Szczegółowy obraz najważniejszych zagrożeń pierwszej połowy 2018 roku zawiera pełna wersja naszego półrocznego podsumowania zatytułowanego „Niedostrzegane zagrożenia — nieuchronne straty”.
Podstępne i trudno zauważalne — dwie cechy wspólne dla głównych zagrożeń dla cyberbezpieczeństwa wykrytych w pierwszej połowie 2018 roku. Początek roku okazał się ciężki — już w styczniu wykryto poważne błędy w budowie popularnych mikroprocesorów, które dotychczas były uważane za bezpieczne. W ciągu kolejnych kilku miesięcy obserwowaliśmy wyraźny odwrót od cechującego się dużą widocznością oprogramowania wymuszającego okup (ransomware) na rzecz zagrożenia bardziej dyskretnego — kopania kryptowalut. Wzrosła również liczba „bezplikowego” złośliwego oprogramowania i innych zagrożeń wykorzystujących nietradycyjne techniki omijania zabezpieczeń, a także naruszeń bezpieczeństwa danych i oszukańczych wiadomości e-mail stosujących socjotechniki.
Wszystkie te szkodliwe zagrożenia — od „kopaczy” ukradkiem wysysających moc z urządzeń ofiar po poważne luki w zabezpieczeniach, które sprawiają, że komputery są otwarte na ukryte ataki — decentralizują ograniczone zasoby ochronne i rozpraszają uwagę administratorów IT.
W naszym raporcie analizujemy pierwsze półrocze 2018 roku w celu wskazania najczęstszych nowych zagrożeń, na które przedsiębiorstwa powinny się przygotować.
Poważne luki w zabezpieczeniach sprzętu jeszcze bardziej utrudniają łatanie dziur
Rok rozpoczął się od wykrycia Meltdown i Spectre — dwóch poważnych błędów w budowie popularnych mikroprocesorów. Ich wpływ został spotęgowany ogromną liczbą urządzeń, na których były zainstalowane wadliwe mikroprocesory, oraz poziomem dostępu, jaki mogły umożliwiać hakerom. To był dopiero początek. Po ogłoszeniu odkrycia znaleziono i wyeliminowano więcej luk w zabezpieczeniach.
Luki w zabezpieczeniach sprzętu stanowią złożony problem dla administratorów infrastruktur informatycznych. Gdy luki w zabezpieczeniach są wykrywane w mikroprocesorach różnych producentów, a poprawki są publikowane przez dłuższy czas, zastosowanie poprawek oprogramowania sprzętowego na wszystkich urządzeniach dotkniętych problemem jest dość trudne. Poza tym niektóre poprawki obniżają wydajność systemów starszych urządzeń, co jeszcze bardziej wpływa na działalność biznesową.
Poza problemami ze sprzętem administratorzy infrastruktur informatycznych musieli także radzić sobie z lukami w zabezpieczeniach ujawnianymi przez dużych dostawców oprogramowania. Chociaż w miarę znajdowania i naprawiania ujawnionych luk regularnie publikują oni poprawki, ochrona sieci przedsiębiorstw nadal nie jest łatwa. Liczba luk w zabezpieczeniach oraz konieczność zapewniania nieprzerwanego działania sieci sprawiają, że instalowanie poprawek stanowi odwieczny problem dla administratorów.
Publikacje ZDI Trend Micro
602
raporty w pierwszej połowie 2018 roku
23
publikacje bez poprawek lub
minimalizowania zagrożenia w momencie publikacji
Wzrost liczby porad dotyczących luk w zabezpieczeniach SCADA
Łączna liczba zgłoszonych luk w zabezpieczeniach SCADA:
30%
wzrost w porównaniu z drugą połową 2017 roku
Liczba zgłaszanych luk w zabezpieczeniach związanych z architekturą systemów sterowania i pozyskiwania danych SCADA wzrosła w porównaniu z drugą połową 2017 roku, przy czym wiele z tych luk znaleziono w oprogramowaniu paneli sterowniczych (HMI). Panele sterownicze SCADA stanowią główny koncentrator cyfrowy zarządzający infrastrukturą o znaczeniu krytycznym, a zawarte w nich dane są dobrym materiałem zwiadowczym dla atakujących.
