Trudno uchwytne zagrożenia, poważne skutki
zagrożenia,
poważne
skutki
. . .
W pierwszej połowie 2019 r. różne organizacje odnotowały szerokie spektrum typów ataków oraz musiały radzić sobie z wieloma zagrożeniami, którym udało się wedrzeć do ich systemów. Powszechne stało się złośliwe oprogramowanie wykorzystujące dostępne w komputerach narzędzia, które są uznawane za niegroźne. Znane od dawna oprogramowanie ransomware znów skoncentrowało się na określonych celach. Phishing i inne odwieczne zagrożenia pojawiły się na nowych platformach. Ponadto liczba ujawnionych krytycznych luk w zabezpieczeniach budzi obawy i każe dokładniej przyjrzeć się zagrożeniom czyhającym na firmowe systemy.
Nasze półroczne podsumowanie dotyczące bezpieczeństwa zawiera informacje o tych i innych zagrożeniach, które rozpoznano w pierwszej połowie 2019 r. Ponadto w raporcie zamieściliśmy wskazówki dla organizacji i użytkowników na temat tego, jak wybrać odpowiednie rozwiązania i jakie strategie obrony przyjąć.
. . .
Ransomware
Najważniejsze incydenty
W pierwszej połowie 2019 r. cyberprzestępcy staranniej wybierali cele ataków z wykorzystaniem oprogramowania typu ransomware. Najczęściej wybierali korporacje międzynarodowe, firmy, a nawet organizacje rządowe. Sposób działania polegał na wysyłaniu do pracowników phishingowych wiadomości e-mail w celu wykorzystania luk w zabezpieczeniach, aby uzyskać dostęp do sieci, a następnie ją eksplorować.
Na przykład w marcu program ransomware LockerGoga uderzył w norweską firmę produkcyjną, wstrzymując pracę w kilku fabrykach, czego skutkiem było ponad 55 milionów USD strat. Natomiast amerykańskie miasto Baltimore w stanie Maryland w maju poniosło 5,3 miliona USD kosztów z powodu infekcji systemów przez oprogramowanie ransomware RobbinHood.
Niektóre przedsiębiorstwa miejskie były skłaniane do zapłaty okupu w nadziei na szybkie odzyskanie sprawności systemów wykorzystywanych w służbie publicznej. Ofiarami takich niepowiązanych ze sobą ataków z wykorzystaniem oprogramowania typu ransomware w ciągu kilku tygodni padły trzy samorządy miejskie na Florydzie: Riviera Beach — niezidentyfikowana odmiana oprogramowania ransomware — oraz Lake City i Key Biscayne — powszechnie znany program ransomware Ryuk.
Riviera Beach
600 000 USD29 maja
Lake City
460 000 USD10 czerwca
Key Biscayne
Brak danych na temat okupu23 czerwca
Te zaawansowane ataki i wysokie kwoty okupu zbiegają się z obserwowanym przez nas wzrostem ilości wykrytego oprogramowania typu ransomware od drugiej połowy 2018 r. do pierwszej połowy 2019 r., chociaż liczba nowych rodzin oprogramowania ransomware spadła.
Skomplikowane procedury
Ponadto zaobserwowaliśmy szereg szkodliwych procedur innych niż szyfrowanie plików. Niektóre rodzaje oprogramowania typu ransomware, w tym przykłady przedstawione poniżej, miały zaimplementowane specjalne funkcje zmniejszające szanse ofiary na odzyskanie plików i przywrócenie sprawności systemów.
- Ryuk— Dociera w spamie
— Może uniemożliwić rozruch zainfekowanego systemu - LockerGoga— Dociera poprzez wykradzione dane uwierzytelniające
— Zmienia hasła do kont użytkowników w zainfekowanych systemach, uniemożliwia ponowne uruchomienie zainfekowanych systemów - RobbinHood— Dociera poprzez niezabezpieczone komputery zdalne lub trojany
— Szyfruje każdy plik przy użyciu niepowtarzalnego klucza - BitPaymer— Dociera poprzez przejęte konta i wiadomości e-mail zawierające Dridex
— Wykorzystuje narzędzie PsExec - MegaCortex— Dociera poprzez przejęte kontrolery
— Wyłącza niektóre procesy - Nozelesn— Dociera w spamie
— To program pobierający trojan Nymaim. Ładuje oprogramowanie typu ransomware przy użyciu technik bezplikowych.
