentyfikowania twórców danej kampanii cyberprzestępczej mogą spowodować ryzyko upublicznienia szkodliwej infrastruktury, przejścia na ogólnodostępne szkodliwe oprogramowanie, a także jeszcze intensywniejsze stosowanie technik kierujących badaczy na fałszywą ścieżkę (tzw. ataki pod fałszywą banderą).
- Początek wojny informacyjnej. W 2016 r. świat zaczął poważnie traktować przypadki ujawniania zhakowanych informacji dla agresywnych celów. Liczba tego rodzaju ataków prawdopodobnie wzrośnie w 2017 r., a dodatkowo istnieje ryzyko, że cyberprzestępcy będą próbowali wykorzystać gotowość ludzi do przyjęcia takich danych jako fakt poprzez manipulowanie informacjami lub ich selektywne ujawnianie.
- Kaspersky Lab spodziewa się wzrostu liczby hakerów pełniących rolę samozwańczych stróżów prawa, którzy wykradają i udostępniają dane rzekomo w imię dobra ogółu.
- Wzrastająca podatność na cybersabotaż. Ponieważ systemy produkcyjne i obiekty infrastruktury krytycznej są połączone z internetem, przy czym często ich ochrona pozostawia wiele do życzenia lub po prostu nie istnieje, pokusa uszkodzenia lub zakłócenia ich pracy może okazać się zbyt wielka dla zaawansowanych cyberprzestępców, by z niej nie skorzystać — szczególnie w czasach rosnącego napięcia geopolitycznego.
- Szpiegostwo staje się mobilne. Kaspersky Lab spodziewa się kolejnych kampanii szpiegowskich ukierunkowanych głównie na cele mobilne w związku z tym, że branża bezpieczeństwa może mieć problemy z uzyskaniem pełnego dostępu do systemów operatorów mobilnych w celu przeprowadzenia analizy kryminalistycznej.
- Ataki finansowe jako lukratywnym towar. Kaspersky Lab przewiduje utowarowienie cyberataków. Będziemy mieć do czynienia z oferowaniem na sprzedaż wyspecjalizowanych zasobów na forach podziemia lub oferowanie szkodliwych działań w ramach modelu „atak jako usługa”.
- Włamania do systemów płatniczych. Wraz ze wzrostem popularności i rozpowszechnienia systemów płatniczych Kaspersky Lab spodziewa się, że wzrośnie zainteresowanie nimi również wśród cyberprzestępców.
- Mniejsze „zaufanie” ofiar do oprogramowania blokującego dostęp do danych i żądającego okupu (tzw. ransomware). Kaspersky Lab przewiduje dalszy wzrost ilości oprogramowania ransomware, przy czym swoiste zaufanie między ofiarą a atakującym — oparte na założeniu, że wraz z zapłatą okupu nastąpi zwrot danych — zostanie zachwiane, ponieważ na obszar ten decydują się wkroczyć przestępcy „niższej” klasy. Może to być punkt zwrotny, jeśli chodzi o gotowość ofiar tego rodzaju oprogramowania do zapłaty za odzyskanie danych.
- Integralność urządzeń w zatłoczonym internecie. W związku z tym, że producenci urządzeń Internetu Rzeczy nadal udostępniają na rynku niezabezpieczone urządzenia, które powodują problemy na szeroką skalę, istnieje ryzyko, że hakerzy z samozwańczej straży obywatelskiej wezmą sprawy w swoje ręce, blokując jak najwięcej takich urządzeń.
- Przestępczy urok reklamy cyfrowej. W najbliższym roku narzędzia do śledzenia, które wykorzystywane są coraz częściej w reklamie, będą stosowane do monitorowania domniemanych aktywistów i dysydentów. Podobnie sieci reklam — które umożliwiają doskonałe profilowanie grup docelowych poprzez połączenie adresów IP, pozostawionych „śladów” w przeglądarce oraz wybranych stron wymagających zalogowania się — będą wykorzystywane przez zaawansowane ugrupowania cyberszpiegowskie chcące precyzyjnie uderzyć w swoje cele i jednocześnie chronić swoje najnowsze zestawy narzędzi.