Raport Sophos: rok 2022 pod znakiem ransomware

10 stycznia 202210 stycznia 2022 Redakcja

Według raportu analityków Sophos w 2022 r. wśród wszystkich rodzajów cyberataków nadal najpopularniejszy będzie ransomware oraz cryptojacking. W obie te techniki zaangażowane są kryptowaluty – w pierwszym przypadku uzyskiwane są przez hakerów jako okup, a w drugim nielegalnie wykopywane na urządzeniu ofiary. Cyberprzestępcy będą coraz szybciej wykorzystywać luki w urządzeniach i systemach do instalowania złośliwego oprogramowania. Na znaczeniu zyskają też techniki umożliwiające generowanie fałszywych obrazów i dźwięku, które będą wykorzystywane m.in. w atakach phishingowych czy kampaniach dezinformacyjnych.

Ransomware coraz szerzej dostępny

W ub.r. oprogramowanie ransomware odpowiadało za aż 79 proc. wszystkich incydentów bezpieczeństwa. Należy zakładać, że metody działania cyberprzestępców w kolejnych latach będą coraz bardziej adaptowane tak, aby dostarczać kod ransomware’u i cryptojackingu na urządzenia ofiar. Jednocześnie ataki stają się bardziej rozproszone i dostępne dla mniej doświadczonych hakerów. Twórcy złośliwego oprogramowania coraz częściej za opłatą udostępniają je podmiotom zewnętrznym, które zajmują się np. włamaniami do sieci. Działania pojedynczych grup w nadchodzących miesiącach ustąpią miejsca większej liczbie ataków prowadzonych w modelu Ransomware as a Service (RaaS).

Większa presja na opłacenie okupu

W 2022 r. cyberprzestępcy będą rozwijali metody wyłudzania okupów od ofiar ransomware’u. Atakujący przebywają w zinfiltrowanej sieci nawet przez kilka dni lub tygodni, często mają też dostęp do wszystkich firmowych systemów. Zaczynają więc wykorzystywać ten czas na szukanie wrażliwych danych i ich wykradanie. Po zaszyfrowaniu zasobów żądają okupu pod groźbą nie tylko utraty informacji, ale też upublicznienia dokumentów, danych klientów czy kodów źródłowych. W obawie przed karami finansowymi, spadkami kursu akcji czy konsekwencjami prawnymi, wiele firm decyduje się zapłacić przestępcom. Metody wywierania presji będą intensyfikowane, zaobserwowano już wykonywane do ofiar telefony z pogróżkami czy dodatkowe nękanie za pomocą ataków DDoS (Distributed Denial of Service).

Ataki ukierunkowane, ale masowe

W tym roku wzrośnie również popularność ataków hybrydowych. Do tej pory przestępcy stosowali dwie metody. Pierwszą były ataki typu „shotgun”, w których spamowali jak największą liczbę osób lub optymalizowali treść złośliwych stron internetowych pod kątem ich pozycjonowania w wyszukiwarkach (SEO), aby kierować na nie niczego nieświadomych użytkowników. Drugim sposobem były ataki ukierunkowane, wymierzone w precyzyjnie wybraną grupę osób, np. pracujących w danej firmie lub na określonym stanowisku. W 2022 r. coraz więcej będzie ataków łączących obie te metody – cyberprzestępcy będą starali się „zwabić” jak najwięcej ofiar, ale zaatakują tylko te, które spełniają określone kryteria (np. pracujące w obsłudze klienta).

Sfabrykowane filmy i głos pomogą w dezinformacji

W najbliższych latach przestępcy będą również rozwijali ataki typu „watering-hole”, wykorzystujące zaawansowane techniki tworzenia fałszywych obrazów i dźwięku. Sfabrykowane filmy lub głosy będą potężną bronią, wykorzystywaną w wiadomościach phishingowych, kampaniach dezinformacyjnych i innych działaniach socjotechnicznych. Systemy bazujące na sztucznej inteligencji, takie jak OpenAI czy Google AI, już teraz mogą samodzielnie pisać działający kod źródłowy. Jest więc kwestią czasu, gdy cyberprzestępcy zaadaptują sieci neuronowe do tworzenia złośliwego oprogramowania. Ta technika otwiera jednak nowe możliwości także dla specjalistów ds. cyberbezpieczeństwa – superkomputery mogą rozwiązywać problemy ochrony środowisk IT obecnie uważane za nierozwiązywalne.

Wykrywanie ataku równie ważne jak zapobieganie

Szybkość, z jaką przestępcy rozwijają działania, sprawia, że kluczowe staje się blokowanie lub spowalnianie ataków. W grudniu ub.r. w ciągu tygodnia od odkrycia luki Log4j analitycy Sophos odnotowali kilkaset tysięcy prób ataków wykorzystujących tę podatność. Nawet jedno zainfekowane urządzenie może dać przestępcom dostęp do całej sieci i umożliwić sparaliżowanie działania firmy. Osoby odpowiedzialne za bezpieczeństwo będą musiały badać wszystkie incydenty, nawet pozornie nieistotne, aby szybko wykrywać intruzów w sieci. Dotąd rozwiązania ochronne koncentrowały się przede wszystkim na powstrzymywaniu złośliwego kodu przed zainstalowaniem i uruchomieniem na urządzeniach. W najbliższych latach będą coraz bardziej rozwijane także w kierunku wykrywania samych prób ataków.

Grzegorz Nocoń, inżynier systemowy w firmie Sophos