- Zagrożenia związane z wiadomościami
- Ransomware
- Luki w zabezpieczeniach o krytycznym znaczeniu
- Ataki na IoT
- Badania Trend Micro
- Krajobraz zagrożeń
- PDF do pobrania
W 2018 r. przedsiębiorstwa zalała fala cyberprzestępczości obejmująca zarówno nowe, jak i znane już wcześniej zagrożenia. Badacze odkryli, że niemal wszystkie działające komputery mają poważne wady sprzętowe, problem z ransomware nie został rozwiązany, a kryptowaluty są wydobywane nielegalnie na coraz więcej sposobów. Ponadto odnotowali nowe, skuteczne ataki na słabo zabezpieczone urządzenia domowe połączone z Internetem. W reakcji na coraz większą liczbę systemów operacyjnych i urządzeń cyberprzestępcy zaczęli rezygnować z ataków opartych na zestawach exploitów na rzecz starej, ale ciągle skutecznej taktyki — socjotechniki. Zestawy exploitów i zautomatyzowane metody były efektywne, gdy wielu użytkowników używało oprogramowania z lukami w zabezpieczeniach, jednak w 2018 r. przestępcy częściej woleli wykorzystywać ludzkie słabości.
Nasze coroczne podsumowanie zabezpieczeń obejmuje analizę tych i innych ważnych kwestii związanych z bezpieczeństwem. Dostarcza także przedsiębiorstwom i użytkownikom cennych informacji, które pomagają im uświadomić sobie zagrożenia i lepiej się na nie przygotować.
Zagrożenia związane z wiadomościami
Służbowa poczta e-mail służy do przesyłania ważnych wiadomości do i z sieci przedsiębiorstwa, więc jest dla cyberprzestępców atrakcyjnym celem. W związku z powyższym phishing i inne oszustwa socjotechniczne są jednymi z najpoważniejszych problemów, z którymi zmagają się specjaliści ds. cyberbezpieczeństwa. Niechciane wiadomości e-mail, profesjonalnie skonstruowane i sformułowane, z łatwością mogą oszukać odbiorcę, który regularnie otrzymuje podobne e-maile.
W 2018 r. wzrosła liczba różnego rodzaju zagrożeń związanych z przesyłaniem wiadomości. W szczególności zaobserwowaliśmy 82-procentowy wzrost blokowania dostępu do adresów URL służących do phishingu według unikatowych adresów IP klientów w porównaniu z rokiem ubiegłym. Do phishingu zwykle wykorzystywana jest poczta e-mail, ponieważ taki sposób rozprzestrzeniania zagrożeń jest mniej zależny od platformy niż inne rodzaje ataków, które polegają na przykład na określonych exploitach.
Porównanie rok do roku blokowania dostępu do adresów URL służących do phishingu według unikatowych adresów IP klientów (jedno urządzenie, na którym skorzystano z linku trzy razy, jest liczone tylko raz)
Ostatnio oprócz poczty e-mail do ataków phishingowych używano także czatu, SMS-ów i innych sposobów komunikacji. Większe zróżnicowanie ataków phishingowych i wzrost ich liczby pokazuje, jak cyberprzestępcy dostosowują się do zmieniającej się sytuacji. Większa liczba urządzeń łączących się z Internetem i coraz bogatsza oferta systemów operacyjnych oznaczają, że wykorzystanie jednego, konkretnego systemu nie będzie dla cyberprzestępców tak zyskowne jak w przeszłości. W związku z tym zwrócili się oni ku staremu, ale nadal skutecznemu atakowi.
Inną formą ataków, do których wykorzystuje się systemy przesyłania wiadomości, były w 2018 r. fałszywe biznesowe wiadomości e-mail (BEC). W typowym ataku BEC przestępca inicjuje lub przechwytuje komunikację, aby oszukać pracownika przedsiębiorstwa, który ma uprawnienia do wydania lub przesłania funduszy.
- Dyrektor generalny
- Dyrektor zarządzający/dyrektor
- Prezes
- Dyrektor generalny/kierownik
- Prezes zarządu
- Inne
Stanowiska najczęściej wykorzystywane do podszywania się
O ile ogólna liczba ataków typu BEC była niska, o tyle udana próba mogła doprowadzić do dużych strat finansowych w firmach będących ich celem. Z kolei ataki phishingowe były skierowane przeciwko dużej liczbie potencjalnych ofiar, ponieważ oszukanie nawet małego procenta użytkowników przyniosłoby atakującym zysk.
Ransomware
Ogólnie zagrożenia związane z ransomware zmniejszyły się o 91 procent od 2017 do 2018 r., a liczba odkrytych rodzin ransomware w tym samym okresie również spadła. Ten ostry i ciągły spadek stanowił kontynuację trendu odnotowanego w naszym podsumowaniu półrocznym. Można to przypisać lepszym rozwiązaniom do ochrony przed ransomware, rosnącej świadomości tego zagrożenia i w pewnym zakresie wiedzy, iż negocjowanie z przestępcami nie przyniesie efektów.
