Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Fortinet przedstawił najnowszą edycję raportu Global Threat Landscape, opracowanego przez analityków FortiGuard Labs. Dane dotyczące zagrożeń zaobserwowanych w pierwszej połowie 2021 r. wskazują na znaczny wzrost liczby i poziomu wyrafinowania ataków skierowanych przeciwko osobom prywatnym, przedsiębiorstwom oraz krytycznej infrastrukturze. Na celowniku cyberprzestępców nadal znajduje się rosnąca liczba osób pracujących i uczących się zdalnie.
Badacze zauważyli, że podjęta w odpowiednim czasie współpraca pomiędzy organami ścigania, a także podmiotami z sektora publicznego i prywatnego daje szansę na zakłócenie działań cyberprzestępców w drugiej połowie 2021 roku.
Oto najważniejsze informacje z raportu za pierwsze półrocze 2021 r:
1. W cyberatakach typu ransomware chodzi o coś więcej niż pieniądze
Dane FortiGuard Labs wskazują, że aktywność oprogramowania ransomware w czerwcu 2021 r. była ponad dziesięć razy wyższa niż rok temu. Świadczy to o konsekwentnym i stałym wzroście popularności tego narzędzia. Incydenty z użyciem ransomware’u sparaliżowały łańcuchy dostaw wielu przedsiębiorstw, szczególnie w branżach o krytycznym znaczeniu. Bardziej niż kiedykolwiek wpłynęły na życie codzienne, handel, produktywność pracowników itd.
Cyberprzestępcy najczęściej atakowali przedsiębiorstwa z sektora publicznego, branży telekomunikacyjnej, motoryzacyjnej, produkcyjnej oraz dostawców zarządzanych usług bezpieczeństwa (MSSP). Niektórzy jednak zmienili swoją strategię i odchodzą od inicjowania ataku poprzez wiadomości e-mail. Obecnie szczególne znaczenie ma dla nich zdobywanie danych zapewniających dostęp do sieci korporacyjnych i sprzedawanie ich, co przekłada się na rozwój modelu usługowego Ransomware-as-a-Service (RaaS).
Kluczowy wniosek jest taki, że ransomware pozostaje oczywistym i aktualnym zagrożeniem dla wszystkich firm, niezależnie od ich branży i wielkości. Muszą one przyjąć zatem proaktywne podejście do bezpieczeństwa - stosować rozwiązania do ochrony urządzeń końcowych w czasie ¬rzeczywistym, wykrywania incydentów i automatycznego reagowania na nie, wraz z podejściem Zero Trust Access, segmentacją sieci i szyfrowaniem.
2. Jedna na cztery firmy wykryła malvertising
W ubiegłym półroczu cyberprzestępcy najchętniej wykorzystywali techniki scareware oraz malvertising. Bazujące na nich ataki dotknęły ponad 25% firm. W tym kontekście należy zwrócić uwagę zwłaszcza na rodzinę trojanów Cryxos, które na zainfekowanych lub złośliwych stronach wyświetlały oszukańcze powiadomienia. Chociaż duża część wykrytych przypadków jest prawdopodobnie połączona z innymi podobnymi kampaniami wykorzystującymi JavaScript, to uznaje się je za malvertising.
Cyberprzestępcy próbują tym samym zareagować na popularność powszechnie praktykowanego hybrydowego trybu pracy i nauki, co przekłada się na zmianę trendów w ich taktyce. Teraz dążą już nie tylko do przestraszenia ofiary, ale też do wymuszenia na niej spełnienia swoich żądań. Ważne jest zatem edukowanie użytkowników sieci i zwiększenie ich świadomości na temat cyberbezpieczeństwa, aby zapobiec atakom typu scareware i malvertising.
3. Trendy dotyczące botnetów wskazują, że cyberprzestępcy atakują brzeg sieci
Gwałtowne nasilenie aktywności odnotowano z kolei w przypadku botnetów. W ciągu pół roku odsetek podmiotów, które wykryły je w swojej sieci, wzrósł z 35% do 51%. Związane jest to z wykorzystywaniem przez cyberprzestępców złośliwego kodu o nazwie TrickBot. Pierwotnie był to trojan bankowy, ale został rozwinięty do postaci wyrafinowanego zestawu narzędzi do przeprowadzania wieloetapowych ataków.
