Czerwony październik. Infosec Institute: październik to szczyt sezonu cyberataków

Badanie przeprowadzone przez Infosec Institute wskazuje, że w ciągu ostatnich pięciu lat nastąpił gwałtowny wzrost liczby cyberataków na całym świecie, a znaczna ich część miała miejsce w październiku każdego roku, ponieważ atakujący najwyraźniej wykorzystują klęski żywiołowe.

Czerwony październik. Infosec Institute: październik to szczyt sezonu cyberataków

Grafika: standret/Freepik

W ciągu ostatnich pięciu lat nastąpił gwałtowny wzrost liczby cyberataków na całym świecie, a znaczna ich część miała miejsce w październiku każdego roku - wynika z badania przeprowadzonego przez Infosec Institute.

Podobna ofensywa wydaje się narastać także w tym miesiącu, sądząc po prognozach badania dotyczących „październikowej niespodzianki”, jak również po obserwacjach cyberataków, które miały miejsce do tej pory.

Zobacz również:

  • Haker z darknetu - ile kosztuje jego zatrudnienie? To jak szukanie freelancera
  • McDonalds ofiarą cyberataku w USA, Korei Południowej i na Tajwanie
  • Kto odpowiada za bezpieczeństwo danych?

W badaniu podkreślono, że ataki, które miały miejsce w październiku w ciągu ostatnich pięciu lat, zostały prześledzone głównie przez pięć podmiotów - Rosję, Chiny, Koreę Północną, Iran oraz grupę nazwaną anonimową. Grupa anonimowa odnosi się do niezarejestrowanych ataków z udziałem nieznanych napastników i nie może być powiązana z żadną stroną ani narodem.

Chociaż nie udało się ustalić żadnego konkretnego wyjaśnienia nagłego wzrostu liczby ataków w październiku w czasie objętym badaniem, autorzy badania przypuszczają, że część z nich można przypisać incydentom „wszystkich zagrożeń” - zakłóceniom o różnym charakterze - których doświadczyły obie półkule w październiku. Cyberataki mogły zostać zaplanowane tak, aby zbiegły się w czasie z klęskami żywiołowymi, z którymi zmagały się już kraje.

Przed wysunięciem przypuszczenia, że cyberataki mogą być związane z klęskami żywiołowymi, Clairday dokonał również przeglądu danych pod kątem wiadomości politycznych, naukowych i technologicznych, nie znajdując żadnych rozstrzygających powiązań z cyberatakami występującymi w październiku w latach 2017-2020.

Czas cyberataków koresponduje z klęskami żywiołowymi

- Jedynym wiarygodnym powiązaniem, jakie mogłam znaleźć w odniesieniu do październikowych skoków, były klęski żywiołowe - mówi Jerri Clairday, która przygotowała raport Infosec Institute pod kierunkiem Jamesa Phelpsa, konsultanta ds. bezpieczeństwa i pracownika naukowego. - Po przeprowadzeniu podstawowego wyszukiwania w Google dotyczącego globalnych katastrof w październiku, stwierdziłem, że nastąpił znaczny wzrost w tym okresie. Zarówno jesień na półkuli północnej, jak i wiosna na półkuli południowej doświadczają większych katastrof. To doprowadziło do teorii, że może istnieć związek. Clairday kontynuuje badania, zamierzając zgłębić tę korelację i spróbować ją potwierdzić.

- Korelacja, jak sądziłem, wynika z faktu, że być może zawsze, gdy dochodzi do katastrofy narodowej, źli ludzie szukają możliwości wykorzystania każdej okazji, jaką mogą wykorzystać. Wiedzą, że w tym czasie mogą dotrzeć do ludzi, ponieważ ich serca są już nadszarpnięte, a większość z nich rezygnuje z dobrej cyberhigieny, stając się ofiarami phishingu i innych ataków, gdy szukają pomocy - wyjaśnia Clairday. - Katastrofy niekoniecznie muszą być naturalne, wiele ataków miało miejsce w tle wywołanych przez ludzi nieszczęść narodowych.

