Podwojenie liczby ataków na branże wspierające walkę z Covid-19

IBM Security opublikował raport X-Force Threat Intelligence Index 2021. Dokument pokazuje ewolucję cyberataków w 2020 r., gdy przestępcy starali się wykorzystać szereg wyzwań społeczno-gospodarczych, biznesowych i politycznych wywołanych pandemią COVID-19. W 2020 r. IBM Security X-Force zaobserwował, że ataki dotyczą firm, na których w dużym stopniu leżał ciężar działań w odpowiedzi na pandemię COVID-19. Należały do nich szpitale, producenci z branży medycznej i farmaceutycznej, a także firmy energetyczne zasilające łańcuch dostaw COVID-19.

Według najnowszego raportu w minionym roku cyberataki na służbę zdrowia, sektory produkcji i energetyki podwoiły się w stosunku do 2019 r. Celem atakujących były organizacje, które nie mogły sobie pozwolić na przestoje z uwagi na ryzyko zakłócenia działań medycznych lub krytycznych łańcuchów dostaw. W rzeczywistości produkcja i energetyka były jednymi z najbardziej atakowanych branż w 2020 r., ustępując jedynie branży finansów i ubezpieczeń. Przyczynił się do tego fakt, że atakujący wykorzystali blisko 50-proc. wzrost liczby „wykrytych” luk w zabezpieczeniach systemów kontroli przemysłowej ICS, od których produkcja i energetyka są silnie uzależnione.

– Pandemia zmieniła to, co dziś uważane jest za infrastrukturę krytyczną, a atakujący zwrócili na to uwagę. Wiele organizacji po raz pierwszy znalazło się na pierwszej linii frontu reagowania – czy to w celu wspierania badań nad COVID-19, podtrzymywania łańcuchów dostaw szczepionek i żywności czy też produkcji środków ochrony osobistej – powiedziała Karolina Doran, Security Leader for Poland and Baltics. – Ofiary ataków zmieniały się wraz z rozwojem wydarzeń związanych z COVID-19, co po raz kolejny pokazuje zdolność adaptowania się i uporczywego działania cyberprzestępców.

X-Force Threat Intelligence Index opiera się na spostrzeżeniach i obserwacjach ponad 150 mld zdarzeń bezpieczeństwa dziennie w ponad 130 krajach. Ponadto dane są gromadzone i analizowane z wielu źródeł w ramach IBM, w tym IBM Security X-Force Threat Intelligence and Incident Response, X-Force Red, IBM Managed Security Services oraz z danych dostarczonych przez Quad9 i Intezer, które również przyczyniły się do powstania raportu 2021.

Wybrane wnioski z raportu:

  • Cyberprzestępcy zwiększają wykorzystanie złośliwego oprogramowania linuksowego. Przy 40-proc. wzroście złośliwego oprogramowania związanego z Linuksem w ciągu ostatniego roku, według Intezer, oraz 500-proc. wzroście złośliwego oprogramowania w języku Go w pierwszych sześciu miesiącach 2020 r., atakujący przyspieszają migrację do złośliwego oprogramowania linuksowego, które może łatwiej działać na różnych platformach, w tym w środowiskach chmurowych.
  • Pandemia napędza podszywanie się pod znane marki. W roku społecznego dystansu i pracy zdalnej, marki oferujące narzędzia do współpracy, takie jak Google, Dropbox i Microsoft, lub marki e-commerce, takie jak Amazon i PayPal, znalazły się w Top 10 marek, pod które w 2020 r. najczęściej podszywali się cyberprzestępcy. YouTube i Facebook, na których konsumenci w ub.r. bardziej polegali jako źródle wiadomości, również znalazły się na szczycie listy. Co ciekawe, siódmą marką w 2020 r., pod którą podszywali się przestępcy, był debiutujący w zestawieniu Adidas, prawdopodobnie przez zainteresowanie konsumentów liniami sneakersów Yeezy i Superstar.
  • Grupy ransomware zarabiają na zyskownym modelu biznesowym. Oprogramowanie ransomware było przyczyną prawie co czwartego ataku, na które odpowiedział zespół X-Force w 2020 r. Ataki ewoluowały agresywnie i obejmowały taktykę podwójnego wymuszenia. Według szacunków X-Force Sodinokibi – czyli najczęściej występująca grupa ransomware 2020 r. – korzystając z tego modelu, mogła liczyć na bardzo wysokie dochody w minionym roku. X-Force szacuje, że grupa zarobiła lekko ponad 123 mln dolarów w 2020 r., przy czym ok. dwie trzecie jej ofiar zapłaciło okup.

Inwestycje w złośliwe oprogramowanie typu Open-Source zagrażają środowiskom chmury

W czasie pandemii COVID-19 wiele firm starało się przyspieszyć wdrażanie chmury. Ostatnie badanie Gartnera wykazało, że prawie 70 proc. organizacji korzystających obecnie z usług w chmurze planuje zwiększyć swoje wydatki na chmurę w następstwie zakłóceń spowodowanych przez COVID-19. Jednak w sytuacji, gdy Linux obecnie obsługuje 90-proc. obciążeń w chmurze, a raport X-Force wskazuje na 500-proc. wzrost liczby rodzin złośliwego oprogramowania związanego z Linuksem w ciągu ostatniej dekady, środowiska chmurowe mogą stać się głównym celem ataku.