Wprowadzenie zdalnego trybu pracy i nauki, a wraz z tym zmiana codziennych nawyków, dla cyberprzestępców wciąż stanowią okazję do działania. Z tego powodu najbardziej rozpowszechnionym botnetem był Mirai atakujący urządzenia Internetu rzeczy (IoT) używane przez osoby pracujące lub uczące się w domu. W 2020 roku wyprzedził botneta zdalnego dostępu Gh0st i utrzymuje pozycję lidera także w 2021 roku. Gh0st natomiast stanowi nadal poważne zagrożenie – umożliwia on przejęcie pełnej kontroli nad zainfekowanym systemem, przechwytywanie na żywo obrazu z kamery internetowej i mikrofonu oraz pobieranie plików. Dlatego, aby chronić sieci i aplikacje, potrzebne jest stosowanie podejścia Zero Trust Access. Znaczne ograniczenie uprawnień dostępu zabezpiecza rozwiązania IoT i inne urządzenia podłączone do sieci.
4. Zaburzenie funkcjonowania środowisk cyberprzestępczych przekłada się na zmniejszenie liczby zagrożeń
Chociaż cyberprzestępcy stają się coraz bardziej skuteczni, w 2021 r. walka z nimi przyniosła pewne sukcesy. W czerwcu twórca TrickBota został postawiony w stan oskarżenia pod wieloma zarzutami. Udało się również wyeliminować Emotet, jeden z najbardziej złośliwych programów w historii. Znaczącym krokiem było także podjęcie działań, które mają na celu przerwanie operacji związanych z należącym do kategorii ransomware oprogramowaniem Egregor, NetWalker i Cl0p. Stanowi to znaczący impuls do dalszej walki z cyberprzestępczością, głownie dla rządów z całego świata i organów ścigania.
Ponadto, duży rozgłos, który towarzyszył niektórym atakom, spowodował wycofanie się z działalności kilku operatorów ransomware. Dane FortiGuard Labs wykazały spowolnienie aktywności cyberprzestępców po wyłączeniu Emoteta. Ataki związane z wariantami TrickBot i Ryuk jeszcze się zdarzały, jednak ich skala była mniejsza. Świadczy to o tym, jak trudno jest natychmiast wyeliminować cyberzagrożenia lub wykorzystywane przez nie łańcuchy dostaw w całości, jednakże wspomniane wydarzenia stanowią ważne osiągnięcia.
5. Cyberprzestępcy preferują techniki unikania oraz eskalację uprawnień
Skrupulatna analiza danych dotyczących cyberzagrożeń pozwala na wyciągnięcie wniosków na temat tego, jak obecnie ewoluują techniki ataków. FortiGuard Labs badało specyficzne funkcje wykrytego złośliwego oprogramowania poprzez uruchomienie jego próbek, aby przyjrzeć się zaimplementowanym przez cyberprzestępców mechanizmom zachowania. W efekcie sporządzono listę negatywnych rezultatów, które złośliwe oprogramowanie mogłoby spowodować, gdyby zostało uruchomione w docelowych środowiskach IT.
Z tego eksperymentu wynika, że przestępcy dążyli między innymi do eskalacji uprawnień, unikania mechanizmów ochronnych, przemieszczania się pobocznymi wobec wewnętrznych systemów ścieżkami oraz wykradania danych. Aż 55% zaobserwowanych funkcji eskalacji uprawnień wykorzystało technikę przechwytywania wywołań systemowych (hooking), zaś w 40% przypadków obecne były mechanizmy wstrzykiwania procesów.