Fala cyberataków narasta w obecnym miesiącu

Podobna fala cyberataków wydaje się narastać w tym miesiącu. Na początku tego miesiąca badacze bezpieczeństwa ujawnili operacje cyberszpiegowskie prowadzone przez grupę hakerów z Iranu, ukierunkowane na firmy lotnicze i telekomunikacyjne za pomocą wcześniej nieudokumentowanego programu Trojana stealthy, który jest w użyciu od 2018 r.

Ponadto, firma DarkOwl zajmująca się bezpieczeństwem cybernetycznym odkryła niedawno grupę cyberprzestępczą oferującą hakowanie szpitali zlokalizowanych w całej Unii Europejskiej (UE) w celu uzyskania dostępu i sfałszowania zapisów szczepień Covid-19 dla chętnych nabywców w darknecie.

W jednym z większych niedawnych incydentów hakerskich, należąca do Amazona platforma gier Twitch ucierpiała z powodu naruszenia danych na początku tego miesiąca. Według wielu doniesień medialnych, naruszenie ujawniło duży zasób wrażliwych danych, w tym cały kod źródłowy Twitcha i kilka lat informacji o wypłatach dla najpopularniejszych streamerów w serwisie.

Październikowy skok cyberataków w ciągu ostatnich 5 lat

Dane z lat 2016-2020 ujawniają, że w 2016 r. odnotowano 41 znaczących ataków, co stanowi 17% wzrost w stosunku do roku poprzedniego, przy średniej miesięcznej 3,41 ataków. W roku 2020 liczba ta wynosiła 134, co stanowiło 23% wzrost w stosunku do roku poprzedniego, przy średniej miesięcznej liczbie 20,6 ataków. W całym pięcioletnim okresie odnotowano 283% wzrost ataków.

Anonimowe ugrupowanie przewodziło w rankingach przestępców z 111 incydentami w okresie pięcioletnim. Rosja była blisko drugiego miejsca z 95 incydentami, Chiny - 91, Iran - 54, a Korea Północna - 42.

W raporcie podkreślono, że 14 ataków zarejestrowanych jako pochodzące z USA było albo środkami łagodzącymi, albo przeciwdziałającymi w odpowiedzi na naruszenia lub ataki i nie były one dalej oceniane.

Porównując październikowe incydenty z lat 2016 - 2020, liczby te wzrosły z 3 do 25, co oznacza wzrost o 1150%.

- Rzeczywiście jesteśmy świadkami dramatycznego wzrostu liczby ataków w miesiącach październikowych, chociaż nie potrafię do końca znaleźć odpowiedniego wytłumaczenia - mówi Allie Mellen, analityk Forrester. - Moje najlepsze przypuszczenie jest takie, że jest to związane z tym, że ludzie wracają z wakacji i doświadczają bycia z powrotem w pracy i w sytuacjach, w których nie byli od jakiegoś czasu. Muszą opuścić podatne na ataki okno, w którym muszą zostać doprowadzeni do porządku.

Przeanalizowane w badaniu październikowe ataki w październiku w ciągu pięciu lat, , obejmowały rządowe przeszukiwanie danych; naruszenia banków, wyborów i wykonawców bezpieczeństwa narodowego; zakłócenia w transporcie i mediach; oraz rozproszone ataki typu denial-of-service (DDoS). Istotnymi celami były m.in. infrastruktura własności intelektualnej, energetyczna, wojskowa i polityczna.

Charakter ataków w tym okresie wahał się od złośliwego oprogramowania do botnetów.

- W tej chwili ransomware jest na topie. Myślę, że możemy niezawodnie przewidzieć, że będzie więcej ataków ransomware i będą one nadal rosły, dopóki nie podejmiemy jakiejś decyzji politycznej dotyczącej kryptowaluty i płacenia okupu" - mówi J. R. Cunningham, CSO w firmie Nuspire, dostawcy usług cyberbezpieczeństwa.

Wnioski dotyczące bezpieczeństwa na październik 2021 r.

Badanie Infosec Institute przewiduje, że w październiku 2021 r. nastąpi co najmniej 40-procentowy wzrost liczby incydentów z grupy "anonimowych", które mają szeroki zasięg pod względem liczby ofiar, rodzajów poszukiwanych informacji, celu, czasu trwania i metody ataku.

