Tempo rozwoju ransomware nie maleje

Fortinet, globalny dostawca zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, zaprezentował nową edycję publikowanego co pół roku dokumentu FortiGuard Labs Global Threat Landscape Report. Dane dotyczące zagrożeń z II połowy 2021 r. obrazują wzrost automatyzacji i szybkości ataków.

Świadczy to o rosnącym zaawansowaniu strategii uporczywych cyberataków, które są bardziej destrukcyjne i nieprzewidywalne. Ponadto hakerzy coraz bardziej wykorzystują rozszerzające się możliwości przeprowadzenia ataku na osoby pracujące w modelu hybrydowym oraz hybrydową infrastrukturę IT.

Log4j demonstruje niezwykłe tempo, w jakim rośnie zagrożenie atakami dla firm

Luki w bibliotece Log4j, które pojawiły się w 2. tygodniu grudnia 2021 r., pokazały, jak z gwałtownie rosnącą szybkością cyberprzestępcy próbują wykorzystać je na swoją korzyść. Aktywność opracowanego przeciwko tej bibliotece exploita Log4Shell wzrosła na tyle szybko, że w ciągu niecałego miesiąca stał się on najczęściej wykrywanym atakiem IPS w całej II połowie 2021 r. Ponadto Log4Shell wykazywał prawie 50-krotnie większą aktywność w porównaniu z dobrze znaną kampanią ProxyLogon, która miała miejsce wcześniej w 2021 r.

W rzeczywistości firmy mają bardzo mało czasu na reagowanie lub wprowadzenie poprawek, biorąc pod uwagę szybkość, z jaką cyberprzestępcy wykorzystują nowe możliwości. Konieczne stało się stosowanie systemów zapobiegania włamaniom (IPS) bazujących na sztucznej inteligencji i uczeniu maszynowym, agresywnej strategii zarządzania poprawkami oraz rozwiązań do analizy zagrożeń, które będą nadawać im priorytet w zależności od tempa rozprzestrzeniania w celu zmniejszenia ogólnego ryzyka.

Cyberprzestępcy szybko wykrywają nowe obszary, które mogą zostać zaatakowane

Niektóre mniejsze lub słabo widoczne zagrożenia mają potencjał, aby w przyszłości powodować większe problemy – dlatego warto je obserwować. Przykładem jest opracowane ostatnio złośliwe oprogramowanie dla systemów Linux, obecne często w postaci plików wykonywalnych i typu ELF. W systemach Linux działają systemy zarządzające pracą wielu sieci oraz bazujące na kontenerach rozwiązania dla urządzeń IoT i aplikacji o znaczeniu krytycznym, dlatego stają się one coraz popularniejszym celem ataków.

Liczba nowych sygnatur złośliwego oprogramowania dla systemu Linux w IV kwartale 2021 r., czterokrotnie przekroczyła liczbę sygnatur z I kwartału. Przykładami tego typu zagrożeń są Muhstik w wariancie ELF, złośliwe oprogramowanie RedXOR, a nawet Log4Shell. W 2021 r. częstotliwość wykrywania różnych wariantów złośliwych plików ELF i innego szkodliwego oprogramowania dla systemu Linux podwoiła się, co sugeruje, że w coraz większym stopniu stanowią one część arsenału cyberprzestępców. Dlatego podłączony do sieci sprzęt z systemem Linux musi być zabezpieczony, monitorowany i zarządzany jak wszystkie urządzenia końcowe, za pomocą zaawansowanych i zautomatyzowanych mechanizmów wykrywania i reagowania. Ponadto należy wzmocnić podejście bazujące na cyberhigienie, aby zapewnić aktywną ochronę dla systemów, które mogą być narażone na słabo widoczne zagrożenia.

Ewolucja botnetów obrazuje coraz większe wyrafinowanie metod ataku

Wśród trendów dotyczących ewolucji cyberzagrożeń można zauważyć, że w botnetach implementowane są coraz nowsze i bardziej zaawansowane techniki ataków. Nie są już one wyłącznie monolityczne i nie skupiają się tylko na atakach DDoS. Stały się wielozadaniowymi narzędziami ataku wykorzystującymi wyrafinowane techniki, w tym ransomware. Dla przykładu część cyberprzestępców, w tym operatorzy botnetów takich jak Mirai, zintegrowali z nimi exploity na lukę w bibliotece Log4j. Wykryto również aktywność botnetów związaną z nowym wariantem wykradającego dane z systemów Linux złośliwego oprogramowania RedXOR.

