Zawsze o krok przed zagrożeniami: Półroczny raport Trend Micro 2023 o cyberzagrożeniach
20/23
ZAWSZE O KROK
PRZED ZAGROŻENIAMI
Półroczny raport Trend Micro 2023 o cyberzagrożeniach
Obecnie kluczowe znaczenie ma dysponowanie kompletem proaktywnych, całościowych rozwiązań zabezpieczających, ponieważ nasz śródroczny raport o środowisku cyberzagrożeń jednoznacznie pokazuje, że cyberprzestępcy często zmieniają cele, wykorzystują różne innowacje oraz stają się coraz bardziej kreatywni, aby zwiększyć efektywność i liczebność ataków.
Narzędzia wspomagane sztuczną inteligencją ułatwiają oszukiwanie, automatyzują dobieranie podatnych celów i umożliwiają powstawanie nowych rodzajów przestępstw. W tym roku cyberprzestępcy używający oprogramowania wymuszającego okup coraz częściej stosują ataki na słabo zabezpieczone sterowniki prywatnych urządzeń przynoszonych do pracy (BYOVD) oraz na luki, dla których jeszcze nie opracowano poprawek (zero-day), na przykład w usługach GoAnywhere, 3CX, PaperCut i MOVEit. Równocześnie cały czas przedsiębiorstwa są atakowane poprzez wykorzystywanie słabych lub domyślnych haseł.
Nasze dane zarządzania ryzykiem w powierzchniach ataku (ASRM) pokazują, że w pierwszej połowie 2023 r. najwięcej zdarzeń wykryto w Stanach Zjednoczonych, Brazylii i Indiach, a najczęściej atakowane branże to produkcja, opieka zdrowotna i nowoczesne technologie.
Na poniższej infografice przedstawiamy najważniejsze fragmenty z danych telemetrycznych pokazujących najszerszy obraz powierzchni ataku wśród 500 000 użytkowników komercyjnych i milionów użytkowników indywidualnych. Na podstawie informacji zebranych z macierzystych czujników rozmieszczonych w punktach końcowych, systemach poczty e-mail i komunikatorach, sieciach i kanałach ruchu internetowego, chmurach oraz systemach operacyjnych prezentujemy najczęściej używane techniki, taktyki i trendy ataków. Przyglądamy się również celom ataków oraz ich rodzajom, na przykład za pomocą oprogramowania wyłudzającego informacje, kierowanych do środowisk chmurowych i korporacyjnych, w formie zaawansowanych trwałych zagrożeń (APT). Wszystkie te informacje są przedstawione czytelnie i przejrzyście.
OPROGRAMOWANIE WYMUSZAJĄCE OKUP
Stosuj podejście „shift left” („przesuń w lewo”), aby zawsze być o krok przed grupami używającym oprogramowania ransomware do atakowania coraz to nowych celów
Grupy wykorzystujące oprogramowanie wyłudzające informacje cały czas unowocześniają swoje narzędzia i techniki, aby atakować kolejne cele i skuteczniej wydobywać informacje. Na początku tego roku hakerzy za pomocą nowego programu Mimic włamali się do wyszukiwarki Everything i za pomocą serii zapytań o rozszerzenia i nazwy plików ustalili, które pliki można zaszyfrować, a które lepiej pominąć. W międzyczasie oprogramowanie Royal poszerzyło zasięg oddziaływania i w nowej wersji jest skierowane przeciwko platformom Linux.
Nasze badania nad atakami Royal i Mimic sugerowały powiązanie z dużą niesławną grupą Conti, natomiast analiza oprogramowania TargetCompany ukazała powinowactwo z rodzinami ransomware takimi jak BlueSky i GlobeImposter. Istnieje tych powiązań jest spójne z wynikami naszych analiz o rewolucji w oprogramowaniu ransomware, gdzie wskazaliśmy, jak współpraca hakerów może pomóc obniżyć koszty, a zwiększyć zasięg działania i skuteczność przestępczej aktywności.
