Przygotuj się, rok 2022 zapowiada rozszerzenie cybernetycznych konfrontacji, ponieważ ataki ransomware zyskują przewagę.
Niebezpieczny wzrost liczby ataków ransomware w ubiegłym roku spowodował niszczycielskie zagrożenia dla organizacji rządowych, infrastruktury krytycznej i przedsiębiorstw. Wzrost ten w dużej mierze wynikał z tego, że cyberprzestępcy stawali się coraz bardziej innowacyjni i odważni w swoim podejściu.
Raport firmy Positive Technologies z końca ubiegłego miesiąca wykazał, że cyberprzestępcy mogą przeniknąć do 93 procent sieci lokalnych firm i wywołać 71 procent zdarzeń uznanych za „niedopuszczalne” dla ich firm.
Przeniknięcie do wewnętrznej sieci firmy zajmuje cyberprzestępcom średnio dwa dni. Badacze odkryli, że wszystkie analizowane firmy były podatne na to, że intruz może uzyskać pełną kontrolę nad infrastrukturą po wejściu do sieci.
Pozytywne wyniki testów dotyczyły organizacji finansowych (29 procent), paliwowych i energetycznych (18 procent), rządowych (16 procent), przemysłowych (16 procent), informatycznych (13 procent) oraz innych sektorów.
Bugcrowd opublikował 18 stycznia swój coroczny raport Priority One Report, który ujawnił 185-procentowy wzrost liczby podatności wysokiego ryzyka w sektorze finansowym. Ujawnił on również wzrost popularności oprogramowania ransomware oraz reimaginację łańcuchów dostaw, które prowadzą do bardziej złożonych powierzchni ataku podczas pandemii.
Oprogramowanie ransomware wymknęło się spod kontroli
Ransomware wyprzedziło naruszenia danych osobowych jako zagrożenie, które zdominowało wiadomości dotyczące cyberbezpieczeństwa na całym świecie pod koniec 2021 roku. Globalne blokady i praca zdalna spowodowały pośpiech w umieszczaniu większej ilości zasobów w sieci, co doprowadziło do wzrostu liczby podatności.
Raporty te pokazują, że wszystkie firmy i organizacje są obecnie bardziej podatne na ataki hakerskie i muszą podwoić wysiłki w zakresie długoterminowej obrony cybernetycznej. Celem ataków są również indywidualni konsumenci.
Ransomware jest poważnym problemem dla każdego. Atakujący mogą zakłócić nasze codzienne życie, niezależnie od tego, czy atakują szpitale, gazociągi, szkoły czy inne firmy, ostrzegła Theresa Payton, była dyrektor ds. informatyki Białego Domu, a obecnie dyrektor generalna firmy konsultingowej Fortalice Solutions zajmującej się bezpieczeństwem cybernetycznym.
„Syndykaty Ransomware nie mają granic i atakują również nasze osobiste systemy i urządzenia” – powiedziała TechNewsWorld.
Inny przypadek
Według bloga Cisco Talos z 12 stycznia, hakerzy kupują przestrzeń od głównych dostawców usług w chmurze, aby rozpowszechniać złośliwe oprogramowanie Nanocore, Netwire i AsyncRAT.
W tym przypadku podmiot stwarzający zagrożenie wykorzystywał usługi w chmurze do wdrażania i dostarczania wariantów podstawowych zagrożeń zdalnego dostępu (RAT). Wdrożenia te zawierały funkcje wykradania informacji, począwszy od około 26 października 2021 roku.
Według Cisco Talos, warianty te są wyposażone w wiele funkcji umożliwiających przejęcie kontroli nad środowiskiem ofiary w celu zdalnego wykonania dowolnych poleceń i kradzieży informacji ofiary. Początkowym wektorem infekcji jest wiadomość phishingowa zawierająca złośliwy załącznik ZIP.
Te pliki archiwum ZIP zawierają obraz ISO ze złośliwym programem ładującym w postaci skryptu JavaScript, pliku wsadowego Windows lub skryptu Visual Basic. Gdy początkowy skrypt zostanie wykonany na komputerze ofiary, łączy się z serwerem pobierania w celu pobrania kolejnego etapu, który może być hostowany na serwerze Windows opartym na chmurze Azure lub instancji AWS EC2.
