Laboratoria FortiGuard właśnie opublikowały nowy raport dla kwartału czwartego 2017 (Quarterly Threat Landscape report for Q4). Jak zwykle jest tam wiele informacji dla inspektorów bezpieczeństwa teleinformatycznego, jednakże warto zwrócić uwagę na kilka wyróżniających się rzeczy. W szczególności, ilość ataków wzrosła o 82% na firmę, a cała masa cyberataków obrała sobie za cel Internet Rzeczy (IoT).
Cyberataki przeprowadzane są aktualnie na nieznaną dotąd skalę. W rzeczywistości, w czwartym kwartale 2017 roku rozpoznaliśmy średnio 274 ataki na firmę, co stanowi niespotykany dotąd wzrost o 82% w stosunku do poprzedniego kwartału. Liczba zbiorów istniejącego oprogramowania złośliwego również wzrosła o 25%, do 3317, a unikalne warianty oprogramowania złośliwego wzrosły o 19%, do 17671 jednostek. Wskazuje to nie tylko na istotny wzrost zakresu problemu, ale przede wszystkim na rozwój oprogramowania złośliwego samego w sobie.
Głębsza analiza tej tendencji pokazuje, iż ten dramatyczny wzrost w zakresie jest prawdopodobnie celowy. Służy on zaatakowaniu maksymalnej ilości celów szczególnie narażonych, przed wprowadzeniem środków zapobiegawczych, takich jak zastosowanie
zaktualizowanych sygnatur AV lub IPS. Użycie zmasowanej ilości oprogramowania złośliwego niezbędne jest do przyspieszenia jego zdolności do rozprzestrzeniania się na inne organizacje.
Jednakże nie tylko jego zakres stanowi problem. Według inspektora bezpieczeństwa
teleinformatycznego Phila Quade'a: "Zakres, złożoność i wielorakość zagrożeń cybernetycznych będzie cały czas ewoluować w związku z cyfrową transformacją naszej globalnej ekonomii. Cyberprzestępcy rozzuchwalili się w swoich metodach ataków, przechodząc bardzo podobne transformacje, a ich narzędzia są teraz powszechnie dostępne". Te coraz bardziej wyrafinowane ataki dotykają zdecydowanie zbyt wiele nieprzygotowanych na to organizacji. Na przykład, zaobserwować można nowe zmasowane ataki oparte na Internecie Rzeczy, które mają miejsce wśród grup oprogramowania złośliwego, za pomocą nowych, trudniejszych do zwalczania wielokierunkowych ataków, idących w parze z gwałtownym rozwojem i upowszechnianiem nowych wariantów.
Poniżej przedstawiamy kilka najważniejszych informacji z raportu kwartalnego:
Botnety IoT
Trzy z pośród dwudziestu najczęstszych rodzajów ataków rozpoznanych w ostatnim kwartale to botnety IoT. Jednakże w przeciwieństwie do poprzednich ataków, które to skupiały się na
wykorzystaniu pojedynczej luki, nowe botnety IoT, takie jak Reaper i Hajime obierają sobie za cel kilka luk równocześnie. Walka z tym wielokierunkowym podejściem jest znacznie trudniejsza. Co więcej, Reaper zbudowany został przy użyciu elastycznego mechanizmu Lua i skryptów. Struktura ta oznacza, że zamiast ograniczenia do statycznych, wcześniej zaprogramowanych ataków na jakich oparte były poprzednie przypadki wykorzystania Internetu Rzeczy, kod Reaper's może być łatwo i szybko aktualizowany, celem przeprowadzenia nowych i jeszcze bardziej złośliwych ataków, w momencie kiedy tylko stają się one możliwe.
Cyberprzestępcy szczególnie chętnie obrali sobie za cel takie urządzenia jak kamery Wi-Fi. Takie próby wykorzystania wzrosły prawie czterokrotnie w porównaniu z kwartałem trzecim. Wyzwanie stanowi fakt, że żadne z tych wykryć nie jest związane ze znanymi lub nazwanymi podatnościami i zagrożeniami opisanymi na liście CVE, co stanowi jeden z najbardziej problematycznych aspektów całej masy urządzeń, które składają się na Internet Rzeczy.