Trzeba też pamiętać, że korzyści finansowe nie są jedyną motywacją działania grup używających oprogramowania wymuszającego okup, ponieważ często władze w zamian za odstąpienie od postawienia przed sądem oferują najlepszym hakerom legalne zatrudnienie. W naszym majowym raporcie o tylnej furtce RomCom opisywaliśmy, jak historyczne wykorzystywanie tej tylnej furtki w motywowanych geopolityką atakach na Ukrainę co najmniej od października 2022 roku sugeruje zmianę celów grupy Void Rabisu. Ostatnie ataki oprogramowaniem ransomware są pod względem demonstrowanych umiejętności, metodyki i zdolności prowadzenia działań porównywalne z atakami realizowanymi przez grupę APT.
Hakerzy nadal używający oprogramowania ransomware przede wszystkimi do wyłudzania pieniędzy mogą skierować swoje zainteresowanie na wykradanie danych z portfeli kryptowalutowych, podszywanie się pod autentycznych użytkowników systemów poczty e-mail (BEC) oraz sztucznego zbijania cen akcji (short-and-distort — krótka sprzedaż i następnie rozpowszechnianie fałszywych informacji mających doprowadzić do spadku notowań). Kryptowaluty ułatwiły hakerom budowanie systemów faktycznego ściągania pieniędzy od ofiar. Ukazało to konieczność stosowania podejścia shift left („przesunięcia w lewo”), czyli przede wszystkim wdrażania jak największej liczby środków i narzędzi blokujących sam dostęp do sieci, ponieważ ataki oprogramowaniem wyłudzającym okup muszą się najpierw dostać do systemów i wykraść z nich dane.
INNE REKOMENDOWANE OPRACOWANIA
SZTUCZNA INTELIGENCJA
Innowacje oparte na sztucznej inteligencji ułatwiają życie również cyberprzestępcom
Już w 2021 r. 52% firm przyspieszało wdrażanie systemów sztucznej inteligencji ze względu na kryzys spowodowany pandemią COVID-19. Równocześnie przedsiębiorstwa coraz częściej wbudowują funkcje sztucznej inteligencji w różnych aspektach działalności operacyjnej. Upowszechnianie rozwiązań wykorzystujących sztuczną inteligencję utrzymało stabilny poziom w zeszłym roku. Obecnie 35% wykorzystuje takie mechanizmy w standardowych procesach biznesowych. Jedna firma na cztery używa sztucznej inteligencji do wypełniania luk kadrowych i kompetencyjnych, zaś dwie na cztery planują za pomocą sztucznej inteligencji wspierać realizację celów w zakresie zrównoważonego rozwoju.
Również branża cyberbezpieczeństwa może oczekiwać wzrostu zapotrzebowania na metody zapobiegania oszustwom rozpoznające tożsamość użytkowników, ale też niestety częstszego wykorzystywania sztucznej inteligencji przez cyberprzestępców do skuteczniejszego przeprowadzania ataków. Wirtualni porywacze obecnie używają klonowania głosu, kradzieży numerów telefonów (przejmowania danych kart SIM), czatbota ChatGPT oraz modelowania analizy i skłonności zachowań w sieciach społecznościowych (SNAP) do identyfikowania najbardziej obiecujących celów i przeprowadzania ataków.
Równocześnie czatbot ChatGPT i inne narzędzia wykorzystujące sztuczną inteligencję tworzą zagnieżdżone warstwy automatyzacji służące gromadzeniu informacji, tworzeniu grup celów oraz identyfikowaniu lekkomyślnych zachowań i ustalaniu ich priorytetów według kryterium możliwej dochodowości w celu przyciągnięcia ofiar o znanych nazwach i nazwiskach (tak zwanych „grubych ryb”) w atakach nazywanych polowaniem na osoby decyzyjne (harpoon whaling) i oszustwa matrymonialne. Inni oszuści stawiają na długofalowość działań i drenują ofiary z pieniędzy poprzez fikcyjne inwestycje w kryptowaluty, które kończą się tak zwanym świniobiciem (pig butchering). Są już również doniesienia o udanych próbach skłonienia narzędzi wspomagających programowanie przy użyciu sztucznej inteligencji, a nawet czatbota ChatGPT, do pisania złośliwego kodu źródłowego.
