Sprawdź nowe wyniki Global Threat Landscape Report (1H 2020)

Cyberprzestępcy ukierunkowali swoje działania przede wszystkim na osoby pracujące zdalnie, aby uzyskać dostęp do firmowych sieci i poufnych danych.

Firma Fortinet zaprezentowała właśnie wyniki najnowszego półrocznego raportu FortiGuard Labs Global Threat Landscape Report (1H 2020). Wydarzenia o globalnym zasięgu stwarzają nowe możliwości: Cyberprzestępcy już wcześniej odwoływali się do bieżących wydarzeń, korzystając z nich jako z przynęty socjotechnicznej. W pierwszej połowie 2020 roku wznieśli się jednak na kolejny poziom. Zarówno hakerzy tworzący ataki phishingowe, jak też współpracujący z rządami znaleźli wiele sposobów, aby na ogromnę skalę skorzystać na pandemii. Wśród najpopularniejszych kampanii znalazły się ataki phishingowe, oszustwa polegające na podszywaniu się w korespondencji elektronicznej pod innych pracowników firmy, ataki, za którymi stały instytucje rządowe oraz, oczywiście, ransomware. Globalny charakter pandemii ułatwił zwiększenie zakresu i metod ataków. Pokazuje to, jak szybko przestępcy są w stanie zareagować na wydarzenia mające wpływ na społeczeństwa na całym świecie, aby zwiększyć siłę rażenia ataków.

Firmowe sieci trafiły do domów

Większość wykrytych botnetów w pierwszej połowie 2020 r. (Bez podziału osi pionowej).

Wzrost liczby zdalnych pracowników niemal natychmiast sprawił, że zmieniły się proporcje, w jakich łączność przez sieć z zasobami IT odbywała się lokalnie oraz przez Internet. Cyberprzestępcy natychmiast wykorzystali tę okazję. W pierwszej połowie 2020 r. na szczycie listy ataków wykrywanych przez rozwiązania IPS (Intrusion Prevention System) znalazły się próby włamania do wielu modeli routerów klasy konsumenckiej oraz urządzeń IoT.

Ponadto, wśród botnetów dominowały Mirai i Gh0st, które umożliwiały atakowanie poprzez stare i nowe podatności sprzętów Internetu rzeczy. Trendy te są godne uwagi, ponieważ pokazują, w jaki sposób zasięg sieci rozrósł się i trafił do gospodarstw domowych. Cyberprzestępcy poszukiwali tam urządzeń, które umożliwiałyby dostęp do infrastruktury sieciowej przedsiębiorstw. Firmy muszą się więc przygotować i podjąć konkretne kroki w celu ochrony swoich użytkowników, urządzeń i informacji w sposób podobny, jak zabezpieczają firmowe sieci. 


Najczęstsze wykrycia IPS wg miesięcy w 1. połowie 2020 r.

Przeglądarki celem cyberprzestępców

Rosnąca popularność pracy zdalnej otworzyła przestępcom bezprecedensową szansę, aby na wiele sposobów wykorzystać rozwiązania IT osób pracujących z domu. Zauważono między innymi, że liczba kampanii phishingowych, w których manipulatorskie komunikaty dostarczane były przez strony internetowe, przewyższyła liczbę ataków tego typu dokonywanych tradycyjnie poprzez zwykłą pocztę e-mail. Phishing na stronach internetowych był najbardziej popularny w styczniu i lutym, a dopiero w czerwcu wypadł z pierwszej piątki.

Może to świadczyć o próbach przeprowadzania takich ataków, gdy najbardziej narażone na nie osoby otwierają strony internetowe w domu. Pokazuje to, że nie tylko przeglądarki, ale też urządzenia coraz częściej będą głównym celem cyberprzestępców, ponieważ nadal kierunkują oni ataki na pracowników zdalnych.

Ranking kategorii złośliwego oprogramowania (malware) wg miesięcy w 1. połowie 2020 roku

Ransomware wciąż jest groźne

Dobrze znane zagrożenia, takie jak ransomware, nie utraciły popularności w ciągu ostatnich sześciu miesięcy. Wiadomości i załączniki o tematyce związanej z COVID-19 były stosowane jako przynęta w wielu różnych kampaniach. Zaobserwowano np. oprogramowanie ransomware, które przed zaszyfrowaniem danych nadpisywało główny rekord rozruchowy komputera (Master Boot Record, MBR). Ponadto nastąpił wzrost liczby ataków, w których dane firmy będącej ofiarą nie tylko były szyfrowane, ale także wykradane i wykorzystywane do szantażu.