Nasze dane wskazują, że w pierwszej połowie roku aktywne były różne rodziny oprogramowania ransomware. Jednak najczęściej wykrywaną rodziną oprogramowania ransomware pozostała WannaCry. Liczba przypadków jej wykrycia znacznie przewyższa liczby przypadków wykrycia pozostałych.
Miesięczne porównanie przypadków wykrycia WannaCry w zestawieniu z wykryciami innych rodzin programów typu ransomware traktowanymi łącznie w pierwszej połowie 2019 r.
. . .
Ataki z wykorzystaniem
obiektów dostępnych w komputerze atakowanego
Zdarzenia bezplikowe
Porównanie półroczne zablokowanych zagrożeń związanych ze zdarzeniami bezplikowymi
Zgodnie z naszymi przewidywaniami coraz więcej ataków jest przeprowadzanych przy użyciu narzędzi dostępnych w komputerach ofiar oraz z wykorzystaniem normalnych narzędzi administracyjnych i narzędzi do testów penetracyjnych do ukrywania obecności. Te tzw. zagrożenia bezplikowe są trudniejsze do wykrycia niż tradycyjne złośliwe oprogramowanie, ponieważ nie zapisują danych na dysku, zazwyczaj działają w pamięci systemowej, przebywają w rejestrze lub wykorzystują narzędzia, które w normalnej sytuacji są uważane za bezpieczne, takie jak PowerShell, PsExec czy Instrumentacja zarządzania Windows.
Oto kilka ważnych zagrożeń bezplikowych, które wykryliśmy:
Wszystkie te zagrożenia mają jedną cechę wspólną: wykorzystują narzędzie PowerShell. Choć PowerShell jest bardzo praktycznym narzędziem dla administratorów, przy jego użyciu cyberprzestępcy uruchamiają kod bez konieczności zapisania ani uruchomienia pliku w pamięci lokalnej zainfekowanego systemu.
Złośliwe makra
Ilość ataków przy użyciu złośliwych makr odrobinę zmalała w porównaniu z drugą połową 2018 r. Większość wykrytych przez nas przypadków była związana z Powload, makrem przesyłanym głównie w wiadomościach spamie e-mail. Powload z biegiem lat przeszedł wiele zmian: urozmaicił spektrum dostarczanych rodzajów kodu, zaczął wykorzystywać steganografię, a nawet używa regionalnych marek i słów. Ponadto w spamie znaleźliśmy także inne rodziny makr, które dostarczały programy wykradające informacje, takie jak Trickbot, i wykorzystywane do cyberszpiegostwa.
Półroczne porównanie przypadków wykrycia złośliwych makr niezwiązanych z Powload i związanych z Powload
Oprogramowanie wykorzystujące luki
Nasze dane wskazują na nieznaczny wzrost liczby blokad dostępu do serwisów zawierających oprogramowanie wykorzystujące luki w porównaniu z drugą połową 2018 r., chociaż i tak liczba ta w pierwszej połowie 2019 r. jest znacznie niższa od tej, jaką notowano w czasach, gdy programy tego typu były u szczytu popularności. Oprogramowanie wykorzystujące luki wykorzystuje każdą nadarzającą się okazję, posługuje się starymi, ale nadal skutecznymi metodami i różnymi rodzajami kodu, które cały czas są dostosowywane do konkretnych potrzeb.
Półroczne porównanie przypadków zablokowania dostępu do adresów URL, pod którymi przechowywane są programy wykorzystujące luki.
Najbardziej godnym uwagi programem wykorzystującym luki wykrytym w pierwszej połowie 2019 r. był Greenflash Sundown wykorzystany w kampanii ShadowGate w ulepszonej wersji, która potrafiła posługiwać się narzędziami dostępnymi w komputerze ofiary, czyli zaktualizowaną wersję loadera PowerShell w celu bezplikowego wykonania kodu. Ostatnia większa aktywność ShadowGate została zanotowana w kwietniu 2018 r., kiedy przy użyciu Greenflash Sundown rozprzestrzenił złośliwe oprogramowanie produkujące kryptowaluty we wschodniej Azji.
. . .
Zagrożenia związane z wiadomościami
Phishing
W pierwszej połowie 2019 r. odnotowano zmniejszoną aktywność phishingową. Nasze dane wskazują na 18% spadek liczby blokad dostępu do witryn służących do phishingu według unikatowych adresów IP klientów. Za spadek ten może odpowiadać kilka czynników, w tym zwiększenie świadomości użytkowników na temat phishingu. Co ciekawe, w tym samym czasie odnotowaliśmy aż 76% wzrost liczby blokad dostępu do adresów URL służących do phishingu podszywających się pod Microsoft Office 365, szczególnie program Outlook.
