Nieustanne Zmiany: Roczny raport na temat stanu bezpieczeństwa Trend Micro 2020

23 de lutego de 2021

nieustanne zmiany

Roczny raport na temat stanu bezpieczeństwa Trend Micro 2020

$2$ Pobierz Roczny raport na temat stanu bezpieczeństwa Trend Micro 2020: nieustanne zmiany

Dla wielu organizacji rok 2020 r. był bardzo trudny i wymagający pod wieloma względami. Poważne incydenty, przechodzenie na zdalny tryb pracy i inne rewolucyjne zmiany zmusiły organizacje do zrewidowania wielu zasad i ustaleń. Pokonane przez nie trudności utorowały drogę do stworzenia alternatywnych rozwiązań uwzględniających zarówno ludzką, jak i technologiczną perspektywę.

Jednak dla cyberprzestępców ten rok obfitował w wyjątkowe możliwości. Wiele ważnych wydarzeń zostało przez nich wykorzystanych do uzyskania nielegalnego przychodu. Przy użyciu starych i nowych technik wykorzystywali luki bezpieczeństwa, błędy konfiguracji i inne niedociągnięcia systemów zabezpieczeń, które nieuchronnie musiały powstać podczas pospiesznego wdrażania technologii w reakcji na panującą na świecie sytuację.

W naszym rocznym raporcie na temat cyberbezpieczeństwa przyglądamy się poprzedniemu rokowi, który był wyjątkowy pod każdym względem. Analizujemy najważniejsze kwestie dotyczące bezpieczeństwa, które pojawiły się w 2020 r., oraz dajemy porady, jak odnaleźć się w tym radykalnie innym świecie, z których mogą skorzystać zarówno osoby indywidualne, jak i organizacje.

Ukierunkowane ataki

Które branże zostały najbardziej dotknięte przez ataki ransomware?

Prawie 90 000 wykryć zanotowano w sektorach rządowym, bankowym, produkcyjnym i służby zdrowia.

Który wirus ransomware był wykrywany najczęściej?

Najczęściej wykrywanym wirusem tego typu był WannaCry: 220,166.

Ryuk był nieaktywny od kwietnia do września, a następnie stał się najbardziej aktywny w październiku ( ponad 2000 wykryć).

W pierwszej dziesiątce pod względem liczby wykryć znalazły się dwie względnie nowe rodziny ransomware — Egregor i DoppelPaymer.

Ransomware

Operatorzy ransomware zmaksymalizowali swoje zyski dzięki zastosowaniu podwójnej strategii. Po pierwsze zarabiali na okupach za przywrócenie ofiarom dostępu do zaszyfrowanych danych (posuwali się nawet do podwyższania stawki za zwłokę), a po drugie grozili ujawnieniem wrażliwych informacji w przypadku braku wpłaty. Zaatakowane w ten sposób organizacje były więc narażone nie tylko na utratę danych, ale również na ryzyko poniesienia strat wizerunkowych. Zasadnicze znaczenie zaatakowanych jednostek dla ich właścicieli — wśród których znalazły się agencje i firmy z sektorów rządowego, bankowego, produkcyjnego i służby zdrowia — zwiększało presję na to, by spełnić żądania przestępców.

127

2019

2020

Porównanie danych liczbowych dotyczących nowych rodzin ransomware w latach 2019 i 2020

Organizacje rządowe

31,906

Bankowość

22,082

Produkcja

17,071

Opieka zdrowotna

15,701

Finanse

4,917

Szkolenia

4,578

Technologia

4,216

Żywność i napoje

3,702

Ropa i gaz

2,281

Ubezpieczenia

2,002

10 branż, które najczęściej były celem ataków ransomware w 2020 roku

Nowy wirus Egregor, który zaznaczył swoją obecność w ostatnich miesiącach, wziął na celownik cele wysokiej klasy, w tym największe organizacje z sektorów handlu detalicznego, gier i zasobów ludzkich, oraz stosował podwójną strategię zastraszania.

Technika podwójnego wymuszenia stosowana przez Egregora

Ataki na łańcuchy dostaw

Choć organizacje wzmocniły swoje zabezpieczenia, przestępcy i tak byli w stanie dostawać się do ich systemów, łamiąc zabezpieczenia ich partnerów z łańcucha dostaw. Cyberprzestępcy wykorzystywali zaufane stosunki między firmami i ich dostawcami, co pozwalało im na wdarcie się do systemów organizacji docelowych.

