Cele cyberprzestępców ujawnia śledzenie globalnych trendów zagrożeń
Fortinet ogłosił wyniki opracowanego przez FortiGuard Labs najnowszego raportu „Threat Landscape”, przedstawiającego aktualne zagrożenia, obecne w cyberprzestrzeni na całym świecie w IV kwartale 2019 r.
Informacje poddane analizie zostały zebrane z miliardów czujników obecnych w rozwiązaniach ochronnych firmy. Raport pokrywa globalne i regionalne zagadnienia, a skupia się na trzech głównych aspektach: exploitach, złośliwym oprogramowaniu oraz sieciach botnet.
Cyberprzestepcy w ciągłej ofensywie
Przeprowadzone badania pokazują, że cyberprzestępcy nie tylko nadal starają się wykorzystywać wszelkie nadarzające się okazje do ataku w infrastrukturze cyfrowej, ale także uważnie obserwują aktualne globalne realia ekonomiczne i polityczne, aby zmaksymalizować korzyści i jeszcze bardziej zwiększyć prawdopodobieństwo realizacji swoich celów.
Według globalnych trendów częstotliwość występowania i wykrywania zagrożeń może różnić się w zależności od położenia geograficznego, ale wyrafinowanie i automatyzacja ataków na całym świecie są spójne.
Bądź na bieżąco – zapisz się na nasz newsletter>>>
Ponadto, priorytetowa pozostaje konieczność edukowania użytkowników w zakresie cyberhigieny, ponieważ jest to jedna z najskuteczniejszych metod eliminacji ryzyka sprowadzenia na firmę zagrożenia w czasach, gdy siła podejmowanych ataków rośnie szybciej niż kiedykolwiek wcześniej.
Najważniejsze wnioski z badania
Kociak nie jest aż tak czarujący: wyniki badań pokazują, że w IV kwartale 2019 r. nadal miał miejsce znaczący poziom aktywności cyberprzestępczej w regionach, w których operuje powiązana z Iranem grupa Charming Kitten (Czarujący kociak), specjalizująca się w zaawansowanych, uporczywych atakach (APT).
Ten działający od około 2014 r. podmiot jest odpowiedzialny za liczne kampanie cyberprzestępcze. Jego ostatnie działania sugerują, że rozszerzył swoją działalność o akcje związane z zakłócaniem wyborów, po tym jak został powiązany z serią ukierunkowanych ataków na konta poczty elektronicznej należących do osób prowadzących prezydencką kampanię wyborczą w USA.
Ponadto zaobserwowano, że grupa Charming Kitten przyjęła nową strategię przeciwko przyszłym ofiarom, która miała na celu ich zmanipulowanie, aby udostępniły wrażliwe informacje.
Coraz więcej zagrożeń dla urządzeń IoT: Internet rzeczy to wciąż relatywnie młoda dziedzina, a przez to wiele używanych w tego typu systemach urządzeń (często niepostrzeganych jako potencjalny cel, np. kamer IP) nie jest odpowiednio zabezpieczonych.
Sytuację pogarsza fakt, że wiele urządzeń IoT, oferowanych przez różnych dostawców i pod różnymi markami, posiada wbudowane komponenty i oprogramowanie stworzone przez jednego producenta, co w przypadku powodzenia ataku znacznie ułatwia zwiększenie jego zasięgu.
Często też są powszechnie dostępne fragmenty kodu (np. bazują na otwartym źródle oprogramowania), przez co cyberprzestępcy z łatwością mogą przeanalizować je i wykryć ewentualne luki. Rosnąca popularność i skala wdrożeń Internetu rzeczy, w połączeniu z częstym brakiem możliwości łatwego wgrania aktualizacji do tych urządzeń, stanowi coraz większe wyzwanie.
Brak świadomości dostępności łatek, częste występowanie luk w niektórych urządzeniach IoT oraz udokumentowane próby przejęcia kontroli nad nimi przez botnety – wszystkie te czynniki przyczyniły się do tego, że w ciągu IV kwartału 2019 r. odnotowano trzecią co do wielkości liczbę luk w rozwiązaniach IoT, wykrytych przez wszystkie systemy przeciwdziałania włamaniom (IPS).
Starsze zagrożenia pomagają młodszym: w obliczu ciągłej presji, by być gotowym na pojawianie się nowych zagrożeń, często zapomina się o tym, że te starsze nie mają daty ważności, a cyberprzestępcy będą korzystać ze znanych im luk tak długo, jak będzie to opłacalne.
Przykładem jest exploit EternalBlue, który był wykorzystywany w wielu kampaniach, w tym przede wszystkim w atakach ransomware WannaCry i NotPetya. Ponadto, w maju ubiegłego roku wydano łatkę dla luki BlueKeep, która mogłaby być wykorzystana na tak dużą skalę, jak miało to miejsce w przypadku ataków WannaCry i NotPetya.
Tymczasem w IV kwartale 2019 r. pojawiła się nowa wersja trojana EternalBlue Downloader, który wykorzystuje właśnie lukę BlueKeep. Na szczęście rozsyłana obecnie wersja tego złośliwego kodu nie jest całkowicie dopracowana, przez co zaatakowane urządzenia zawieszają się, zanim zostanie on uruchomiony.