Cyberprzestępcy wykorzystujący zaufanie ludzi do znanych marek i narzędzi stosowali też wieloplatformowe ataki socjotechniczne w ramach phishingu.
W systemie Android technikami phishingu wykorzystywano aplikacje do robienia zdjęć, aby wykradać zdjęcia.
Jedna z kampanii phishingowych wykorzystała technikę „watering hole” w celu kradzieży danych uwierzytelniających użytkowników.
Przestępcy stosujący metodę phishingu wykorzystywali rozszerzenie przeglądarki o nazwie SingleFile w celu podszywania się pod strony logowania.
Metody przeprowadzania ataków
Ataki z wykorzystaniem fałszywych biznesowych wiadomości e-mai (BEC) to prosta technika, która może narazić zaatakowaną firmę na poważne koszty. Podczas typowego ataku BEC oszust za pomocą socjotechniki podszywa się pod dyrektora firmy lub inną wysoko postawioną osobę i podstępem nakłania pracownika do przelania pieniędzy na swoje konto.
Ataki typu BEC są stosowane od wielu lat i oszuści opracowali szereg nowych sposobów na oszukanie ofiar. W efekcie celem ataków stały się także osobiste i należące do dostawców konta pocztowe, jak również zaczęto wysyłać fałszywe wiadomości od prawników. Odnotowano także przypadki potwierdzające nasze przewidywania, że oszuści posługujący się metodą BEC wezmą na celownik pracowników z niższych szczebli firmowej hierarchii.
Liczba przypadków wymuszeń związanych z intymnymi informacjami (sextortion) także wzrastała. Z naszych obserwacji wynika, że ilość spamu związanego z wymuszeniami przy użyciu informacji intymnych w pierwszej połowie 2019 r. wzrosła ponad czterokrotnie w porównaniu z drugą połowy 2018 r., co zgadza się z naszymi przewidywaniami z zeszłego roku. Nie jest to zaskakujące w świetle faktu, że wymuszenia typu sextortion stanowiły większość przestępstw związanych z wyłudzaniem, jakie zgłoszono FBI w 2018 r..
Ze względu na osobisty i delikatny charakter tego typu spraw ofiary są bardziej skłonne przystać na żądania przestępców. W pewnym przypadku wykrytym w kwietniu przestępcy próbowali wymusić pieniądze od użytkowników mówiących po włosku za pomocą gróźb ujawnienia kompromitujących filmów.
Półroczne porównanie przypadków wykrycia wiadomości e-mail związanych z wymuszeniami przy użyciu intymnych informacji
. . .
Luki w oprogramowaniu
Błędy w sprzęcie
Ujawnienie luk Meltdown i Spectre na początku 2018 r. stało się źródłem wielu nowych problemów związanych z ograniczaniem ryzyka i łataniem luk w zabezpieczeniach. W pierwszej połowie 2019 r. odkryto więcej luk na poziomie sprzętowym.
W lutym badacze zademonstrowali, jak hakerzy mogą wykorzystać enklawy mające za zadanie chronić dane i dostęp do nich w procesorach Intel Core i Xeon za pomocą zestawów rozkazów Software Guard Extensions (SGX).
W maju badacze ujawnili kilka luk bezpieczeństwa mikroarchitektury związanych z próbkowaniem danych w nowoczesnych procesorach firmy Intel. Skutki zademonstrowano za pomocą ataków typu „side-channel” ZombieLoad, Fallout i Rogue In-Flight Data Load (RIDL) przy użyciu metod podobnych do stosowanych w przypadku wykorzystywania luk Meltdown i Spectre. Za pomocą tych technik hakerzy mogą wykonać kod lub wydobyć dane.
Błędy o wysokim stopniu oddziaływania
W pierwszej połowie 2019 r. dominowały luki w zabezpieczeniach o wysokim stopniu ryzyka. Większość wad zgłoszonych przez nasz program Zero Day Initiative (ZDI) oceniono jako wysoce ryzykowne, co dowodzi ich szerokiego zasięgu.