Częstotliwość takich cyberprzestępstw tylko wzrośnie, ponieważ coraz więcej indywidualnych użytkowników i przedsiębiorstw korzysta na co dzień z mechanizmów sztucznej inteligencji.
INNE REKOMENDOWANE OPRACOWANIA
LUKI W ZABEZPIECZENIACH
Indeks ryzyka cybernetycznego spadł do poziomu umiarkowanego, ale nadal istnieje wiele zagrożeń, ponieważ napastnicy unowocześniają metody działania
Na podstawie ankiet przeprowadzonych wśród 3700 przedsiębiorstw w czterech regionach w drugiej połowie 2022 roku indeks ryzyka cybernetycznego (CRI) spadł do poziomu umiarkowanego, osiągając wartość +0,01. Jednak wczytanie się w szczegóły raportu pokazuje, że najwyższą wartość — -0,10 — CRI osiąga w Ameryce Północnej. Tam również indeks przygotowania na cyberzagrożenia (Cyber Preparedness Index) pogorszył się z 5,30 na 5,29, a indeks cyberzagrożeń (Cyber Threat Index) spadł z 5,63 do 5,39. Jeśli chodzi o liczbę porad dotyczących luk w zabezpieczeniach, w pierwszej połowie 2023 roku opublikowano 894, tylko o 50 mniej niż w pierwszej połowie ubiegłego roku.
Równocześnie cyberprzestępcy zarzucają swoje sieci szerzej, wykorzystując luki w zabezpieczeniach mniejszych platform i tam szukając konkretnych celów. Dotyczy to na przykład usługi przesyłania plików MOVEit, oprogramowania do komunikacji biznesowej 3CX oraz systemu zarządzania drukiem PaperCut. W czerwcu oprogramowanie ransomware Clop wykorzystało lukę w zabezpieczeniach usługi MOVEit, a wcześniej zaatakowało różne instytucje publiczne w Stanach Zjednoczonych, w tym Departament Energii i wyższe uczelnie w wielu stanach. Ofiarami stały się też prywatne firmy.
W maju firma Google uruchomiła osiem nowych domen najwyższego poziomu (TLD), w tym .zip i .mov. Stanowi to potencjalnie duże zagrożenie dla bezpieczeństwa, ponieważ cyberprzestępcy mogą fałszować adresy URL autentycznych i wiarygodnych witryn internetowych w celu wprowadzania złośliwego oprogramowania i wykonywania innych ataków. To znana i wypróbowana technika, która pozostaje skuteczna do dziś.
Wraz z postępującą innowacyjnością i wykorzystywaniem coraz większej ilości danych cyberprzestępcy znajdują kolejne sposoby narażania ludzi na straty. Na przykład we współczesnych skomunikowanych samochodach system operacyjny i aplikacje zawierają ponad 100 milionów linii kodu źródłowego, tak aby użytkownicy otrzymali jak najwięcej inteligentnych funkcji. Jednak otwiera to również drzwi dla hakerów. Wraz z pojawianiem się coraz większej liczby zaawansowanych elektronicznie samochodów cyberprzestępcy będą się starali uzyskać dostęp do danych na kontach użytkowników i wykorzystać je do przestępczej działalności.
Zagrożenia te uwypuklają konieczność opracowania schematu proaktywnego zarządzania ryzykiem cybernetycznym, praktycznie wykorzystującego elementy strategii zerowego zaufania oraz zapewniającego ustawiczny wgląd w ryzyko i możliwość jego oceny przez cały okres występowania. Schemat powinien obejmować etapy wykrywania, oceny dotkliwości i łagodzenia skutków. Zainwestowanie w rozbudowany system wykrywania i reagowania spowoduje pozyskanie danych, funkcji analitycznych i narzędzi integracyjnych, dzięki którym zespoły odpowiedzialne za bezpieczeństwo i badania uzyskają szczegółowy wgląd w krajobraz zagrożeń i skuteczność działania systemów obrony.