LUKI TYPU ZERO-DAY W OPROGRAMOWANIU SCADA BEZ POPRAWEK PO UJAWNIENIU
77%
spadek w porównaniu z drugą połową 2017 roku
Z naszych danych wynika również, że więcej dostawców było w stanie terminowo opracowywać poprawki lub metody ograniczania ryzyka związane z odpowiednimi ujawnianymi lukami w zabezpieczeniach. Chociaż jest to mile widziana poprawa, sama liczba wykrytych luk w zabezpieczeniach dobitnie wskazuje, dlaczego przedsiębiorstwa z sektorów infrastruktury o znaczeniu krytycznym powinny pilnie monitorować systemy oprogramowania SCADA i inwestować w wielowarstwowe rozwiązania z zakresu bezpieczeństwa. Unia Europejska wydała dyrektywę dotyczącą bezpieczeństwa sieci teleinformatycznych i przetwarzanych w nich informacji (Network and Information Security, NIS), która nakłada na państwa członkowskie obowiązek wprowadzenia w życie przepisów zapewniających podwyższony poziom bezpieczeństwa sektorów o znaczeniu krytycznym i kluczowych usług cyfrowych.
Dyrektywa NIS
- Przepisy Unii Europejskiej dotyczące organizacji obsługujących infrastruktury o znaczeniu krytycznym. Na mocy dyrektywy oraz odpowiednich przepisów krajowych operatorzy działający w sektorach o znaczeniu krytycznym muszą stosować odpowiednie, proporcjonalne i nowoczesne środki w celu ochrony sieci i systemów informatycznych, w tym także zasady ograniczania ryzyka.
- Do przedsiębiorstw objętych dyrektywą należą:
- Elektrownie
- Wodociągi
- Banki
- Szpitale
- Firmy
transportowe - Internetowe
platformy handlowe - Usługi przetwarzania danych
w chmurze - Wyszukiwarki
Wykryto ponad dwa razy więcej przypadków kopania kryptowalut, a oprogramowanie wymuszające okup pozostaje zagrożeniem dla przedsiębiorstw
W naszym corocznym raporcie podsumowującym z 2017 roku zauważyliśmy wzrost aktywności związanych z wydobywaniem kryptowalut. Trend ten utrzymał się w pierwszej połowie 2018 roku, gdy wykryto ponad dwa razy więcej aktywności związanych z kopaniem kryptowalut w porównaniu z drugą połową 2017 roku. Zaobserwowaliśmy także znaczną liczbę nowych rodzin złośliwego oprogramowania do wydobywania kryptowalut, co pokazuje, że cyberprzestępcy żywo interesują się czerpaniem zysków z walut cyfrowych.
141%
wzrost aktywności związanych z kopaniem kryptowalut wykrytych przez infrastrukturę Trend Micro™ Smart Protection Network™
47
I połowa 2018 r.
Wykrycie nowych rodzin złośliwego oprogramowania
do kopania kryptowalut
W ciągu kilku pierwszych miesięcy 2018 roku zaobserwowaliśmy, jak cyberprzestępcy opracowują nowe metody i techniki mające na celu maksymalizację zysków z nielegalnego kopania kryptowalut.
- styZainfekowane reklamy w usłudze DoubleClick firmy Google
- lutWstrzykiwanie reklam na strony internetowe przez botneta Droidclub
- marWirus ICLoader pobierający oprogramowanie typu adware
- kwiSkrypt do kopania w sieci na platformie reklamowej firmy AOL
- majCVE-2017-10271 przez port 7001/TCP
- czeOprogramowanie Necurs wykorzystujące luki
Buszujący w sieci niechciani kopacze kryptowalut mogą spowalniać jej działanie, stopniowo zużywać sprzęt oraz pobierać moc — są to problemy, których waga rośnie w środowiskach korporacyjnych. Biorąc pod uwagę trudno wykrywalny, lecz istotny wpływ kopania kryptowalut na system, administratorzy infrastruktur informatycznych muszą uważać na osobliwe działania w sieci.
Chociaż rozpowszechnianie oprogramowania wymuszającego okup w krajobrazie cyberzagrożeń się ustabilizowało, przedsiębiorstwa nadal powinny na nie uważać.
W porównaniu z drugą połową 2017 roku w pierwszej połowie 2018 roku liczba wykrytych programów ransomware wzrosła tylko nieznacznie, a liczba nowych rodzin takiego oprogramowania się zmniejszyła. Ta zmiana tempa rozwoju została najprawdopodobniej spowodowana zwiększoną czujnością i wynikającymi z niej ulepszeniami metod zapobiegania atakom i łagodzenia ich skutków.
3%
wzrost wykrytej
aktywności oprogramowania ransomware
26%
spadek liczby nowych
rodzin ransomware
Coraz więcej poważnych naruszeń bezpieczeństwa mimo widma kar związanych z RODO
Opierając się na odpowiednich zbiorach danych firmy Privacy Rights Clearinghouse z 2017 i 2018 roku, zaobserwowaliśmy 16-procentowy wzrost liczby zgłaszanych przypadków naruszeń bezpieczeństwa danych w Stanach Zjednoczonych.