107NISKIE
101ŚREDNIE
335WYSOKIE
40KRYTYCZNE
Poniżej przedstawiono kilka ważnych luk w zabezpieczeniach wykrytych w pierwszej połowie 2019 r. oraz opis zagrożeń, jakie stanowią dla firm:
CVE-2019-0708
Może dać złośliwemu oprogramowaniu bardzo szerokie możliwości rozprzestrzeniania
CVE-2019-1069
Przy jej użyciu haker może uzyskać dostęp do chronionych plików
CVE-2019-5736
Przy jej użyciu haker może zyskać pełną kontrolę nad hostem, na którym działa zainfekowany kontener
CVE-2019-1002101
Może zmusić użytkownika do pobrania złośliwych obrazów kontenerów
CVE-2019-9580
Może umożliwić nieautoryzowany dostęp do serwerów
. . .
Ataki na IoT i IIoT
Botnet i wojny robaków
Zgodnie z naszymi przewidywaniami, botnety i robaki walczą o przejęcie kontroli nad wystawionymi na ataki urządzeniami podłączonymi do internetu rzeczy (IoT). Konkurenci, którzy dosłownie dążą do zniszczenia rywali — wśród których znajdują się Bashlite czy różne warianty Mirai, jak Omni, Hakai i Yowai — postępują według następującego schematu: skanowanie zainfekowanych urządzeń podłączonych do internetu rzeczy w poszukiwaniu rywali, usunięcie innego złośliwego oprogramowania oraz wprowadzenie własnego kodu.
Ataki wymierzone w kluczową infrastrukturę
Przemysłowy internet rzeczy (IIoT) odmienił sposób działania obiektów przemysłowych i kluczowej infrastruktury, doprowadzając do bezprecedensowego wzrostu efektywności oraz zwiększając możliwości kontroli operacji przedsiębiorstwa. Jednak na styku technologii operacyjnych (OT) i technologii informacyjnych (IT) powstały nowe rodzaje zagrożeń bezpieczeństwa oraz rozszerzyło się pole ataku.
Z opublikowanej w marcu ankiety wynika, że 50% ankietowanych organizacji w ciągu ostatnich dwóch lat padło ofiarą ataku na kluczową infrastrukturę. Wygląda na to, że w 2019 r. cyberprzestępcy prowadzili ocenę celów w IIoT. Grupa hakerów Xenotime, której przypisuje się autorstwo szkodliwego oprogramowania Triton, znanego też jako Trisis, została przyłapana na badaniu systemów kontroli przemysłowej sieci energetycznych w USA i regionie Azji i Pacyfiku. Jej złośliwe oprogramowanie poszukiwało zdalnych portali logowania obranych na cel przedsiębiorstw oraz tworzyło listę luk bezpieczeństwa w ich sieciach.
. . .
KRAJOBRAZ ZAGROŻEŃ
Liczba zablokowanych wiadomości e-mail, plików i adresów URL nieznacznie spadła w drugim kwartale roku: Kwartalne porównanie blokad niebezpiecznych wiadomości e-mail, plików i adresów URL z zapytaniami dotyczącymi reputacji poczty elektronicznej, plików i adresów URL w pierwszej połowie 2019 roku
Kwartalne porównanie złośliwych aplikacji dla systemu Android zablokowanych w pierwszej połowie 2019 roku
Kwartalne porównanie zapytań o aplikacje dla systemu Android w pierwszej połowie 2019 roku
Najczęściej spotykanym formatem pliku w załącznikach do wiadomości e-mail ze spamem był PDF, który tylko nieznacznie wyprzedził pod tym względem XLS: Dystrybucja typów plików znajdowanych w załącznikach do wiadomości e-mail ze spamem w pierwszej połowie 2019 roku
Do połowy 2019 r. zanotowano wiele trwałych i ukrytych zagrożeń gotowych znajdować i wykorzystywać luki bezpieczeństwa w procesach, ludzkich zachowaniach i technologiach. Nie da się w prosty sposób określić, co powinno się składać na kompleksową ochronę. Każda firma musi przyjąć wielowarstwową strategię uwzględniającą jej specyficzne słabe strony. Należy chronić bramy, sieci, serwery i punkty końcowe. Do walki z zaawansowanym technicznie złośliwym oprogramowaniem należy wykorzystać wiedzę specjalistów i technologie zabezpieczeń ułatwiające wykrywanie i korelację zagrożeń, reagowanie w przypadku ich wykrycia oraz ich usuwanie.
Szczegółowy obraz najważniejszych zagrożeń pierwszej połowy 2019 roku i opis sposobów obrony zawiera pełna wersja naszego półrocznego podsumowania zatytułowanego „Trudno uchwytne zagrożenia, poważne skutki”.
. . .
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.