Badanie przewiduje, że liczba incydentów popełnianych przez Chiny wzrośnie o 92% i będą one dotyczyć głównie szpiegostwa, kradzieży własności intelektualnej, transportu i wojskowej infrastruktury obronnej oraz nadzoru dyplomatycznego.

Iran jest konsekwentnym sprawcą ataków i pomimo mniejszej liczby ataków w przeszłości, oczekuje się, że zwiększy swoje wysiłki o 224%, przeprowadzając wojskowe i polityczne ataki na sąsiadujące z nim Irak, Kuwejt i Zjednoczone Emiraty Arabskie. Sądząc po danych z poprzedniego roku, celem mogą być również Stany Zjednoczone.

Oczekuje się, że Korea Północna zwiększy ataki o 76% przeciwko firmom prywatnym, organizacjom pozarządowym (NGO) i agencjom rządowym zaangażowanym w nowe wydarzenia (np. instytuty badań nad pandemią).

Oczekuje się, że ataki rosyjskie wzrosną o 36%, koncentrując się głównie na infrastrukturze energetycznej, telekomunikacyjnej i badawczej. Możliwe są również włamania do nowatorskich obiektów badawczych i sportowych.

Rozwijając wiele zagrożeń, które mogą stać się „październikową niespodzianką”, Cunningham z Nuspire ostrzega przed atakami ransomware na infrastrukturę krytyczną, wskazując na ostatnie incydenty dotyczące Colonial Pipeline oraz dostawcy mięsa JBS. - Wiemy, że przestępcy mają na celowniku infrastrukturę krytyczną - powiedział.

Innym interesującym zjawiskiem, na które należy uważać, według Cunninghama, są niedobory w łańcuchu dostaw w handlu detalicznym, gdy ludzie zaczynają robić zakupy na okres świąteczny. - To będzie atak typu ransomware na infrastrukturę krytyczną lub dostawców detalicznych - dodał.

Co CISO mogą zrobić, aby uniknąć ryzyka?

Mówiąc o możliwych krokach, jakie CISO na całym świecie mogą podjąć w ramach przygotowań, Cunningham mówi: - Kiedy rozmawiamy z naszymi klientami, radzimy im, aby zrobili kilka rzeczy. Nie musimy się tu silić na fantazję. To powrót do podstaw - łatanie, zarządzanie dostępem uprzywilejowanym, uwierzytelnianie wieloczynnikowe, to wszystko ma krytyczne znaczenie i jest stosunkowo niedrogim i łatwym sposobem na udaremnienie działań wroga. Jednym z problemów, z jakimi borykamy się w branży cyberbezpieczeństwa, jest to, że staramy się nadmiernie przemyśleć problem, a w wielu przypadkach źli ludzie używają bardzo uproszczonych metod, aby skompromitować organizacje.

Aby skutecznie walczyć z nadchodzącymi zagrożeniami, Mellen z Forrestera mówi, że CISO muszą starać się objąć podstawy poprzez wdrożenie wieloczynnikowego uwierzytelniania przy użyciu silnych haseł, popierając menedżerów haseł i łatanie w spójnym harmonogramie.

Keatron Evans, główny badacz bezpieczeństwa w Infosec Institute, twierdzi, że przeglądy szkoleń są również kluczowe dla CISO. - Muszą oni upewnić się, że zwracają baczniejszą uwagę na to, czy ich ludzie są w pełni przeszkoleni - mówi Evans. - Szkolenia są często pomijane w codziennym młynie pracy, ale konieczne jest, aby pracownicy byli stale szkoleni i informowani o najnowszych zagrożeniach, ponieważ zagrożenia, które dotknęły nas w październiku 2020 r. prawdopodobnie znacznie różniły się od niektórych ataków, które możemy zobaczyć w październiku tego roku - powiedział.

Dodał, że ponieważ istnieje prawdopodobieństwo, że nadchodzi wzrost liczby cyberataków, CSIO powinny przeznaczyć pewne tymczasowe zasoby na wykrywanie i zapobieganie zagrożeniom.sec

Oprac. i tłum. Anna Ładan

Źródło: csoonline.com

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200