Na początku października ub.r. wzrosła również liczba wykryć botnetów dostarczających wariant złośliwego oprogramowania RedLine Stealer, który został zmodyfikowany w celu wykrywania nowych celów za pomocą pliku związanego z tematyką pandemii COVID. Aby chronić sieci i aplikacje, przedsiębiorstwa powinny wdrażać rozwiązania do zarządzania dostępem typu Zero Trust, które umożliwiają stałą weryfikację uprawnień i ograniczają je do koniecznego minimum, szczególnie w kontekście zabezpieczania urządzeń końcowych IoT i innego sprzętu podłączonego do sieci. Zapewniają także zautomatyzowane wykrywanie zachowań odbiegających od normy i reagowania na nie.

Cyberprzestępcy wykorzystują sytuację, że pracujemy i uczymy się zdalnie

Ocena częstotliwości występowania różnych wariantów złośliwego oprogramowania w poszczególnych regionach ujawnia nieustanne zainteresowanie cyberprzestępców maksymalizacją działań ukierunkowanych na ofiary pracujące lub uczące się zdalnie. Odnotowano, że szczególnie powszechne były różne formy ataków prowadzonych przez przeglądarkę. Często przybierają one formę phishingu lub skryptów, które wstrzykują kod albo przekierowują użytkowników do złośliwych stron.

Konkretne rodzaje złośliwego kodu różnią się w zależności od regionu świata, ale można je w dużej mierze pogrupować jako wykorzystujące trzy mechanizmy dystrybucji: pliki wykonywalne w pakiecie Microsoft Office, pliki PDF oraz skrypty przeglądarki (HTML/, JS/). Techniki te nadal stanowią popularny sposób manipulowania ofiar poszukujących najnowszych wiadomości na temat pandemii, polityki, sportu i innych – tą drogą cyberprzestępcy otwierają sobie drogę do firmowych sieci.

Ponieważ hybrydowa forma pracy i nauki stała się rzeczywistością, istnieje coraz mniej warstw ochrony pomiędzy złośliwym oprogramowaniem a potencjalnymi ofiarami. Przedsiębiorstwa muszą więc uwzględniać w tworzonych strategiach cyberbezpieczeństwa fakt, że model pracy z dowolnego miejsca będzie stosowany coraz powszechniej, konieczne więc jest wdrożenie rozwiązań weryfikujących i analizujących środowisko pracy użytkowników, bez względu na to, gdzie się znajdują. Potrzebne są zatem zaawansowane zabezpieczenia w urządzeniach końcowych (EDR), połączone z rozwiązaniami ograniczającymi prawa dostępu, w tym ZTNA. Bezpieczna sieć SD-WAN ma również kluczowe znaczenie dla zapewnienia bezpiecznej łączności w sieciach rozległych.

Aktywność ransomware’u nadal jest wysoka i staje się coraz bardziej destrukcyjna

Z danych FortiGuard Labs wynika, że aktywność oprogramowania ransomware nie spadła z rekordowego poziomu w ciągu ostatniego roku, a wręcz przeciwnie – rośnie wyrafinowanie ataków, ich agresywność i wpływ na przedsiębiorstwa. Cyberprzestępcy nadal atakują za pomocą zarówno nowych, jak i wcześniej spotykanych wariantów ransomware’u, często siejąc zniszczenie.

Starsze odmiany ransomware’u są aktywnie aktualizowane i udoskonalane, czasami dołączane jest do nich złośliwe oprogramowanie typu wiper, ewoluuje także model biznesowy Ransomware-as-as-Service (RaaS). Umożliwia on stworzenie zagrożenia większej liczbie przestępców, którzy nie mają umiejętności samodzielnego tworzenia ransomware’u. W laboratoriach FortiGuard Labs zaobserwowano stały poziom złośliwej aktywności z udziałem wielu odmian ransomware’u, w tym nowych wersji Phobos, Yanluowang i BlackMatter. Operatorzy BlackMatter deklarowali, że nie będą atakować podmiotów z branży ochrony zdrowia i innych sektorów infrastruktury krytycznej, ale i tak to robili.