Cyberprzestępcy grozili, że je upublicznią, jeśli nie otrzymają okupu. Ten sposób postępowania należy traktować jako nowy, znaczący trend. Prowadzi on do wzrostu ryzyka nie tylko utraty dostępu do danych, ale także ujawnienia tych najbardziej wrażliwych. W skali globalnej podczas ataków ransomware nie oszczędzono żadnej branży, a statystyki pokazują, że wśród pięciu najbardziej poszkodowanych rodzajów przedsiębiorstw znalazły się firmy telekomunikacyjne, dostawcy usług płatniczych, placówki edukacyjne, rządowe i technologiczne. Niestety, rośnie też popularność oprogramowania ransomware sprzedawanego jako usługa. Oznacza to, że raczej nie należy oczekiwać spadku popularności tego typu zagrożeń.

Odsetek organizacji wykrywających oprogramowanie ransomware w pierwszej połowie 2020 r.
Odsetek organizacji wykrywających oprogramowanie ransomware w pierwszej połowie 2020 r.

Środowiskom OT zagraża nie tylko Stuxnet

W czerwcu minęło 10 lat od powstania złośliwego narzędzia Stuxnet, które odegrało kluczową rolę w ewolucji zagrożeń bezpieczeństwa technik operacyjnych (OT). Obecnie sieci OT nadal pozostają celem cyberprzestępców – pokazało to m.in. wykryte na początku tego roku oprogramowanie ransomware EKANS.

Wykrywanie szkodliwego oprogramowania ukierunkowanego na branżę w pierwszej połowie 2020 r. (procent organizacji).
Wykrywanie szkodliwego oprogramowania ukierunkowanego na branżę w pierwszej połowie 2020 r. (procent organizacji).

Przykładem zagrożenia polegającego na wykradaniu poufnych informacji ze szczególnie chronionych sieci jest też oprogramowanie szpiegowskie Ramsay. Częstotliwość występowania zagrożeń ukierunkowanych na systemy kontroli procesów przemysłowych typu SCADA i ICS jest mniejsza niż w przypadku środowisk informatycznych, ale nie umniejsza to znaczenia tego trendu.

Informacje o lukach nadal w cenie

Lektura listy CVE pokazuje, że w ciągu ostatnich kilku lat wzrosła liczba luk wykrytych w rozwiązaniach IT, co wywołało dyskusję na temat priorytetowego traktowania aktualizacji mających na celu ich załatanie. Mimo że w roku 2020 liczba wykrytych luk będzie prawdopodobnie rekordowa, to równocześnie – jak do tej pory – bardzo niewiele z nich zostało wykorzystanych przez cyberprzestępców (wskaźnik ten może być najniższy w 20-letniej historii tworzenia list CVE, tymczasem w 2018 roku wyniósł on aż 65%).

Jednocześnie ponad jedna czwarta firm odnotowała próby ataków bazujących na lukach opisanych na listach CVE już 15 lat temu. Wynika z tego, że wykorzystanie przez cyberprzestępców opublikowanych informacji o lukach i stworzenie na ich bazie złośliwych narzędzi nadal wymaga czasu, ale jest to popularny sposób atakowania.

Sieć sięgająca gospodarstw domowych także powinna być zabezpieczona

Instytucje wywiadowcze i badawcze mogą pomóc w uzupełnieniu wiedzy o aktualnych cyberzagrożeniach poprzez dostarczenie szczegółowych informacji o aktualnych trendach oraz dogłębnych analiz metod ataku, informacji o zlecających je podmiotach i nowych taktykach. Nigdy w historii nie istniało większe zapotrzebowanie na rozwiązania dla pracowników zdalnych, które zapewniałyby bezpieczny dostęp do kluczowych zasobów, a jednocześnie wysoką skalowalność. Jedynie platforma zaprojektowana, aby zapewnić kompleksowy wgląd w infrastrukturę i ochronę przed różnymi rodzajami cyberataków (w tym w środowiskach sieciowych, aplikacyjnych, wielochmurowych lub mobilnych) jest w stanie zabezpieczyć współczesne, szybko zmieniające się sieci.

Informacje o raportcie

Najnowszy Global Threat Landscape Report firmy Fortinet to regularnie publikowany przegląd informacji o miliardach sytuacji stwarzających zagrożenie, zebranych w pierwszej połowie 2020 r. przez ekspertów FortiGuard Labs dzięki sieci sensorów rozlokowanych na całym świecie. Obejmuje on globalną i regionalną perspektywę, jak też badania nad trzema aspektami: exploitami, złośliwym oprogramowaniem i botnetami.

źródło: FortiNet