Badacze z firmy Kaspersky zaprezentowali swoją wizję dotyczącą zaawansowanych cyberzagrożeń (APT) w 2021 r., wskazując, jak zmieni się w najbliższych miesiącach krajobraz ataków ukierunkowanych. Chaos, jaki zapanował w 2020 r., przyniesie wiele zmian strukturalnych i strategicznych, nie tylko w sferze codziennego życia, ale również w zakresie ataków ukierunkowanych. Oprócz nowych wektorów ataków, takich jak działania wymierzone w urządzenia sieciowe oraz szukanie luk w
zabezpieczeniach technologii 5G, pojawią się ataki wieloetapowe oraz pozytywne działania wymierzone w aktywność umożliwiającą cyberataki, np. sprzedaż exploitów dnia zerowego.
Prognoza została opracowana na podstawie zmian, jakie zostały zaobserwowane przez Globalny Zespół ds. Badań i Analiz (GReAT) firmy Kaspersky w 2020 r. oraz informacji opublikowanych w celu dostarczenia wytycznych i szczegółowych danych społeczności związanej z cyberbezpieczeństwem.
Jednym z kluczowych, i potencjalnie najniebezpieczniejszych, trendów przewidywanych przez badaczy z firmy Kaspersky jest zmiana podejścia cyberprzestępców do przeprowadzania ataków. W zeszłym roku ukierunkowane ataki ransomware osiągnęły nowy poziom poprzez wykorzystywanie powszechnie dostępnego szkodliwego oprogramowania jako sposobu na wniknięcie do atakowanych sieci. Zaobserwowano powiązania pomiędzy takimi atakami a posiadającymi ugruntowaną pozycję sieciami przestępczymi, np. Genesis, które zwykle handlują skradzionymi danymi uwierzytelniającymi. Badacze z firmy Kaspersky uważają, że ugrupowania APT zaczną stosować tę samą metodę w celu łamania zabezpieczeń atakowanych urządzeń.
Organizacje powinny zatem zwracać większą uwagę na typowe szkodliwe oprogramowanie i wykonywać podstawowe działania w zakresie reagowania na incydenty na każdym komputerze, na którym doszło do złamania zabezpieczeń, aby mieć pewność, że takie narzędzia nie zostały użyte w celu wprowadzenia do sieci bardziej wyrafinowanych zagrożeń.
Pozostałe prognozy dotyczące zagrożeń ukierunkowanych na 2021 r.:
- Więcej państw będzie stosowało formalne oskarżenia w ramach swojej cyberstrategii. Sprawdziły się przewidywania firmy Kaspersky dotyczące publicznego piętnowania ataków APT przeprowadzonych przez „wrogów”. Badacze przewidują, że podobną taktykę obiorą kolejne organizacje. Ujawnianie zestawów narzędzi ugrupowań APT na szczeblu rządowym zachęci do podobnego postępowania kolejne państwa.
- Więcej firm z Doliny Krzemowej podejmie działania przeciwko brokerom luk dnia zerowego. W związku ze skandalicznymi przypadkami wykorzystania luk dnia zerowego w popularnych aplikacjach do szpiegowania różnych celów kolejne korporacje z Doliny Krzemowej prawdopodobnie zdecydują się stawić czoło dystrybutorom takich luk, by chronić Wzrośnie liczba ataków na urządzenia sieciowe. Wraz z rozpowszechnieniem się pracy zdalnej bezpieczeństwo firm stało się priorytetem, dlatego wzrośnie zainteresowanie cyberprzestępców wykorzystywaniem urządzeń sieciowych, takich jak bramy VPN. Cyberprzestępcy mogą również przechwytywać dane uwierzytelniające dostęp do korporacyjnych sieci VPN za pomocą „vishingu”, którego celem są zdalni pracownicy (stosowanie socjotechniki z wykorzystaniem telefonu w celu uzyskania dostępu do informacji prywatnych i finansowych).
- Wymuszanie okupu z użyciem pogróżek. Zmiany w strategii gangów stosujących oprogramowanie ransomware prowadzą do konsolidacji wciąż zróżnicowanego, ale dość ciasnego ekosystemu ransomware. W związku z sukcesem wcześniejszych strategii ataków ukierunkowanych kolejne ugrupowania ransomware zaczną prowadzić bardziej ukierunkowane działania i rozwijać zasoby na skalę APT – dzięki wyłudzonym pieniądzom gangi te będą mogły zainwestować spore sumy w nowe zaawansowane zestawy narzędzi przy budżecie porównywalnym do zasobów niektórych ugrupowań APT sponsorowanych przez rządy.
- Bardziej destrukcyjne ataki. Będą one wynikiem ukierunkowanych, zorganizowanych kampanii mających na celu zakłócenie infrastruktury krytycznej lub spowodowanie strat ubocznych. Wynika to z tego, że nasze życie stało się jeszcze bardziej zależne od technologii, a powierzchnia ataków znacznie się rozszerzyła.
- Pojawienie się luk w zabezpieczeniach technologii 5G. Coraz powszechniejsze wykorzystywanie tej technologii, która zapewnia łączność coraz większej liczbie urządzeń, skłoni atakujących do szukania możliwych do wykorzystania luk w jej zabezpieczeniach.
- Atakujący nadal będą wykorzystywać pandemię. Wirus SARS-CoV-2, chociaż nie spowodował, że cyberprzestępcy zmienili swoje taktyki, techniki czy procedury, stanowi stały przedmiot ich zainteresowania. Dopóki pandemia nie wygaśnie, cyberprzestępcy nadal będą wykorzystywać ten temat, by przenikać do atakowanych systemów.
– Świat, w którym żyjemy, jest tak zmienny, że w przyszłości mogą mieć miejsce zdarzenia i procesy, których nie potrafimy jeszcze pojąć. Liczba i złożoność zmian, których byliśmy świadkami i które wpłynęły na środowisko cyberzagrożeń, mogą sugerować wiele scenariuszy przyszłego rozwoju wypadków. Ponadto żaden zespół zajmujący się badaniem zagrożeń nie posiada pełnego obrazu operacji ugrupowań APT. To prawda, że świat jest chaotyczny, jednak nasze wcześniejsze doświadczenie pokazuje, że w wielu przypadkach zdołaliśmy przewidzieć, w jakim kierunku rozwiną się zaawansowane zagrożenia, a tym samym lepiej się na nie przygotować. Nadal będziemy podążać tą drogą, próbując zrozumieć taktyki i metody stosowane w kampaniach i działaniach APT, dzieląc się tym, czego się dowiedzieliśmy, i oceniając wpływ takich ukierunkowanych kampanii. Ważne jest, by ściśle monitorować sytuację i zawsze być gotowym do działania. Jesteśmy przekonani, że potrafimy to robić — powiedział David Emm, główny badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
Prognozy dotyczące ataków APT zostały opracowane dzięki wykorzystywanym na całym świecie usługom firmy Kaspersky pozwalającym na analizę zagrożeń. 19 listopada badacze z zespołu GReAT firmy Kaspersky zaprezentują również prognozy dotyczące zmian w środowisku głównych cybergangów w 2021 r.