Przykłady te pokazują, że w działalności cyberprzestępców istnieje oczywisty nacisk na stosowanie taktyki unikania obrony i eskalacji przywilejów. Dzięki tym obserwacjom, chociaż techniki te nie są nowe, zespoły ds. cyberbezpieczeństwa będą lepiej przygotowane do obrony przed przyszłymi atakami. Zintegrowane i korzystające z mechanizmów na sztucznej inteligencji (AI) platformowe podejście do bezpieczeństwa, bazujące na informacjach o zagrożeniach, jest niezbędne wobec zmieniającej się sytuacji, przed którą stoją dziś przedsiębiorstwa.
Skuteczność działania zapewni tylko partnerstwo, szkolenia, a także bazująca na sztucznej inteligencji prewencja oraz wykrywanie incydentów i reagowanie na nie
Chociaż instytucje rządowe i organy ścigania podejmowały wspólne akcje przeciw cyberprzestępczości w przeszłości, pierwsza połowa 2021 roku może być przełomowa pod względem tempa działań. Służby współpracują z dostawcami branżowymi, podmiotami zajmującymi się badaniem cyberzagrożeń oraz innymi globalnymi instytucjami partnerskimi. Jest to efekt przyjętej strategii, polegającej na połączeniu zasobów i informacji o cyberzagrożeniach w celu podjęcia bezpośrednich działań przeciwko przestępcom.
Niezależnie od tego, zastosowanie mechanizmów zautomatyzowanego wykrywania zagrożeń i sztucznej inteligencji (AI) pozostaje niezbędne, aby można było reagować na ataki w czasie rzeczywistym, łagodzić ich skutki z odpowiednią szybkością oraz we właściwej skali na każdym brzegu sieci. Ponadto, niezwykle ważne są szkolenia użytkowników w zakresie cyberbezpieczeństwa, ponieważ każdy może stać się ofiarą przestępstwa w sieci. Aby zapewnić ochronę poszczególnym pracownikom i całej firmie, potrzebny jest regularny instruktaż na temat najlepszych praktyk.
"Obserwujemy wzrost liczby skutecznych i niszczycielskich cyfrowych ataków, dotykających tysiące przedsiębiorstw w ramach jednej kampanii, co stanowi ważny punkt zwrotny w wojnie z cyberprzestępczością. Teraz, bardziej niż kiedykolwiek, każda osoba ma do odegrania ważną rolę we wzmocnieniu łańcucha działań mających na celu zneutralizowanie ataków. Połączenie sił dzięki współpracy musi być priorytetem w celu przerwania łańcuchów dostaw cyberprzestępców. Dzielenie się danymi oraz partnerskie relacje umożliwią skuteczniejsze reagowanie i lepsze przewidywanie stosowanych w przyszłości technik w celu powstrzymania działań przeciwników. Ciągłe szkolenia w zakresie świadomości cyberbezpieczeństwa, jak również bazujące na sztucznej inteligencji mechanizmy zapobiegania zagrożeniom, wykrywania ich i reagowania na nie, zintegrowane w urządzeniach końcowych, sieciach i chmurze, pozostaną kluczowe w walce z cyberprzestępcami" - stwierdził Derek Manky, szef działu Security Insights i Global Threat Alliances, FortiGuard Labs.
Informacje o raporcie
Najnowszy raport Global Threat Landscape Report zawiera zbiorczą analizę opracowaną przez FortiGuard Labs, sporządzoną na podstawie danych z pierwszej połowy 2021 roku, pochodzących z należącej do Fortinetu rozległej sieci czujników, gromadzących miliardy informacji o zagrożeniach obserwowanych na całym świecie. W podobny sposób, jak ramy MITRE ATT&CK klasyfikują taktykę i techniki działania cyberprzestępców w trzech grupach obejmujących rozpoznanie, , zarządzanie zasobami i próbę uzyskania dostępu, tak FortiGuard Labs wykorzystuje ten model do opisania w dokumencie Global Threat Landscape Report w jaki sposób hakerzy znajdują luki, budują złośliwą infrastrukturę i eksplorują środowisko ofiary. Raport uwzględnia również perspektywę globalną i regionalną.
Źródło: Fortinet
