W ciągu ostatnich kilku tygodni zespół FortiGuard Labs odnotował znaczący wzrost ilości zagrożeń powiązanych z pandemią COVID-19. Istotne wydarzenia społeczne są zazwyczaj katalizatorem do powstawania nowych zagrożeń, bo zawsze znajdą się ludzie, którzy będą chcieli wykorzystać innych w dobie kryzysu. Cyberprzestępcy rozumieją, że czasy gwałtownych zmian mogą spowodować poważne zakłócenia dla firm. Wprowadzane w pośpiechu zmiany, które mają zapewnić ciągłość działania biznesu, powodują, że łatwo można przeoczyć niektóre rzeczy takie, jak odpowiednia konfiguracja protokołów bezpieczeństwa, a przestępcy chcą wykorzystać te niezamierzone luki w zabezpieczeniach.

Chociaż tego rodzaju reakcji cyberprzestępców można było oczekiwać, ale zaskakujący jest wyjątkowo duży wzrost liczby nowych zagrożeń, który został ostatnio zarejestrowany przez FortiGuard Labs. Przeglądnie Dark Web w poszukiwaniu nowych trendów cyberprzestępczych i złośliwego oprogramowania ujawnia niepokojący wzrost liczby reklam prezentujących oferty dostarczenia chlorochiny lub innych leków, a także urządzeń medycznych, które są oszustwami żerującymi na obawach związanych z trwającą pandemią.

Zauważyliśmy także ogromny wzrost ilości ataków wykorzystujących hasło koronawirusa do prób oszustw finansowych, związanych z usługami transportowymi, płatnościami kartami kredytowymi, a także ofert oprogramowania ułatwiającego przygotowanie ataków przez początkujących cyberprzestępców, mówią analitycy z FortiGuard Labs.

Jak cyberprzestępcy wykorzystują koronawirusa

W internecie pojawiła się bezprecedensowa liczba nowych, niezabezpieczonych użytkowników i urządzeń. W każdym domu, w każdej chwili, prawdopodobnie jedna lub dwie osoby łączą się zdalnie z firmowymi zasobami wykorzystując domowe łącza internetowe. W domu często są też dzieci, które zajmują się zdalną nauką wykorzystującą system e-learningowy, a później nawiązują połączenia ze znajomymi lub serfują. Członkowie rodziny bardziej też angażują się w gry online, częściej rozmawiają z przyjaciółmi na czacie i za pośrednictwem mediów społecznościowych, a także korzystają z przesyłanej strumieniowo muzyki i wideo.

To idealne warunki dla cyberprzestępców.

FortiGuard labs rejestruje dziennie około 600 nowych kampanii phishingowych. Ich treść ma na celu żerowanie na obawach poszczególnych osób lub udawaniu, że w mailach przekazywane są istotne informacje. Ataki phishingowe oferują na przykład pomoc w zdeponowaniu pieniędzy, nabyciu trudno dostępnych środków medycznych lub zapewnieniu wsparcia technicznego dla nowych pracowników zdalnych.

Oprócz oszustw internetowych skierowanych do dorosłych, niektóre ataki phishingowe kierowane są na komputery wykorzystywane przez dzieci oraz systemy gier komputerowych. Pojawiają się oferty nowych, darmowych gier wideo lub atrakcyjnych, nielegalnie udostępnianych filmów. Komputer każdego kto się da się skusić darmową ofertą, po zalogowaniu zostaje zainfekowany złośliwym oprogramowaniem i to jest realna „cena” za bezpłatny dostęp.

Ataki phishingowe to dopiero początek

Chociaż ataki rozpoczynają się od phishingu, ich celem końcowym jest kradzież danych osobowych lub przygotowanie ataku na firmę za pośrednictwem pracowników zdalnych.

Większość z phishingowych maili ma złośliwą zawartość: ransomware, wirusy lub konie trojańskie mające zapewnić zdalny dostęp do urządzeń końcowych albo przejęcie nad nimi kontroli przy wykorzystaniu protokołu RDP.

Niestety w obliczu pandemii nie każda firma była w stanie zapewnić wystarczającą liczbę odpowiednio skonfigurowanych i zabezpieczonych laptopów dla wszystkich pracowników, którzy zaczęli pracować zdalnie. W rezultacie część z nich wykorzystuje urządzenia osobiste do łączenia się z siecią firmową. Komputery te wykorzystywane są również do przeglądania sieci, mediów społecznościowych, robienia zakupów itd. Na ogół są znacznie gorzej chronione, co oznacza znacznie większą podatność na złośliwe oprogramowanie instalowane przy wykorzystaniu ataków phishingowych.

Komputery te nie muszą być atakowane bezpośrednio. Ponieważ do sieci domowej podłączonych może być wiele urządzeń, cyberprzestępcy mają różne możliwości ataku na inne komputery, tablety, konsole do gier, a coraz częściej także na urządzenia IoT, takie jak aparaty cyfrowe, urządzenia Smart Home (dzwonek do drzwi, urządzenia klimatyzacyjne, system alarmowy czy inteligentne oświetlenie). Ostatecznym celem może być znalezienie drogi wejścia do firmowej sieci i jej zasobów.