Naruszenia zgłoszone w Stanach Zjednoczonych
224
II połowa 2017 r.
259
I połowa 2018 r.
Warto zauważyć, że przypadków spowodowanych niezamierzonym ujawnieniem danych było więcej — chociaż tylko nieznacznie — od przypadków naruszeń w wyniku włamań.
- Niezamierzone ujawnienie
- Włamanie lub złośliwe oprogramowanie
- Utrata fizyczna
- Inne (działanie osoby z wewnątrz, nieznane itd.)
Piętnaście spośród przypadków naruszeń bezpieczeństwa danych w I połowie 2018 roku stanowiły naruszenia poważne, czyli takie, które dotyczyły co najmniej miliona pozycji. Najwięcej przypadków naruszeń bezpieczeństwa danych miało miejsce w sektorze opieki zdrowotnej, ale najwięcej przypadków poważnych dotyczyło firm z branży handlu detalicznego i sprzedawców internetowych. Wykryliśmy także co najmniej dziewięć przypadków naruszeń bezpieczeństwa poza Stanami Zjednoczonymi, które można uznać za poważne.
wzrost liczby
poważnych przypadków naruszeń bezpieczeństwa w Stanach Zjednoczonych
71%
naruszeń bezpieczeństwa
miało miejsce w sektorze opieki zdrowotnej
Przedsiębiorstwa, w których wystąpiły naruszenia bezpieczeństwa danych, ponoszą wymierne konsekwencje. Obejmują one koszty odzyskiwania i powiadamiania, utratę przychodów, problemy związane z eliminowaniem luk w zabezpieczeniach i przestojami, a także potencjalne koszty sądowe — poważne naruszenie bezpieczeństwa może kosztować firmy nawet 350 milionów USD. Należy do tego dodać, że wiele krajów wprowadza nowe regulacje dotyczące poufności danych, które nakładają pokaźne grzywny za niewłaściwe zarządzanie danymi.
Zwłaszcza Unia Europejska przyjęła stanowcze stanowisko w kwestii prywatności, wprowadzając jedne z najsurowszych i najobszerniejszych przepisów o ochronie danych na świecie — Rozporządzenie o ochronie danych osobowych (RODO). Te regulacje, które weszły w życie w maju tego roku, wysoko stawiają poprzeczkę, jeśli chodzi o bezpieczeństwo danych i ochronę prywatności. Organizacjom, które nie będą ich przestrzegać, grożą wysokie kary. Mogą one sięgać 20 milionów euro lub 4% globalnego obrotu rocznego firmy — w zależności od tego, która z tych kwot będzie wyższa. Nowe przepisy mają poza tym całkiem duży zasięg, ponieważ obowiązują wszystkie organizacje przechowujące dane obywateli Unii Europejskiej.
Czy masz zapewnioną zgodność z rozporządzeniem RODO ?
Bezpieczeństwo routerów nadal niewystarczające mimo alertu Mirai
W pierwszej połowie 2018 roku zaobserwowaliśmy ukierunkowane ataki na routery, co wskazuje, że prywatne domy i przedsiębiorstwa pozostają otwarte na ataki sieciowe. Jest to szczególnie niebezpieczne, ponieważ złamanie zabezpieczeń routera umożliwia przeprowadzenie ataku na wszystkie połączone z nim urządzenia — laptopy, smartfony, inteligentnych asystentów i inne urządzenia Internetu rzeczy (IoT).
Wykryliśmy skanowanie w poszukiwaniu słabo chronionych routerów i urządzeń Internetu rzeczy podobne do skanowania prowadzonego przez botneta Mirai. W 2016 roku botnet Mirai przeprowadził rekordową liczbę rozproszonych ataków typu DOS (DDoS). Od opublikowania jego kodu źródłowego w październiku tamtego roku cyberprzestępcy używają go do innych szkodliwych działań.
Bezplikowe, oparte na makrach i niewielkie złośliwe programy wyzwaniem dla technologii zabezpieczeń opartych na plikach
Mierząc się z nieustannie udoskonalanymi technikami wykrywania, twórcy złośliwego oprogramowania wciąż dopracowują swoje metody ich obchodzenia. W pierwszej połowie 2018 roku wyróżniło się kilka z nich — wykorzystywanie zagrożeń bezplikowych i makr oraz manipulowanie rozmiarami plików.