Problemy te dodatkowo muszą zmierzyć się z liczbą zasadniczych wyzwań, które to spowalniają zdolność przemysłu IoT do radzenia sobie z alarmującym wzrostem ataków. Pierwszym z nich jest fakt, iż tylko nieliczni producenci IoT posiadają Product Security (bezpieczeństwo produktu) i Incident Response Teams (zespoły reagowania na incydenty związane z Bezpieczeństwem Komputerowym- PSIRT), które mogą zareagować szybko w obliczu nowych podatności. Oznacza to, że po tym jak my lub inni badacze rozpoznamy podatności urządzenia, przekazanie tych informacji właściwemu zespołowi wewnątrz ich organizacji często stanowi niezwykle skomplikowany proces. Po drugie, brak regulacji wokół bezpieczeństwa IoT oznacza, że trudno jest skłonić producentów aby nadali priorytet znanemu już zagrożeniu, jak wykazała liczba wykorzystań, które sukcesywnie atakowały podatności znane od miesięcy, które to nadal nie mają oficjalnie przypisanego im CVE.
Cryptojacking
Cyberprzestępcy są bardzo wyraźnie zmotywowani do wykorzystania rosnącego zainteresowania cyfrowymi walutami. Rezultatem tego, jest znaczący wzrost ataków ukierunkowanych na ten trend, jaki udokumentowaliśmy w ostatnim czasie. Cryptojacking przybiera wiele różnych form, a zainfekowanie może spowodować cokolwiek - od zawieszenia przeglądarek, awarii systemów i pogorszenia skuteczności działania sieci, do kradzieży danych i oprogramowania wymuszającego okup. W tym obszarze istnieją trzy główne trendy, a każdy z nich jest unikalny.
Pierwszym z nich jest umieszczenie JavaScriptu na niezabezpieczonych stronach internetowych, bądź też dostarczenie złośliwego oprogramowania opartego na JavaScripcie dołączonego do wiadomości mailowej, który przejmuje moc obliczeniową procesora urządzeń i wykorzystuje ją do przeprowadzenia cryptominingu (ukrytego wydobywania cyberwaluty) na rzecz atakującego. Najbardziej dotkliwe z tych ataków po prostu wykorzystują całą dostępną moc procesora, co powoduje, że urządzenia te stają się wirtualnie bezużyteczne. Naturalnie, ten rodzaj podejścia cechuje się bardzo krótką trwałością, co spowodowane jest tym że użytkownicy wyłączają swoje urządzenia i szukają sposobów na pozbycie się intruzów. Nowe, bardziej wyszukane ataki właściwie kontrolują procesor urządzenia i ograniczają szybkość mocy procesora jaką kradną, zużywając często 50% lub mniej dostępnej mocy procesora w każdym dowolnie przyjętym momencie.
Drugi, związany jest z rosnącą liczbą krypto walut oraz gwałtownym wzrostem ich wartości.
Cyberprzestępcy poszukują sposobów na wykorzystanie tych trendów celem osiągnięcia zysków. Tłumaczy to dlaczego wykryliśmy nowe ataki oparte na inżynierii społecznej, która sprawia że użytkownicy pobierają oprogramowanie złośliwe za pomocą linka lub załącznika udającego nowy portfel dla krypto waluty. Ten "portfel" następnie wymusza od użytkowników podanie danych osobistych podczas nieprawdziwego procesu rejestracyjnego. W tym samym czasie złośliwe oprogramowanie, na przykład wymuszające okup, pobierane jest na ich urządzenie. Co jest szczególnie zaskakujące, przestępcy używają nieprawdziwej waluty cyfrowej aby uzyskać dostęp do urządzenia, a następnie żądają zapłaty przy użyciu innej, realnej już kryptowaluty celem odblokowania go.
Ostatecznie, obserwujemy aktualnie zmianę w Darknecie polegającą na akceptowaniu nie tylko Bitcoin'ów (których wartość osiągnęła wielkości niewyobrażalne) jako zapłatę, ale również i innych form cyfrowych walut, włączając nakazy zapłaty okupu w walutach takich jak Monero.
Oprogramowanie wymuszające okup
Rosnąca liczba i zaawansowanie oprogramowania wymuszającego okup stanowi powszechne zagrożenie, ujęte w każdym z naszych dotychczasowych raportów. Kilka odmian oprogramowania wymuszającego okup zajęło najwyższe pozycje na liście odmian oprogramowania złośliwego. Locky był najbardziej rozpowszechnionym wariantem oprogramowania złośliwego, a GlobeImposter znajdował się zaraz za nim. Pojawiła się nowa odmiana Locky, zwodząca odbiorców spamem aby następnie zażądać okupu. Oprogramowanie wymuszające okup nieustannie zmienia się i wykorzystuje nowe kanały dostępu, takie jak socjotechnika (np. cryptomining). Przestępcom znacznie łatwiej uzyskać jest dostęp za pomocą modeli działania opartych na zasadzie: oprogramowanie wymuszające okup jako usługa.