KAMPANIE
Znane zagrożenia wykorzystują nowe narzędzia w celu unikania wykrycia i łatwiejszego rozprzestrzeniania
Cyberprzestępcy cały czas tworzą nowe oraz aktualizują istniejące narzędzia i techniki, tak aby ataki były trudniejsze do wykrycia, a grono potencjalnych ofiar większe.
W najnowszej kampanii w tym roku kolektyw APT34 wykorzystał komunikację kontrolno-sterującą (C&C) opartą na usłudze DNS oraz autentyczną komunikację e-mail realizowaną przy użyciu protokołu SMTP (Simple Mail Transfer Protocol) do obejścia zasad zabezpieczeń wewnątrz sieci. Dokładniejsze analizy ujawniły, że APT34 może mieć silne powiązania z kręgami rządowymi.
Grupa Earth Preta skierowała swoją uwagę głównie na infrastrukturę krytyczną i kluczowe instytucje, które wpływają na relacje wewnętrzne i międzynarodowe, gospodarkę oraz giełdę papierów wartościowych. Grupa ta, stosująca ataki APT, obecnie używa technik hybrydowych do rozpowszechniania złośliwego oprogramowania za pomocą łączy usługi Dysk Google osadzanych w oszukańczych dokumentach i włamywania się metodami fizycznymi. Posługuje się również aplikacjami WinRAR i curl (zwanej też „cURL”) oraz nieznanym wcześniej złośliwym oprogramowaniem, aby gromadzić i przesyłać dane. Połączenie tradycyjnych technik hakerskich z gromadzeniem informacji w cyberprzestrzeni wskazuje na wysoce skoordynowaną działalność cyberszpiegowską.
Również inne znane od dawna zagrożenia wracają do gry z nowymi, lepszymi narzędziami i oznakami zmienionych celów. Po okresie uśpienia podgrupa Earth Longzhi działająca w ramach kolektywu APT41 wróciła z nową techniką, którą nazwaliśmy „stack rumbling”, czyli w wolnym tłumaczeniu „wstrząsaniem podstawami”. Polega ona na dezaktywowaniu oprogramowania zabezpieczającego poprzez atak na klucz rejestru Image File Execution Options (IFEO). Tę nową technikę powodowania odmowy obsługi (DoS) zaobserwowaliśmy po raz pierwszy w tej kampanii. Posiadane próbki z kampanii wskazują, że grupa obrała za cel przedsiębiorstwa na Filipinach, Tajwanie i Fidżi oraz w Tajlandii, natomiast dokumenty osadzone w próbkach sugerują, że wkrótce zostaną zaatakowane firmy z Wietnamu i Indonezji.
INNE REKOMENDOWANE OPRACOWANIA
KRÓTKI OPIS ZAGROŻEŃ
85629564910
OGÓLNA LICZBA ZAGROŻEŃ ZABLOKOWANYCH W PIERWSZEJ POŁOWIE 2023 R.
37,0 MLD
ZABLOKOWANYCH ZAGROŻEŃ W POCZCIE E-MAIL
1 POŁ. 2023
1,1 MLD
ZABLOKOWANYCH ZŁOŚLIWYCH ADRESÓW URL
1 POŁ. 2023
45,9 MLD
ZABLOKOWANYCH ZŁOŚLIWYCH PLIKÓW
1 POŁ. 2023
44,1 MLD
ZAPYTAŃ O REPUTACJĘ WIADOMOŚCI E-MAIL
1 POŁ. 2023
2,1 BLN
ZAPYTAŃ O REPUTACJĘ ADRESÓW URL
1 POŁ. 2023
1,1 BLN
ZAPYTAŃ O REPUTACJĘ PLIKÓW
1 POŁ. 2023
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.