Typowe zagrożenia obejmują złośliwe pliki instalowane i wykonywane na przejętym urządzeniu. Zagrożenia bezplikowe działają inaczej — w celu przeprowadzenia ataku przejmują kontrolę nad zaufanymi narzędziami wbudowanymi w system operacyjny.
Wykryte zdarzenia bezplikowe
24430
sty
38189
cze
I połowa 2018 r.
W pierwszej połowie roku odnotowaliśmy rosnącą liczbę zagrożeń bezplikowych. Aby się przed nimi uchronić, przedsiębiorstwa mogą wdrażać w swoich sieciach zintegrowane warstwy zabezpieczeń.
Zaobserwowaliśmy także więcej przypadków użycia złośliwych makr. Najpopularniejszym był Powload, który — podobnie jak większość złośliwych makr — był rozpowszechniany za pośrednictwem spamu, czyli specjalnie spreparowanych wiadomości e-mail, które podstępem nakłaniały użytkowników do uruchomienia makra i pobrania złośliwego kodu.
Makro
6%
wzrost od stycznia do czerwca
POWLOAD
68%
wzrost od stycznia do czerwca
Zauważyliśmy także gwałtowny wzrost liczby wykrywanych programów z rodziny złośliwego oprogramowania o nazwie TinyPOS przeznaczonej do atakowania punktów sprzedaży. Może być to po części spowodowane opublikowaniem kodu źródłowego innej rodziny złośliwego oprogramowania przeznaczonego do atakowania punktów sprzedaży — TreasureHunter — ponieważ często po wycieku kodu źródłowego pojawia się bardzo dużo podobnych lub powiązanych złośliwych programów. Niezwykle mały rozmiar programu TinyPOS najprawdopodobniej miał na celu umożliwienie uniknięcia wykrycia.
PRZYPADKI WYKRYCIA PROGRAMU TinyPOS
Straty spowodowane włamaniami do poczty służbowej przewyższają prognozy, gdyż nieustannie zwiększa się liczba prób takich ataków
Oszustwa mające na celu złamanie zabezpieczeń poczty służbowej (BEC) są dość proste i opierają się raczej na otwartych analizach i socjotechnikach niż na zaawansowanej wiedzy technicznej. Podczas typowego włamania do poczty służbowej oszust podszywa się pod wysokiego rangą kierownika i podstępem nakłania pracownika (zazwyczaj z działu finansowego) do przelania pieniędzy na swoje konto. Jako że tego typu oszustwa wymagają stosunkowo niewielkich środków, a mogą przynosić duże korzyści, przewidywaliśmy, że straty z ich tytułu w tym roku przekroczą 9 miliardów USD.
PONAD
9 MLD USDPRZEWIDYWANIA
RZECZYWISTOŚĆ
PRZEWIDYWANIA FIRMY TREND MICRO NA 2018 ROK A RZECZYWISTE ŁĄCZNE
GLOBALNE STRATY SPOWODOWANE WŁAMANIAMI DO POCZTY SŁUŻBOWEJ
Wagę problemu dla przedsiębiorstw przedstawia raport Federalnego Biura Śledczego (FBI) dotyczący włamań do poczty służbowej i łamania zabezpieczeń kont pocztowych — łączne straty globalne z tego tytułu (od października 2013 roku do maja 2018 roku) osiągnęły wartość 12,5 miliarda USD.
Aktywnie monitorujemy próby włamań do poczty służbowej i w ciągu ostatnich 12 miesięcy odnotowaliśmy ich wzrost.
5%
WZROST LICZBY ZAREJESTROWANYCH PRÓB WŁAMAŃ DO POCZTY SŁUŻBOWEJ OD II POŁOWY 2017 ROKU DO I POŁOWY 2018 ROKU
Aby zapobiegać zagrożeniom rozpowszechnianym drogą pocztową, przedsiębiorstwa muszą oprócz metod wykrywania opartych na plikach rozważyć wdrożenie technologii oceny reputacji wiadomości e-mail. Szczególnie przydatne do ochrony przed włamaniami do poczty służbowej są rozwiązania wykorzystujące uczenie maszynowe, ponieważ pozwalają dodać nową warstwę ochrony, analizując na przykład styl pisania użytkownika w celu określenia, czy wiadomość jest autentyczna czy nie.
KRAJOBRAZ ZAGROŻEŃ
20 488 399 209
Łączna liczba zablokowanych zagrożeń w I połowie 2018 roku
ZMIANY LICZBY LUK W ZABEZPIECZENIACH WYKRYTYCH U POSZCZEGÓLNYCH DOSTAWCÓW
(II POŁOWA 2017 ROKU A I POŁOWA 2018 ROKU)
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.