Zagrożenia związane z ransomware
Nowe rodziny ransomware
W związku z tym, że zysk, który chcieli osiągnąć atakujący, przeważał wysiłek związany z organizacją ataków, oprogramowanie ransomware nadal było używane. Liczba przypadków wykrycia WannaCry — rodziny, która spowodowała słynną epidemię ransomware w maju 2017 r. — nie zmieniła się znacząco (616 399) i usunęła w cień ataki wszystkich innych rodzin ransomware.
W 2018 r. liczba przypadków wykrycia wydobywania kryptowalut wzrosła do ponad 1,3 mln, co oznacza 237-procentowy wzrost w porównaniu z rokiem poprzednim.
Przypadki wykrycia wydobywania kryptowalut
Przez cały rok nie tylko odnotowaliśmy więcej przypadków wykrycia, ale też obserwowaliśmy „gorączkę złota” związaną z metodami ataków ukierunkowanych na wydobywanie kryptowalut: związane były z platformami reklamowymi, reklamami wyskakującymi, miały postać złośliwych rozszerzeń do przeglądarek, ataków na telefony komórkowe, botnetów, były łączone w pakiety z legalnym oprogramowaniem, w zestawy exploitów i przekazywane jako zmodyfikowane ransomware.
sierpień 2017–grudzień 2018
Oprócz tego odnotowaliśmy falę jednej z metod ataku używanej do omijania tradycyjnych metod dodawania do czarnej listy, a mianowicie zagrożeń bezplikowych. Te konkretne zagrożenia starają się ominąć konwencjonalne rozwiązania i zwykle można je wykryć tylko przy użyciu innych środków, takich jak monitorowanie ruchu, wskaźniki behawioralne lub piaskownica (tzw. „sandboxing”).
Luki w zabezpieczeniach o krytycznym znaczeniu
Ten rok w dziedzinie bezpieczeństwa rozpoczął się od przełomowego ujawnienia Meltdown i Spectre — luk w zabezpieczeniach na poziomie procesora, które wynikały z błędów spekulatywnego wykonywania instrukcji CPU. Nowe klasy błędów dotyczyły różnych mikroprocesorów i stały się źródłem nowych ataków z wykorzystaniem luk w procesorach, a także wielu trudności z minimalizowaniem zagrożeń. Do końca roku nie przedstawiono żadnego prostego rozwiązania tego problemu.
Kolejnym problemem, który po raz pierwszy pojawił się w 2018 r., było odkrycie mającej krytyczne znaczenie luki w zabezpieczeniach oprogramowania open source do orkiestracji w chmurze — Kubernetes. Na szczęście ten konkretny problem szybko rozwiązano.
Większość luk w zabezpieczeniach jest odnajdywana, a następnie ujawniana w sposób odpowiedzialny przez badaczy i dostawców, tak aby nie mogły zostać użyte do szeroko zakrojonych ataków. Publiczne ujawnienie luki w zabezpieczeniach oznacza, że dowiedzą się o niej również cyberprzestępcy, więc konieczne jest utworzenie poprawki jeszcze przed przekazaniem informacji. Przestępcy aktywnie wykorzystują luki w zabezpieczeniach, aby tworzyć exploity operacyjne.
Ostatnio nie odnotowano żadnego szeroko zakrojonego ataku typu zero-day z wykorzystaniem exploitów, a w przeszłości dochodziło do nich co najmniej dwa lub trzy razy w roku. Zasięg ataków wykrytych w 2018 r. był ograniczony. Cyberprzestępcy wykorzystywali również luki w zabezpieczeniach, do których wydano już poprawki, zakładając, że wielu użytkowników nie zastosowało dostępnych rozwiązań wystarczająco szybko lub w ogóle.
* Przesuń kursor nad element, aby wyświetlić datę ataku
* Dotknij elementu, aby wyświetlić datę ataku
Luka w zabezpieczeniach Drupala służąca do wydobywania kryptowalut
CVE-2018-7602Luki w zabezpieczeniach Apache CouchDB służące do wydobywania kryptowalut
CVE-2017-12635,CVE-2017-12636
3 miesiące później
Luka w zabezpieczeniach Oracle WebLogic WLS-WSAT służąca do wydobywania kryptowalut
CVE-2017-102714 miesiące później
Luka w zabezpieczeniach, która umożliwia trwały rooting telefonów z systemem Android używanych w AndroRat
CVE-2015-180523 miesiące później
Godne uwagi ataki z 2018 r. z zastosowaniem exploitów ukierunkowanych na znane i poprawione luki w zabezpieczeniach
Znaczny odsetek luk w zabezpieczeniach znalezionych w 2018 r. dotyczył oprogramowania używanego w systemach kontroli przemysłowej (ICS). Większość z tych luk znajdowała się w interfejsach człowiek-maszyna (HMI) do systemów ICS i środowiskach systemów sterowania i pozyskiwania danych (SCADA). HMI to centrum monitorowania, implementacji stanów różnych procesów w obiektach i zarządzania nimi. Wykorzystanie mającej krytyczne znaczenie luki w zabezpieczeniach HMI może dać atakującemu możliwość wywierania wpływu na działanie fizycznych komponentów obiektu przedsiębiorstwa.