Jednym z najgłośniejszych ataków z wykorzystaniem łańcucha dostaw w ostatnim czasie był grudniowy atak na system zarządzania siecią Orion firmy SolarWinds. W niektórych kompilacjach Oriona przestępcy ukryli lukę bezpieczeństwa, która umożliwiła im włamanie się na serwery, na których działało to oprogramowanie. Kiedy odpowiednia aktualizacja została rozesłana do klientów, hakerzy zyskali możliwość instalacji backdoorów, które dawały im pełny dostęp do sieci i umożliwiały wykonywanie szerokiego wachlarza szkodliwych działań. Wziąwszy pod uwagę typ niektórych celów ataków, wśród których znalazły się ważne agencje rządu USA, należy przyjąć, że cała ta sprawa mogła mieć bardzo poważne skutki.

Zagrożenia wywołane przez pandemię

Ile wykrytych zagrożeń było związanych z COVID-19?

Wykryto ponad 16 milionów zagrożeń związanych z Covid-19.

Jaki rodzaj zagrożenia dominował pośród zagrożeń związanych z COVID-19?

Prawie 90% wykrytych zagrożeń związanych z Covid-19 było złośliwym spamem.

Sama luka bezpieczeństwa sieci VPN o nazwie CVE-2019-11510, choć jest względnie nowa, odpowiada za prawie 800 000 wykryć w 2020 roku.

Ponad 60% wykrytych zagrożeń związanych z Covid-19 pochodziło ze Stanów Zjednoczonych, Niemiec i Francji.

Oszustwa związane z Covid-19

Podczas gdy Covid-19 zbierał śmiertelne żniwo na całym świecie, przestępcy wykorzystywali niepokoje i niepewność związane z pandemią do swoich niecnych celów. Zdecydowana większość wykrytych przez nas zagrożeń związanych z Covid-19 miała postać złośliwego spamu, mającego na celu wyłudzenie danych osobowych i finansowych. Większość z tych wiadomości e-mail pochodziła z USA, Niemiec i Francji, a więc z krajów, które jednocześnie zostały najbardziej dotknięte przez epidemię. Oszuści wykorzystywali niepokój i panujące poczucie zagrożenia, podsuwając ofiarom między innymi materiały na temat środków stymulujących odporność przeciw Covid-19 czy prac nad szczepionkami. Oszuści posługujący się techniką business email compromise (BEC) także obłowili się na pandemii: W temacie większości wykrytych przez nas wiadomości BEC znajdowała się wzmianka o Covid-19.

88,5% — spam

11,3% — adresy URL

0,2% — malware

ŁĄCZNIE: 16,393,564

Rozkład zagrożeń związanych z Covid-19 wykrytych w 2020 r. wg typu

38,4% — USA

14,6% — Niemcy

9,2% — Francja

4,7% — Australia

4,1% — Wielka Brytania

29,0% — inne kraje

ŁĄCZNIE: 16,393,564

Rozkład zagrożeń związanych z Covid-19 wykrytych w 2020 r. wg kraju

Wyzwania związane z pracą zdalną

Od kiedy pandemia zmusiła organizacje do przejścia na tryb pracy zdalnej, bardzo ważnym ogniwem łańcucha zabezpieczeń połączeń sieciowych przed zagrożeniami z zewnątrz stały się wirtualne sieci prywatne (VPN). Jednak oprogramowanie VPN, jak każde inne, także może kryć luki bezpieczeństwa umożliwiające hakerom kradzież poufnych informacji i szpiegowanie docelowego systemu. Tylko jedna luka w oprogramowaniu VPN, CVE-2019-11510, jest odpowiedzialna za prawie 800 000 wykryć w 2020 roku, a wykorzystywano ją w atakach mających na celu podrzucenie oprogramowania ransomware. Ponadto przestępcy znaleźli także inne sposoby na wykorzystanie sieci VPN w swoich atakach: We wrześniu odkryliśmy przypadek ukrycia w instalatorze VPN backdoora Bladabindi, za pomocą którego można zbierać informacje z zainfekowanych komputerów.

Ponadto zmiana sposobu pracy na zdalny spowodowała wzrost zainteresowania komunikatorami, takimi jak na przykład Zoom, Slack czy Discord. To z kolei pociągnęło za sobą wzrost liczby ataków z wykorzystaniem tych aplikacji: od żartów „Zoombombing” i złośliwych instalatorów Zoom, przez wariant ransomware wykorzystujący elementy webhook Slack, po kampanie spamu z wykorzystaniem Discord jako wektora podania wirusa.

413,641

784,063

130

21,652

CVE-2018-13379

CVE-2019-11510

CVE-2019-11539

CVE-2019-19781

Liczby wykryć ważnych luk w oprogramowaniu VPN w 2020 r.

Zagrożenia chmury i IoT

Jaka była najczęstsza metoda przeprowadzania ataków na IoT?

W zdecydowanej większości ataków wejściowych i wyjściowych wykorzystywano logowanie metodą brute force.

Jakie usługi chmurowe są dostępne w podziemiu?

