Ataki ze wszystkich stron: Podsumowanie rynku zabezpieczeń (I połowa 2021 r.)

Ransomware to jedno z najgroźniejszych cyberzagrożeń, które ciągle ewoluuje. W sumie nazbierało się ponad siedem milionów wykrytych przypadków tego zagrożenia w wiadomościach e-mail, adresach URL i plikach. Przestępcy szybko i agresywnie przeprowadzali ataki na krytyczne sektory działalności państwowej, takie jak bankowość, administracja publiczna i produkcja.

Podczas gdy niektóre strategie przestępców, takie jak chętne wybieranie na cel ataku kluczowych branż, pozostały niezmienne, w wielu innych obszarach sposób ich postępowania zmienił się szybko i radykalnie. Znane warianty ransomware podbiły stawkę, gdy nowe rodziny podniosły poziom zagrożenia. Niektórzy cyberprzestępcy skorzystali z okazji i udawali gangi stosujące metodę ataku typu ransomware. Przykładem jest przypadek fałszywej kampanii DarkSide.

Znane rodziny ransomware

Incydenty tego typu wywołały dyskusję na tak delikatne tematy, jak zapłata okupu, cyberubezpieczenia i możliwości legislacyjne. Przedstawiciele władz i badacze zabezpieczeń także podejmowali agresywne próby zwalczania gangów ransomware'owych, czego efektem była seria głośnych aresztowań, jak choćby operatorów Egregora i Clopa.

Wyrafinowane techniki

Operatorzy ransomware rozszerzają zakres wykorzystania legalnych narzędzi. Ponadto udoskonalili swoje techniki wymuszeń — stosują szyfrowanie, ujawniają skradzione dane, przeprowadzają rozproszone ataki typu „odmowa usługi” (DDoS) oraz bezpośrednio nękają klientów i innych interesariuszy zaatakowanych organizacji.

Zróżnicowane techniki wymuszeń z wykorzystaniem ransomware

W pierwszej połowie tego roku zanotowano także kilka ataków typu APT.

Stojące za nimi grupy przestępcze posługiwały się zarówno dobrze sprawdzonymi, jak i całkiem nowymi technikami. Te pierwsze obejmowały spear-phishing, wiadomości e-mail i złośliwe skrypty, podczas gdy w drugiej grupie pojawiły się nowe legalne platformy, warianty złośliwego oprogramowania oraz narzędzia zdalnego dostępu (RAT), takie jak moduł ładujący PlugX.

Najważniejsze ataki typu APT

Najważniejsze ataki typu APT w pierwszej połowie 2021 roku

Przebieg ataku Earth Wendigo

Znane luki w zabezpieczeniach zyskały rozgłos, kiedy badacze starali się załatać dotknięte systemy, zanim luki te zaczęłyby stwarzać prawdziwe zagrożenie dla środowisk pracy, także zdalnej.

ProxyLogon

Incydent hakerski przypisywany grupie Hafnium polegał na wykorzystaniu czterech luk w zabezpieczeniach typu zero-day w lokalnych wersjach programu Microsoft Exchange Server. Te luki to CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065, którym nadano wspólną nazwę ProxyLogon.

Luki w zabezpieczeniach Microsoft SharePoint

Ponadto pięć poważnych luk w zabezpieczeniach umożliwiających zdalne wykonywanie kodu (RCE) odkryto w Microsoft SharePoint, platformie online do zarządzania dokumentami i ich przechowywania, która może być również wykorzystywana w środowiskach pracy zdalnej.

Luki RCE w zabezpieczeniach programu Microsoft SharePoint odkryte w pierwszej połowie 2021 roku

Luki w zabezpieczeniach VPN

Ponieważ wiele osób nadal pracuje w domu, wirtualne sieci prywatne (VPN) pozostają ważnym narzędziem zapewniającym bezpieczeństwo. Przypadki wykrycia tych luk mnożyły się i kilka razy notowano nagłe wzrosty w porównaniu do analogicznego okresu w zeszłym roku.

Przypadki wykrycia luk bezpieczeństwa w sieciach VPN w pierwszych połowach lat 2020 i 2021

PrintNightmare

Nazwą „PrintNightmare” opatrzono CVE-2021-1675 — krytyczną lukę sterownika buforowania wydruku systemu Windows, która umożliwia wykonanie dowolnego kodu z uprawnieniami na poziomie systemu. Przypadkowy wyciek kodu exploita testowego wywołał wyścig o jak najszybsze załatanie tej luki.

Ogólna liczba wykrytych luk w zabezpieczeniach spadła nieznacznie, ale zanotowano wyraźny spadek liczby luk krytycznych.