W konsekwencji udanego ataku złośliwe oprogramowanie może się dostać do firmowego systemu, a także rozprzestrzenić na urządzenia innych pracowników zdalnych. Wynikające z tego zakłócenia w działalności biznesowej mogą być równie groźne, jak udany atak ransomware. Bo wsparcie techniczne również działa zdalnie i usunięcie infekcji oraz odtworzenie obrazów systemu we wszystkich komputerach może trwać wiele dni.

Duży wzrost ilości wirusów

Fortinet zaobserwował nie tylko zwiększenie ilości ataków phishingowych, ale również znaczny wzrost liczby nowych wirusów. W pierwszym kwartale 2020 roku było ich w styczniu o 17% więcej niż rok wcześniej, w lutym o 52% więcej, a w marcu aż o 131%.

Ciekawe, że jednocześnie odnotowany został spadek liczby tradycyjnych metod ataku. W pierwszym kwartale 2020 roku liczba botnetów zmniejszała się w kolejnych miesiącach odpowiednio o 66%, 65% oraz 44%.

Można stąd wyciągnąć wniosek, że cyberprzestępcy dostosowują swoje strategie ataków tak, by lepiej wykorzystać obecny kryzys.

Jak zwiększyć bezpieczeństwo w praktyce

Firmy powinny podjąć działania mające na celu ochronę zdalnych pracowników pomagając im w odpowiednim zabezpieczeniu urządzeń i sieci domowych, a także rozpoznawaniu zagrożeń.

Strategia bezpieczeństwa w tym zakresie powinna zawierać kilka podstawowych, ważnych elementów takich, jak:

• Informuj zdalnych pracowników i ich rodziny na czym polega phishing i złośliwe strony internetowe oraz jak należy się przed nimi zabezpieczyć by powstrzymać atak. Fortinet udostępnia szereg bezpłatnych zasobów szkoleniowych, które pomagają w wyjaśnieniu najważniejszych zagadnień związanych z bezpieczeństwem pracy zdalnej (program Fortinet NSE).
• Upewnij się, że pracownicy zdalni mają zainstalowane oprogramowanie do obsługi bezpiecznych, szyfrowanych połączeń takie, jak darmowy FortiClient VPN. W celu zapewnienia bardziej zaawansowanych zabezpieczeń można rozważyć wdrożenie rozwiązania FortiEDR do wykrywania i usuwania zagrożeń. Poleć użytkownikom, aby sprawdzili i włączyli zabezpieczenia dołączane do większości routerów domowych i punktów dostępu bezprzewodowego Wi-Fi. Powinni oni również skontaktować się ze swoim dostawcą usług internetowych (ISP), aby sprawdzić, jakie usługi zabezpieczeń są przez niego świadczone i zlecić ich włączenie.
• Upewnij się, że firmowa infrastruktura jest również dobrze chroniona. Oprócz FortiToken i FortiAuthenticator, które udostępniają mechanizmy wieloskładnikowego uwierzytelniania i jednokrotnego logowania, można wykorzystać istniejące urządzenia FortiGate do obsługi kanałów VPN i kontroli ruchu. Rozważ również wykorzystanie rozwiązania FortiNAC, aby upewnić się, że uwierzytelnione urządzenia mają dostęp tylko do tych zasobów sieciowych, których potrzebują oraz automatycznie reagować na urządzenia stwarzające zagrożenie. FortiNAC może zagwarantować, że dostęp do firmowej sieci będą miały tylko te urządzenia, które zostały zaktualizowane i odpowiednio skonfigurowane.
• I na koniec, wykonaj przegląd innych narzędzi bezpieczeństwa. Biorąc pod uwagę, że tak wiele ataków opiera się na phishingu, bardzo ważne jest, aby bramka pocztowa była w stanie wykrywać ataki phishingowe i spam oraz eliminować niebezpieczne, złośliwe załączniki. Można tu wykorzystać bramę FortiMail, która według niezależnych testów NSS LABS zapewnia 100-procentowe wykrywanie i blokowanie ataków phishingowych z zerową liczbą fałszywych alarmów.

Zacznij działać natychmiast

W sytuacji kryzysowej firmy zaczęły pośpiesznie wdrażać pracę zdalną, aby utrzymać ciągłość działania. Jest prawdopodobne, że popełniają błędy, które mogą zostać wykorzystane przez przestępców. By tego uniknąć ważna jest przede wszystkim znajomość ryzyka oraz podjęcie działań, które mogą je zminimalizować. W sytuacji, gdy zapewnienie ciągłości operacyjnej i biznesowej ma znaczenie krytyczne, bezpieczeństwo nie jest czymś co można odłożyć na później. Bo cyberprzestępcy są bardzo aktywni i potrafią wykorzystać obecny kryzys dla osiągnięcia osobistych korzyści.