Aby dostarczyć złośliwy ładunek, aktor zarejestrował kilka złośliwych subdomen przy użyciu DuckDNS, darmowej usługi dynamicznego DNS.
Naukowcy stali się hakerami
Podczas oceny ochrony przed atakami z zewnątrz, eksperci Positive Technologies w 93 procentach przypadków naruszyli perymetr sieci. Liczba ta utrzymuje się na wysokim poziomie od wielu lat, co potwierdza, że przestępcy są w stanie naruszyć niemal każdą infrastrukturę korporacyjną – twierdzą badacze firmy.
„W 20 procentach naszych projektów pentestingowych (testów penetracyjnych) klienci prosili nas o sprawdzenie, jakie nieakceptowalne zdarzenia mogą być realne w wyniku cyberataku. Organizacje te zidentyfikowały średnio po sześć nieakceptowalnych zdarzeń, a nasi pentesterzy wyruszyli, aby je wywołać” – powiedziała TechNewsWorld Ekaterina Kilyusheva, szefowa działu badań i analiz w Positive Technologies.
Według klientów Positive, największe zagrożenie stanowią zdarzenia związane z zakłóceniem procesów technologicznych i świadczenia usług, a także kradzieżą środków finansowych i ważnych informacji. W sumie pentesterzy Positive Technologies potwierdzili realność 71 procent tych niedopuszczalnych zdarzeń.
„Nasi badacze stwierdzili również, że przestępca potrzebowałby nie więcej niż miesiąca na przeprowadzenie ataku, który doprowadziłby do wywołania nieakceptowalnego zdarzenia. A ataki na niektóre systemy mogą być opracowane w ciągu kilku dni” – dodała Kilyusheva.
Droga atakującego z sieci zewnętrznych do systemów docelowych zaczyna się od naruszenia obwodu sieci. Przeniknięcie do sieci wewnętrznej firmy zajmuje dwa dni.
Naruszenie danych uwierzytelniających jest głównym sposobem, w jaki przestępcy mogą przeniknąć do sieci korporacyjnej w większości firm. Tak wysoka liczba wynika głównie z tego, że stosowane są proste hasła, w tym do kont wykorzystywanych do administrowania systemami – wynika z raportu Positive.
Jeśli chodzi o ataki bezpieczeństwa na organizacje finansowe, są one uważane za jedne z najbardziej chronionych firm, w ramach weryfikacji niedopuszczalnych zdarzeń w każdym z banków testowanych przez Positive, zauważyła Kilyusheva.
Kluczowe trendy w cyberbezpieczeństwie
Raport Priority One firmy Bugcrowd zwrócił uwagę na kluczowe trendy w dziedzinie cyberbezpieczeństwa w ubiegłym roku. Obejmują one wzrost adopcji bezpieczeństwa opartego na crowdsourcingu ze względu na globalne przejście do hybrydowych i zdalnych modeli pracy oraz związaną z tym szybką transformację cyfrową.
Raport ujawnia, że strategiczny punkt ciężkości dla wielu organizacji we wszystkich branżach uległ zmianie, z naciskiem na usunięcie pozostałości długu bezpieczeństwa związanego z tą transformacją.
Do tej pory wysoce zaawansowane manewry i tajne operacje definiowały strategie ataków. Jednak w zeszłym roku podejście to zaczęło się zmieniać w kierunku bardziej powszechnych taktyk, takich jak ataki na znane podatności.
Według Bugcrowd, normy dyplomatyczne dotyczące hakerstwa osłabły do tego stopnia, że napastnicy z państw narodowych są teraz mniej zainteresowani skrytością niż w przeszłości.