Ataki na IoT
Ataki oparte na routerach nadal utrzymują się na tym samym poziomie, mimo reperkusji wobec twórców zagrożeń Mirai i Satori. W 2018 r. odkryliśmy, że zmodyfikowany kod Mirai jest nadal używany w atakach na routery. Oprócz tego VPNFilter — kolejna forma złośliwego oprogramowania infekującego routery — został zmodyfikowany poprzez dodanie nowych funkcji, obejmujących podsłuchiwanie ruchu sieciowego i przetrwanie restartu, co spowodowało wykorzystanie routerów do inicjowania ataków DDoS. Dodatkowo routery były używane do wydobywania kryptowalut i pharmingu, co stanowiło kontynuację trendu wzrostu funkcjonalności, który odnotowaliśmy w naszym podsumowaniu półrocznym.
W 2018 r. zarejestrowano dwa przykłady ataków:
CryptojackingAtakujący wykorzystali poprawiony błąd w zabezpieczeniach routerów MikroTik w Brazylii i wstrzyknęli złośliwy skrypt Coinhive, aby wydobywać Monero.
Złośliwe przekierowywanieZestaw exploitów Novidade mógł zmienić ustawienia systemu DNS, aby niczego niepodejrzewający użytkownik mógł zostać przekierowany do fałszywych stron kontrolowanych przez atakującego.
Coraz więcej inteligentnych urządzeń łączy się z Internetem rzeczy (IoT), więc coraz liczniejsi użytkownicy stają się „administratorami inteligentnych sieci domowych”. Muszą oni dbać o to, aby ich routery nie stały się punktem wejścia dla atakujących. W związku z tym, że routery pełnią funkcję centrum zarządzania połączeniami z innymi urządzeniami, które wymagają dostępu do Internetu, muszą być dobrze zabezpieczone.
Badania Trend Micro
Rozwiązania „machine learning”
- Ochrona prewencyjna. Uzyskiwanie dokładniejszych informacji o zagrożeniach sieciowych dzięki „machine learning”
- Generowanie przykładów mylących: doskonalenie systemów „machine learning” na potrzeby zabezpieczeń
- Odkrywanie nieznanych zagrożeń dzięki „machine learning” w formacie czytelnym dla człowieka
Szpitale, elektrownie i wodociągi korzystające z sieci
- Narażona na atak infrastruktura o znaczeniu krytycznym: branże wodociągowa i energetyczna
- Delikatna architektura danych przemysłowego Internetu rzeczy
- Ochrona szpitali korzystających z sieci. Badanie dotyczące narażonych na ataki systemów medycznych i ryzyka związanego z łańcuchem dostaw
Cyberprzestępczość — dochodzenia i aresztowania
Krajobraz zagrożeń
48387151118
Łączna liczba zablokowanych zagrożeń w 2018 roku
Zablokowane składniki zagrożeń | I połowa 2018 r. | II połowa 2018 r. | Łącznie w 2018 r. |
Zagrożenia w poczcie e-mail | 16,997,711,547 | 24,521,948,297 | 41,519,659,844 |
Złośliwe pliki | 2,956,153,112 | 2,867,738,653 | 5,823,891,765 |
Złośliwe adresy URL | 534,534,550 | 509,064,959 | 1,043,599,509 |
Łączna liczba zagrożeń | 20,488,399,209 | 27,898,751,909 | 48,387,151,118 |
Porównanie półroczne zablokowanych zagrożeń związanych z pocztą e-mail, plikami i adresami URL
Rok | Rodzina WannaCry | Inne rodziny ransomware |
2017 | 321,814 | 244,716 |
2018 | 616,399 | 126,518 |
Porównanie rok do roku przypadków wykrycia WannaCry w zestawieniu z łączną liczbą przypadków wykrycia innych rodzajów ransomware
Miesięczne porównanie przypadków wykrycia zagrożeń bezplikowych
- 147%
- 33%
- 35%
- 38%
- 94%
- 27%
Porównanie rok do roku luk w zabezpieczeniach stwierdzonych u wybranych dostawców oprogramowania
Aby uzyskać więcej informacji o najważniejszych problemach z cyberbezpieczeństwem w 2018 r., pobierz nasze coroczne podsumowanie zabezpieczeń.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.