Półroczne porównanie rozkładu poziomu zagrożenia w skali CVSS stanowionego przez luki ujawnione za pośrednictwem naszego programu Zero Day Initiative (ZDI).
Źródło: Program Trend Micro ZDI

Dla wielu cyberprzestępców nawet szalejąca pandemia nie stanowi powodu do wstrzymania działalności. Nieustannie opracowują oni nowe zagrożenia i doskonalą stare. Niektórzy cyberprzestępcy bezpośrednio wykorzystali niepewność i niepokój wywołane przez pandemię, aby z pomocą technik inżynierii społecznej dokonywać nowych oszustw.

Zagrożenia związane z Covid-19

W związku z wdrażanymi na całym świecie programami szczepień odnotowano wysyp zagrożeń związanych ze szczepionkami na Covid-19. Zaliczają się do nich złośliwe pliki, wiadomości e-mail, wiadomości tekstowe, witryny zawierające dezinformację oraz strony phishingowe. Typowymi celami są organizacje z sektorów telekomunikacyjnego, bankowego, handlu detalicznego, administracyjnego i finansowego.

Aktywne zagrożenia

XCSSET

XCSSET atakuje użytkowników komputerów Mac i infekuje projekty Xcode. W pewnym momencie cyberprzestępcy ulepszyli program XCSSET, aby dostosowywał się do komputerów Mac o architekturze ARM64, jak i x86_x64. Ponadto wirus ten zyskał funkcję zbierania wrażliwych informacji z pewnych witryn internetowych, w tym platform handlu kryptowalutami.

PandaStealer

PandaStealer to nowy złodziej informacji potrafiący zbierać wrażliwe dane, takie jak klucze prywatne i dokumentacja historii transakcji, z cyfrowych portfeli walutowych. Ponadto może zbierać dane logowania z innych aplikacji, robić zrzuty ekranu oraz eksfiltrować dane z przeglądarek. Jest rozpowszechniany głównie za pośrednictwem spamowych wiadomości e-mail imitujących prośbę o ofertę cenową.

Okoliczności wywołane przez pandemię przyspieszyły wdrażanie systemów online opartych na takich technologiach, jak chmura i IoT. Jednak te technologie niosą ze sobą kolejne typy zagrożeń.

Chmura

Niektóre z najważniejszych zagrożeń wykrytych w tym roku obejmują ataki TeamTNT. Na początku roku odkryliśmy, że cyberprzestępcy stojący za TeamTNT atakują wybrane systemy chmurowe:

• Poświadczenia AWS. TeamTNT kradł dane uwierzytelniające do AWS za pośrednictwem pliku binarnego zawierającego wbudowany na stałe skrypt powłoki. Ofiarą padło ponad 4000 instancji.
• Klastry Kubernetes. Grupa TeamTNT atakowała klastry Kubernetes. Dotkniętych zostało prawie 50 000 adresów IP w różnych klastrach.

Internet rzeczy

Odkryliśmy zagrożenia w różnych aspektach IoT, w tym w sieciach dalekiego zasięgu (LoRaWAN), 5G i routerach.

LoRaWAN

Choć urządzenia LoRaWAN są przydatne w firmach i inteligentnych miastach, nie są odporne na ataki. Po znalezieniu możliwych do wykorzystania luk w tych urządzeniach stworzyliśmy narzędzie LoRaPWN do oceny bezpieczeństwa komunikacji LoRaWAN.

5G

Założenie kampusowych sieci 4G/5G dla przedsiębiorstw stwarza ryzyko. Aby zbadać te zagrożenia, zidentyfikowaliśmy kilka scenariuszy ataku, takich jak przejęcie DNS, przejęcie MQTT, przejęcie Modbus/TCP, pobranie lub zresetowanie niezabezpieczonych programowalnych sterowników logicznych (PLC), wykorzystanie pulpitu zdalnego i zamiana kart SIM.

Routery

Routery od zawsze mają problemy z bezpieczeństwem. Przeanalizowaliśmy infekcje tych urządzeń i odkryliśmy, że jednym z najczęściej występujących zagrożeń jest botnet IoT o nazwie VPNFilter. Do łamania zabezpieczeń routerów i urządzeń pamięci masowej VPNFilter wykorzystuje konta backdoorów i różne exploity.

40,956,909,973

Ogólna liczba zagrożeń zablokowanych w pierwszej połowie 2021 r.

Pobierz nasz pełny raport, aby poznać najważniejsze cyberzagrożenia i ryzyka pierwszej połowy 2021 roku oraz dowiedzieć się więcej o zaleceniach naszych ekspertów od zabezpieczeń dla użytkowników i przedsiębiorstw.