Najważniejsze informacje z raportu Priorytet 1 na rok 2022 obejmują:
Cross-site scripting był najczęściej identyfikowanym typem podatności
Narażenie wrażliwych danych awansowało na trzecią pozycję z dziewiątej na liście 10 najczęściej identyfikowanych typów podatności
Ransomware stało się popularne, a rządy zareagowały
Łańcuchy dostaw stały się główną powierzchnią ataku
Testy penetracyjne przeżywają swój renesans
Wyłaniająca się gospodarka ransomware oraz ciągłe zacieranie się granic pomiędzy podmiotami państwowymi a organizacjami e-Crime zmieniają krajobraz cyberzagrożeń, według Casey Ellis, założyciela i dyrektora ds. technologii w Bugcrowd.
„Wszystko to, w połączeniu z rosnącymi i bardziej lukratywnymi powierzchniami ataku, stworzyło wysoce łatwopalne środowisko. W 2022 roku spodziewamy się jeszcze więcej tego samego” – prognozuje.
Płacić czy nie płacić?
Eksperci ds. cyberbezpieczeństwa i niektóre rządy zwykły zalecać, aby nie płacić okupu. Jest to nadal słuszna strategia, chociaż nie wszyscy urzędnicy państwowi i eksperci od cyberprzestępczości zgadzają się z nią.
Nie płacenie okupu powinno być celem globalnym, aby zniechęcić syndykaty cyberprzestępcze. Podczas gdy nasz zespół Fortalice Solutions reaguje na incydenty, zaobserwowaliśmy, że ofiary często nie chcą płacić okupu, zauważył Payton. Mimo to ich firmy ubezpieczeniowe od odpowiedzialności za cyberprzestępstwa mogą uznać, że taniej będzie zapłacić wymuszaczom, niż płacić za próby odzyskania danych. Jest to problematyczne.
„Jeśli ktoś musi zapłacić, nie osądzam organizacji-ofiary ani jej wstydu, ponieważ to nie rozwiązuje problemu. Ale rozważając zapłatę, ofiary powinny wiedzieć, że płatności, które średnio wyniosły 170.000 dolarów (według badań Sophos) nie zapewniają pełnego odzyskania danych” – powiedział Payton.
Sophos odkrył również, że 29 procent firm dotkniętych problemem nie zdołało odzyskać nawet połowy swoich zaszyfrowanych danych, a tylko osiem procent osiągnęło pełne odzyskanie danych.
Historycznie, oprogramowanie ransomware jest bardziej ukierunkowane na organizacje z danymi o znaczeniu krytycznym niż na osoby prywatne. Jednak, jeśli kiedykolwiek straciłeś dane z powodu awarii starego dysku twardego, poczułeś ból związany z atakiem ransomware, twierdzi Lisa Frankovitch, dyrektor generalny firmy Uplogix zajmującej się zarządzaniem sieciami.
O wiele lepiej jest stosować najlepsze praktyki bezpieczeństwa, takie jak dwuskładnikowe uwierzytelnianie, menedżery haseł i szyfrowanie, niż musieć decydować, czy zapłacić okup, czy nie, radzi.
Wpływ na użytkowników końcowych
Największym zagrożeniem, jakie cyberataki stanowią zarówno dla firm, jak i konsumentów, są przestoje, zauważa Frankovitch. Niezależnie od tego, czy naruszona została sieć, czy skradziono tożsamość użytkownika, zakłócenia i przestoje mogą być katastrofalne w skutkach.
„Gartner szacuje, że średni koszt przerwy w działaniu sieci wynosi ponad 300 000 dolarów za godzinę,” powiedziała TechNewsWorld.
Jeśli chodzi o bezpieczeństwo sieci korporacyjnych, amerykańska Agencja Bezpieczeństwa Narodowego (NSA) opublikowała wytyczne dotyczące wykorzystania zarządzania pozapasmowego w celu stworzenia ram, które poprawiają bezpieczeństwo sieci poprzez segmentację ruchu związanego z zarządzaniem od ruchu operacyjnego.
Zapewnienie, że ruch związany z zarządzaniem pochodzi wyłącznie z pozapasmowej ścieżki komunikacyjnej, uniemożliwia skompromitowanym urządzeniom użytkowników lub złośliwemu ruchowi sieciowemu wpływanie na operacje sieciowe i narażanie infrastruktury sieciowej – wyjaśnia Frankovitch.