Wraz ze wzrostem popularności złośliwego oprogramowania typu open-source IBM ocenia, że atakujący mogą szukać sposobów na zwiększenie swoich zysków – być może obniżając koszty, zwiększając skuteczność i tworząc możliwości skalowania bardziej dochodowych ataków. Raport zwraca uwagę na różne grupy zagrożeń, takie jak APT28, APT29 i Carbanak, kierujące się ku złośliwemu oprogramowaniu open-source. Trend ten będzie akceleratorem dla większej liczby ataków na chmurę w nadchodzącym roku.

Raport sugeruje również, że atakujący wykorzystują rozszerzalną moc obliczeniową, którą zapewniają środowiska chmurowe, przenosząc wysokie koszty za korzystanie z chmury na ofiary ataków, ponieważ Intezer zaobserwował ponad 13 proc. nowego, wcześniej nieobserwowanego kodu w złośliwym oprogramowaniu typu Linux cryptomining w 2020 r.

Chmury stają się celem ataków i dlatego X-Force zaleca, aby organizacje rozważyły podejście „Zero Trust” w swoich strategiach bezpieczeństwa. Firmy powinny również uczynić poufne przetwarzanie danych kluczowym elementem swojej infrastruktury bezpieczeństwa, aby pomóc chronić najbardziej wrażliwe dane. Poprzez szyfrowanie danych w użyciu, organizacje mogą pomóc zmniejszyć ryzyko ataku, nawet jeśli atakujący jest w stanie uzyskać dostęp do wrażliwych środowisk.

Cyberprzestępcy podszywający się pod znane marki

Raport 2021 r. podkreśla, że cyberprzestępcy najczęściej podszywali się pod marki, którym ufają konsumenci. Uznawana za jedną z najbardziej wpływowych na świecie, marka Adidas, okazała się atrakcyjna dla cyberprzestępców próbujących wykorzystać popyt na produkty firmy, aby skłonić osoby poszukujące modnych modeli obuwia do odwiedzenia złośliwych stron internetowych zaprojektowanych tak, aby wyglądały, jak prawdziwe witryny. Gdy użytkownik odwiedzał te pozornie bezpieczne domeny, cyberprzestępcy starali się doprowadzić do oszustw związanych z płatnościami online, kraść informacje finansowe użytkowników, zbierać dane uwierzytelniające użytkowników lub infekować urządzenia ofiar złośliwym oprogramowaniem.

Raport wskazuje, że większość sytuacji podszywania się pod markę Adidas jest związana z liniami produktów Yeezy i Superstar. Sama linia Yeezy przyniosła podobno 1,3 mld dolarów w 2019 r. i była jednym z najlepiej sprzedających się sneakersów giganta branży odzieży sportowej. Jest prawdopodobne, że aby osiągnąć zysk wraz z szumem wokół premiery sneakersów na początku 2020 r., atakujący wykorzystali rosnący popyt na produkty tej marki.

Ataki ransomware były dominujące w 2020 r.

Według raportu w 2020 r. świat doświadczył więcej ataków ransomware w porównaniu z rokiem 2019, przy czym prawie 60 proc. ataków ransomware, na które zareagował zespół X-Force, wykorzystywało strategię podwójnego wymuszenia, w ramach której osoby atakujące szyfrowały, kradły, a następnie groziły wyciekiem danych, jeśli okup nie zostanie zapłacony. W rzeczywistości, w 2020 r., 36 proc. naruszeń danych monitorowanych przez X-Force pochodziło z ataków ransomware, które również obejmowały domniemaną kradzież danych, co sugeruje, że naruszenia danych i ataki ransomware zaczynają ze sobą kolidować.

Najbardziej aktywnym typem ransomware w 2020 r. był Sodinokibi (znany również jako REvil), odpowiadający za 22 proc. wszystkich zaobserwowanych przez X-Force incydentów ransomware. X-Force szacuje, że Sodinokibi ukradł ok. 21,6 terabajtów danych, a prawie dwie trzecie ofiar Sodinokibi zapłaciło okup, a ok. 43 proc. doświadczyło wycieku danych – co według X-Force spowodowało, że grupa Sodinokibi zarobiła w zeszłym roku ponad 123 mln dolarów.

Podobnie jak w przypadku Sodinokibi, raport wykazał, że najbardziej skuteczne typy ransomware w 2020 r. skupiały się również na kradzieży i wycieku danych, a także tworzeniu karteli ransomware-as-a-service i outsourcingu kluczowych ich operacji do cyberprzestępców, którzy specjalizują się w różnych atakach. W odpowiedzi na te bardziej agresywne ataki ransomware, X-Force zaleca, aby organizacje ograniczyły dostęp do wrażliwych danych i chroniły konta posiadające wysoki priorytet za pomocą zarządzania dostępem uprzywilejowanym (PAM) oraz zarządzania tożsamością i dostępem (IAM).

Dodatkowe wnioski z raportu

Podatności przewyższają phishing jako najczęstszy wektor infekcji – raport z 2021 r. ujawnia, że najskuteczniejszym sposobem, w jaki dochodziło do dostępu do środowisk ofiar w zeszłym roku, było skanowanie i wykorzystywanie podatności (35 proc.), przewyższając po raz pierwszy od lat phishing (31 proc.).

Europa odczuwa skutki ataków z 2020 r. – według raportu na 31 proc. ataków, na które zareagował X-Force w 2020 r., Europa doświadczyła ich najwięcej, głównie z użyciem oprogramowania ransomware. Ponadto Europa odnotowała więcej ataków związanych z zagrożeniami wewnętrznymi niż jakikolwiek inny region, dwukrotnie więcej niż Ameryka Północna i Azja łącznie.

Raport X-Force Threat Intelligence Index 2021 jest dostępny na stronie: https://www.ibm.biz/threatindex2021