Steganografia
Steganografia jest atakiem wykorzystującym umieszczenie złośliwego kodu w grafice. Jest to kierunek ataku, który nie był zbytnio wykorzystywany w ciągu kilku ostatnich lat, jednakże wydaje się że jego popularność stale rośnie. Zestaw exploitów Sundown używa stenografii do kradzieży informacji. W ostatnim okresie, został on odnotowany przez większą liczbę organizacji niż jakikolwiek inny zestaw wykorzystujący. Odkryto, że podrzuca on wiele wariantów oprogramowania wymuszającego okup. W rezultacie, stanowi on kierunek zagrożenia, któremu będziemy się bardzo uważnie przyglądać w najbliższym czasie.
Podsumowanie
Tradycyjne narzędzia umożliwiające wykrycie zagrożenia i oparte na sygnaturach antywirusy nie są w stanie dotrzymać kroku zakresowi, mnogości i szybkości dzisiejszego oprogramowania złośliwego. Według Phila Quade'a: "brutalna rzeczywistość jest taka, że tradycyjne strategie i struktury bezpieczeństwa nie są już wystarczające dla organizacji opartych na cyfryzacji. Istnieje niezwykle pilna potrzeba do przeciwstawienia się dzisiejszym atakom za pomocą transformacji bezpieczeństwa, która odzwierciedla rzeczywiste zmiany jakie zachodzą w cyfrowym świecie. Rozwiązania dotychczasowe, indywidualna praca po prostu nie są już odpowiednie. Punkty kontaktowe i statyczna obrona muszą ustąpić miejsca zintegrowanym i zautomatyzowanym rozwiązaniom, które działają szybko, a zakres ich jest szeroki".
W odpowiedzi na wyzwania jakie stoją przed organizacjami w dzisiejszych czasach, zespoły ds. bezpieczeństwa muszą przyjąć bardziej proaktywną postawę, która będzie obejmować:
Zarządzanie podatnościami. Organizacje muszą ustalić priorytety jeśli chodzi o wprowadzanie poprawek w zakresie oprogramowania złośliwego. Równocześnie, muszą one wprowadzić zaawansowane zdolności ochrony przed zagrożeniem, takie jak sandboxing celem wykrywania i reagowania na nieznane do tej pory zagrożenia, które mogą mieć wpływ na sieć.
Bycie przygotowanym. Jako że ataki takie jak cryptojacking nasilają się, organizacje muszą ustalić priorytety odnośnie programów zaznajomienia się z aspektami cyberbezpieczeństwa, obejmującymi szkolenie użytkowników dotyczące rozpoznawania ataków socjotechnicznych. Co więcej, jako że nowe cyfrowe waluty zyskują na popularności wśród cyberprzestępców, organizacje mogą wyrazić chęć bycia informowanym o trendach w kryptowalutach w maksymalnym możliwym stopniu.
Walka tą samą bronią. Oprogramowanie złośliwe cały czas ewoluuje wykorzystując nowe ataki oparte na Internecie Rzeczy, które to obierają sobie na cel wiele podatności i urządzeń w tym samym czasie w obrębie wielu punktów dostępu. Te nowe, wielowektorowe zagrożenia muszą spotkać się z zintegrowanymi, kolektywnymi i zautomatyzowanymi podejściami dotyczącymi bezpieczeństwa, które mogą stawić czoła mnogości ataków. Fortinet Security Fabric na przykład dostarcza ochronę zmasowaną w obrębie całej sieci. Wykorzystuje zintegrowane technologie bezpieczeństwa i automatyzację, celem zidentyfikowania i dzielenia się wydarzeniami i powiadomieniami, włącza działania wywiadowcze, i przygotowuje odpowiedź na zagrożenie, która wykorzystuje kombinację źródeł całej infrastruktury bezpieczeństwa, celem odrzucenia ataków w dowolnym punkcie wysoce elastycznej i rozległej powierzchni ataku.