Ale należy zakładać, że zdeterminowani cyberprzestępcy prawdopodobnie szybko naprawią swój błąd i będą mieli funkcjonalną wersję tego potencjalnie szkodiwego pakietu w niedługiej przyszłości. I, choć łatka dla BlueKeep jest dostępna od maja 2019 roku, zbyt wiele przedsiębiorstw nadal nie przeprowadziło aktualizacji swoich krytycznych systemów
Nowe spojrzenie na globalną dystrybucję spamu: Niechciane wiadomości nadal są jednym z najważniejszych wyzwań, z którymi muszą radzić sobie firmy i osoby prywatne. W najnowszym raporcie Fortinetu porównano wielkość przepływu spamu pomiędzy krajami z danymi pokazującymi stosunek ilości wysłanego spamu do liczby otrzymanych wiadomości, co umożliwiło nowe spojrzenie na stary problem.
Większość wysyłanego spamu wydaje się podążać za trendami gospodarczymi i politycznymi. Przykładowo, oprócz USA, do największych spamowych „oferentów” należą takie kraje jak Polska, Rosja, Niemcy, Japonia i Brazylia.
Ponadto, jeśli chodzi o proporcje w ilości spamu wysyłanego wobec otrzymywanego w poszczególnych regionach geograficznych, Europa Wschodnia wiedzie prym na całym świecie, zaś na kolejnych miejscach uplasowały się różne podregiony w Azji.
Z kolei znacznie więcej spamu otrzymują niż wysyłają pozostałe podregiony europejskie, za nimi zaś są kraje obu Ameryk i Afryka.
Śledzenie cyberprzestępców w celu poznania ich planów: spojrzenie na sytuacje, w których w danym regionie systemy przeciwdziałania włamaniom (IPS) generowały alarmy, nie tylko pokazuje, jakie zasoby były atakowane, ale także pozwala domniemywać na czym cyberprzestępcy będą skupiać się w przyszłości.
Prawdopodobieństwo słuszności tego typu wniosków wynika z faktu, że wystarczająco wiele takich ataków zakończyło się sukcesem oraz, że w niektórych regionach stosuje się więcej rozwiązań konkretnego rodzaju.
Ale nie zawsze tak jest. Na przykład, według wyszukiwarki shodan.io, zdecydowana większość wdrożeń systemu CRM ThinkPHP zrealizowanych zostało w Chinach – prawie 10 razy więcej niż w Stanach Zjednoczonych.
Zakładając, że firmy łatają swoje oprogramowanie w podobnym tempie w każdym regionie, jeśli przed wdrożeniem exploita botnet po prostu sondował podatne na zagrożenia instancje ThinkPHP, liczba alertów powinna być znacznie większa w regionie APAC. Jednak prób instalacji exploita w całym regionie APAC wykryto tylko 6% więcej niż w Ameryce Północnej.
Ponadto, przyjmując podobny styl analizy dotyczącej wykrywania złośliwego oprogramowania, większość zagrożeń kierowanych przeciwko firmom obecnych jest w makrach VBA (Visual Basic for Applications). Jest to prawdopodobne, ponieważ ta technika atakowania nadal jest skuteczna i przynosi efekty.
Potrzebna jest szeroko zakrojona, zintegrowana i zautomatyzowana ochrona
W miarę szybkiego wzrostu liczby aplikacji oraz połączonych ze sobą urządzeń, powstają miliardy nowych kombinacji, a wraz z nimi rośnie prawdopodobieństwo ataku. Konieczne jest więc zapewnienie odpowiedniego zarządzania i ochrony.
Ponadto, przedsiębiorstwa stają w obliczu coraz bardziej wyrafinowanych ataków wymierzonych w rozszerzającą się infrastrukturę cyfrową, z których część wykorzystuje sztuczną inteligencję i uczenie maszynowe.
Aby skutecznie zabezpieczyć swoje rozproszone sieci, firmy muszą przejść od ochrony konkretnych rozwiązań do zabezpieczania danych rozsianych na brzegu sieci, znajdujących się u użytkowników, w systemach IT, urządzeniach i krytycznych aplikacjach.
Tylko platforma cyberochronna, zaprojektowana w celu zapewnienia kompleksowych informacji co do stanu infrastruktury oraz parametrów prowadzonego właśnie ataku – wdrożona na urządzeniach użytkowników (także mobilnych), w środowiskach wielochmurowych i infrastrukturze SaaS – jest w stanie zabezpieczyć dzisiejsze szybko rozwijające się sieci, umożliwiające uzyskanie cyfrowej innowacyjności.
Komentuje Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs
‒ W cyberprzestępczym wyścigu zbrojeń wyraźną przewagę często ma ta zła strona, ze względu na rosnące umiejętności, rozszerzającą się powierzchnię cyfrowych ataków oraz dzięki zaskakiwaniu niczego niepodejrzewających użytkowników za pomocą takich taktyk, jak inżynieria społeczna.
Aby zminimalizować wpływ coraz bardziej wyrafinowanych i zautomatyzowanych zagrożeń, firmy muszą korzystać z tego samego jak cyberprzestępcy rodzaju narzędzi i strategii w celu obrony swoich sieci.
Oznacza to konieczność wdrożenia zintegrowanych platform, które wykorzystują siłę sztucznej inteligencji do walki z zagrożeniami. Powinno się także postępować zgodnie ze zdefiniowanymi mechanizmami w celu zapewnienia ochrony całej cyfrowej infrastruktury oraz możliwości wglądu w parametry jej pracy ‒ podkreśla Derek Manky.