Zakres usług oferowanych w podziemiu obejmuje wszystko od prostych usług hostingowych po bardziej niszowe oferty, takie jak mobilne obszary robocze.

Pojawiły się nowe warianty botnetu Mirai, wykorzystujące luki pozwalające na wstrzykiwanie poleceń i zdalne wstrzykiwanie kodu.

Bazy danych, które można kupić na nielegalnym rynku, głównie zawierają informacje umożliwiające identyfikację osób i dane logowania użytkowników do różnych usług chmurowych.

Zagrożenia chmury

W 2020 roku chmura stała się jeszcze istotniejszym zasobem w działalności wielu organizacji. Mimo to prawidłowa konfiguracja zasobów i usług chmurowych wciąż stanowi poważne wyzwanie. W kwietniu na przykład ujawniono, że hakerom udało się wprowadzić koparki kryptowalut do źle skonfigurowanych portów API demonów Dockera z pomocą złośliwego oprogramowania Kinsing. Natomiast w październiku informowaliśmy o ataku na API Dockera w celu przesłania kodu powłoki Metasploit Framework (MSF) — to był pierwszy odnotowany przez nas przypadek wykorzystania tej techniki.

Ponadto w 2020 roku opublikowaliśmy nasze ustalenia dotyczące tego, w jaki sposób przestępcy wykorzystują podziemną infrastrukturę chmurową. W podziemiu cyberprzestępcy regularnie się ze sobą kontaktują i robią interesy. Czasami podzlecają wykonywanie niektórych zadań, tym samym komercjalizując usługi podziemne. Niektórzy cyberprzestępcy sprzedają w podziemiu zbiory kradzionych danych, które reklamują jako „chmury dzienników” (clouds of logs).

Łańcuch infekcji złośliwym oprogramowaniem Kinsing

Sposób przeprowadzenia ataku na API źle skonfigurowanych kontenerów z pomocą powłoki MSF

Ataki na IoT

Uwadze cyberprzestępców nie umknął również fakt rosnącego uzależnienia organizacji i ich pracowników od Internetu rzeczy (IoT). Ten problem należy potraktować bardzo poważnie, ponieważ urządzenia podłączone do sieci domowych mogą zostać wykorzystane do uzyskania dostępu do sieci firmowych, z którymi są połączone. Szczególnie podatne na ataki są routery, zwłaszcza że nacisk na kwestie bezpieczeństwa w domach prywatnych jest znacznie mniejszy niż w biurze.

15.5%

routerów prawdopodobnie padło ofiarą ataku

5.1%

routerów prawdopodobnie zostało przejętych.

W 2020 roku zaobserwowaliśmy trzykrotny wzrost liczby ataków przychodzących w stosunku do roku 2019 i dwukrotny wzrosty liczby ataków wychodzących w porównaniu do tego roku.

929,084,564

2,878,216,479

2019

2020

Porównanie liczby wykrytych możliwych ataków przychodzących w 2019 i 2020 roku

99,266,382

196,012,782

2019

2020

Porównanie liczby wykrytych możliwych ataków wychodzących w 2019 i 2020 roku

Krajobraz zagrożeń

62,637,731,995

zablokowanych zagrożeń w 2020 roku

57,262,610,930

Zablokowane zagrożenia w poczcie elektronicznej

3,698,445,871‬

Zablokowane złośliwe pliki

1,676,675,194

Zablokowane złośliwe adresy URL

79,743,156,637‬

Zapytania o reputację wiadomości e-mail

1,523,957,334,514‬

Zapytania o reputację plików

2,338,754,688,044

Zapytania o reputację adresów URL

Porównanie liczby blokad niebezpiecznych wiadomości e-mail, plików i adresów URL z zapytaniami dotyczącymi reputacji poczty elektronicznej, plików i adresów URL w pierwszej i drugiej połowie 2020 roku

59,984,723

35,156,917

2019

2020

Porównanie liczby zablokowanych złośliwych aplikacji dla systemu Android zablokowanych w latach 2019 i 2020

88,121

73,093

2019

2020

Porównanie liczby wykrytych prób ataku typu BEC w latach 2019 i 2020

Pobierz cały raport, aby dowiedzieć się więcej o najważniejszych problemach dotyczących cyberbezpieczeństwa w 2020 roku oraz aby poznać najskuteczniejsze strategie obrony przez istniejącymi i mającymi się pojawić zagrożeniami.

$2$ Pobierz Roczny raport na temat stanu bezpieczeństwa Trend Micro 2020: Roczny raport na temat stanu bezpieczeństwa Trend Micro 2020

HIDE

Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.

Opublikowany w Roundup, Threat Reports, Ransomware, Spam, Vulnerabilities, Internet of Things, Cybersecurity