Ataki typu ransomware pozostają rzeczywistością dla wszystkich firm i instytucji, niezależnie od branży i wielkości. Muszą one przyjąć proaktywne podejście, z uwzględnieniem widzialności infrastruktury, analizy przepływających danych, zapewnieniem ochrony i neutralizacji zagrożeń w czasie rzeczywistym, w połączeniu z rozwiązaniami weryfikującymi reguły dostępu w modelu Zero Trust, segmentacją i regularnym tworzeniem zapasowych kopii danych.

Dogłębniejsze zrozumienie technik ataku może pomóc w szybszym zatrzymaniu cyberprzestępców

Analizowanie celów atakujących jest ważne, aby móc lepiej dostosować obronę do szybko zmieniających się technik ataków. Aby zaobserwować złośliwe skutki różnych ataków, FortiGuard Labs przeanalizował funkcjonalność wykrytego złośliwego oprogramowania poprzez uruchomienie jego próbek zebranych w ciągu całego roku. W rezultacie powstała lista poszczególnych taktyk, technik i procedur (TTP), które zostałyby zrealizowane, gdyby atak zostałby przeprowadzony w środowisku ofiary.

Zdobyte w ten sposób szczegółowe informacje pokazują, że wcześniejsze powstrzymanie przeciwnika jest ważniejsze niż kiedykolwiek wcześniej. Skupiając się na kilku zidentyfikowanych technikach, w niektórych sytuacjach możliwe jest skuteczne zablokowanie metody ataku. Na przykład trzy najważniejsze techniki fazy wykonania ataku w praktyce stanowiły aż 82 proc. działań. Dwie najlepsze techniki uzyskiwania punktu zaczepienia w fazie utrzymania ciągłości ataku stanowiły prawie 95 proc. zaobserwowanej funkcjonalności. Wykorzystanie tej analizy może mieć ogromny wpływ na sposób, w jaki firmy ustalają priorytety swojej strategii bezpieczeństwa, aby zmaksymalizować obronę.

Ochrona przed szybko zmieniającymi się i wyrafinowanymi cyberatakami

Ponieważ ataki są coraz bardziej wyrafinowane, a ich zakres rośnie z coraz większą szybkością, przedsiębiorstwa potrzebują rozwiązań zaprojektowanych tak, aby współdziałały ze sobą, a nie funkcjonowały w izolacji. Ochrona przed ewoluującymi technikami ataków będzie wymagała bardziej inteligentnych rozwiązań, które potrafią pozyskiwać w czasie rzeczywistym informacje o zagrożeniach, wykrywać wzorce i pozostawiane ślady, korelować ogromne ilości danych w celu wykrycia anomalii oraz automatycznie inicjować skoordynowaną reakcję. W celu zapewnienia cyberbezpieczeństwa rozwiązania punktowe należy zastąpić platformą typu mesh, która umożliwia scentralizowane zarządzanie, automatyzację i zintegrowane, współpracujące ze sobą mechanizmy obronne.

– Cyberbezpieczeństwo to szybko zmieniająca się i dynamiczna branża, ale ostatnie wydarzenia związane z zagrożeniami pokazują niezrównane tempo, z jakim obecnie są opracowywane i przeprowadzane ataki. Nowe i rozwijające się techniki ataków są dopracowane na każdym etapie łańcucha „kill chain”, a szczególne w fazie uzbrojenia, co obrazuje ewolucję w kierunku bardziej zaawansowanej strategii uporczywej cyberprzestępczości, która jest bardziej destrukcyjna i nieprzewidywalna. Aby chronić się przed tak szerokim zakresem zagrożeń, przedsiębiorstwa muszą wdrożyć strategie zapobiegania, wykrywania i reagowania bazujące na sztucznej inteligencji oraz zapewniającej bezpieczeństwo architektury mesh, co umożliwi znacznie ściślejszą integrację, większą automatyzację, a także szybsze, skoordynowane i skuteczniejsze reagowanie na zagrożenia w całej rozległej sieci – uważa Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs.