Firmy na celowniku hakerów

Po raz pierwszy od ponad roku ransomware nie jest głównym zagrożeniem obserwowanym przez Cisco Talos Incident Response (CTIR). Nieznacznie wyprzedziły go ataki wykorzystujące tzw. commodity malware. Nie oznacza to, że ataki typu ransomware to już przeszłość. Są nadal w ścisłej czołówce zagrożeń.

fot. Pixabay

Commodity malware było najczęściej pojawiającym się zagrożeniem w minionym kwartale, co jest o tyle istotną zmianą, że wcześniej liczba obserwowanych przez zespół CTIR ataków wykorzystujących trojany typu commodity spadała regularnie od 2020 r. Eksperci Cisco Talos wskazują, że obecnie obserwujemy renesans trojanów odpowiadających za ataki na pocztę elektroniczną.

Najbardziej narażone na ataki były firmy z branży telekomunikacyjnej, którą niezmiennie od IV kwartału 2021 r. interesują się cyberprzestępcy. Tuż za nią plasują się organizacje z sektora edukacji i opieki zdrowotnej.

Zobacz również:

  • Wirusy na Androida - popularne i niebezpieczne zagrożenia
  • Ubezpieczenie w cyfrowym świecie
  • SpaceX dostarczy Starlinki dla autobusów szkolnych

Cała paleta zła

W drugim kwartale tego roku zauważono znaczny wzrost zagrożeń ze strony commodity malware, które stanowiły 20% wszystkich odnotowanych ataków. To szkodliwe oprogramowanie można łatwo zakupić lub nawet bezpłatnie pobrać. Zazwyczaj cyberprzestępcy, którzy je wykorzystują, stawiają na efekt skali, gdyż nie jest ono dostosowane do potrzeb ataków na konkretne cele. Atakujący używają go na różnych etapach swoich operacji m.in. do dostarczania dodatkowych zagrożeń, w tym wielu wariantów złośliwego oprogramowania, o których mowa poniżej.

O tym, że phishing jest wciąż chętnie wykorzystywaną przez cyberprzestępców metodą, świadczy przykład ataku na placówkę medyczną w USA. Zespół CTIR zidentyfikował złośliwy plik Microsoft Excel (XLS) rozpowszechniany za pośrednictwem wiadomości phishingowych zawierających jeden z wariantów złośliwego programu RAT Remcos. Będący w użyciu od co najmniej 2016 roku Remcos nagrywa audio, robi zrzuty ekranu, gromadzi dane ze schowka i informacje wprowadzane za pomocą klawiatury, a także wiele więcej. Zespół CTIR zidentyfikował zdalne połączenia sieciowe przy użyciu konta administratora systemu, poza godzinami jego pracy. W ostatnich tygodniach eksperci odnotowali aktywność Qakbota - trojana przejmującego wątki e-mail. Metoda ta polega na rozsyłaniu wiadomości z historią konwersacji w treści, dzięki czemu osoba zaatakowana odnosi wrażenie, że jest to kontynuacja korespondencji. W ramach incydentu, który dotknął władze lokalne w USA, zespół CTIR zbadał trzy fale wiadomości phishingowych, które po otwarciu przez użytkownika instalowały Qakbota.

Ransomware nadal groźny

Nie można jednak usypiać czujności w związku z użyciem ransomware. To nadal jedno z głównych zagrożeń w cyfrowym świecie. W drugim kwartale tego roku szczególnie widoczne były znane już wcześniej warianty oprogramowania ransomware dostępne jako usługa (Ransomware as a Service, RaaS), takie jak BlackCat (znany również jako ALPHV) i Conti. Wykorzystywano je do ataku na duże organizacje, licząc na znaczne wypłaty okupu. Z kolei ransomware LockBit pojawił się w nowej wersji, która zawiera nowe opcje płatności w kryptowalutach dla ofiar, dodatkowe taktyki wymuszeń i nowy program „bug bounty”, zachęcający do zgłaszania nowych podatności, które następnie cyberprzestępcy mogą wykorzystać do ataku.

Jak zmniejszać ryzyko cyberataku?

Eksperci Cisco Talos wskazują uwierzytelnianie wieloskładnikowe jako metodę znacznie zmniejszającą ryzyko wystąpienia cyberataku. W co najmniej dwóch incydentach w tym kwartale, partner lub osoba trzecia związana z dotkniętą atakiem organizacją, nie mieli wdrożonej tej formy zabezpieczeń, co umożliwiło napastnikowi łatwiejsze uzyskanie dostępu i dokonanie uwierzytelnienia.

# Jakie rozwiązania powinny zostać wdrożone? Rekomendacje Fortinet#

• Oprogramowanie antymalware bazujące na sztucznej inteligencji

• Narzędzia do wykrywania zagrożeń w urządzeniach końcowych i reagowanie na nie (EDR)

• Zaawansowane systemy zapobiegania włamaniom (IPS)

• Rozwiązania typu sandbox wzbogacone o mapowanie MITRE ATT&CK

• Firewalle nowej generacji (NGFW)

• Usługi ochrony przed zagrożeniami cyfrowymi (DRPS) przeznaczone do przeciwdziałania atakom w fazie rozpoznania

Na tym jednak prewencja organizacji się nie kończy. Ryzyko zawsze istnieje. Jak podkreślają eksperci z firmy Fortinet, wiele firm bazuje na przekonaniu, że jeśli wdrożą rozwiązania zabezpieczające, to cyberprzestępcy zniechęcą się i będą szukali łatwiejszego celu. Takie podejście nie uwzględnia jednak ważnej cechy oszustów – chciwości. Ponieważ oprogramowanie ransomware przynosi niezwykłe dochody, stają się oni jeszcze bardziej przebiegli i poświęcają znacznie więcej energii na przygotowanie rozpoznawczej fazy ataku, między innymi w celu ominięcia mechanizmów ochronnych.

Rozpoznanie to jeden z pierwszych etapów ataku, do których zaliczane są także wybór strategii przez atakujących oraz zaplanowanie całej operacji. Odpowiedni rekonesans umożliwia przestępcom maksymalizację potencjalnych zysków wynikających z uruchomienia złośliwego oprogramowania i kradzieży danych. Sprawdzają oni, czy firmowa sieć jest podatna na ataki, czy możliwe jest uzyskanie nieautoryzowanego dostępu do danych i jak długo można unikać wykrycia.

Według analityków z działających w strukturach Fortinetu laboratoriów FortiGuard Labs, w ciągu 12 miesięcy (lipiec 2020-czerwiec 2021) nastąpił prawie 11-krotny wzrost liczby ataków z wykorzystaniem ransomware’u. Aby skutecznie przeciwstawiać się działaniom złodziei danych, konieczna jest zmiana strategii. Większość firm skupia się wyłącznie na ochronie w późniejszych fazach ataku. Aby możliwa była szybka i skoordynowana reakcja, rozwiązania ochronne powinny być wyposażone w mechanizmy bazujące na sztucznej inteligencji, pozwalające wykrywać wzorce ataków i powstrzymywać zagrożenia w czasie rzeczywistym. Jak podkreślają eksperci Fortinet, działania trzeba podejmować, zanim będzie za późno.

O bezpieczeństwie, szczególnie w dobie pracy zdalnej, rozmawialiśmy z ekspertami z Cisco i Atende w naszym redakcyjnym podcaście. Posłuchaj TUTAJ by dowiedzieć się, na ile polskie firmy priorytetyzują kwestie bezpieczeństwa swoich danych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200