Cyberzagrożenia coraz bardziej niebezpieczne dla firm. Microsoft publikuje najnowszą edycję raportu Digital Defense Report. Raport wyraźnie wskazuje, że w ciągu ostatniego roku cyberataki stały się bardziej wyrafinowane. Do ich przeprowadzenia przestępcy wykorzystują metody, które utrudniają ich wykrycie i zagrażają nawet najbardziej odpornym celom. Znacznie nasiliła się w tym czasie działalność podmiotów związanych z różnymi państwami, które stosują w swoich działaniach zaawansowane techniki wywiadowcze, zagrażające celom o dużej wartości. Grupy przestępcze przeniosły swoją działalność do chmury, aby ukryć się wśród tysięcy legalnie istniejących firm. Do tego napastnicy opracowali nowe sposoby przeszukiwania sieci, których celem jest jeszcze sprawniejsze zlokalizowanie systemów podatnych na oprogramowanie ransomware.
Cyberzagrożenia – kluczowe statystyki prezentujące główne trendy
- Microsoft zablokował 13 mld złośliwych i podejrzanych wiadomości e-mail. Z tej puli 1 mld zawierał adresy URL utworzone tylko i wyłącznie po to, aby przeprowadzić atak phishingowy na dane uwierzytelniające.
- W okresie od października 2019 r. do lipca 2020 r. najczęstszym powodem naruszeń bezpieczeństwa w sieci był ransomware.
- Najpopularniejsze techniki ataków stosowane przez podmioty związane z poszczególnymi państwami w ciągu ostatniego roku to rozpoznanie, zbieranie danych logowania, złośliwe oprogramowanie i wykorzystanie wirtualnej sieci prywatnej (VPN).
- Na ataki narażone są także urządzenia wykorzystujące Internet rzeczy (IoT). W 1 poł. 2020 roku liczba ataków na nie wzrosła o 35 proc. w stosunku do 2 poł. 2019 r.
Mając na uwadze podniesienie stopnia wyrafinowania ataków, ważniejsze niż kiedykolwiek jest podjęcie kroków w celu ustanowienia nowych zasad bezpieczeństwa w cyberprzestrzeni. Po to, by wszystkie organizacje, czy to agencje rządowe, czy przedsiębiorstwa, inwestowały w ludzi i technologie pomagające powstrzymać ataki. Co więcej, należy koncentrować się na podstawach, w tym na regularnym stosowaniu aktualizacji zabezpieczeń. Ponadto kompleksowych zasadach tworzenia kopii zapasowych, a zwłaszcza na umożliwieniu uwierzytelniania wieloskładnikowego (MFA). Dane Microsoft pokazują, że samo włączenie usługi MFA zapobiegłoby większości ataków.
Grupy przestępcze usprawniają swoje techniki
W ciągu ostatnich kilku miesięcy dostrzegliśmy, że cyberprzestępcy zazwyczaj stosują złośliwe oprogramowanie wykorzystujące ludzką ciekawość i potrzebę informacji. Codziennie zmieniają tylko przynęty, aby dostosować się do aktualnego cyklu informacyjnego, co widać po wykorzystaniu przez nich pandemii COVID-19.
Chociaż ogólna skala złośliwego oprogramowania była względnie stała, napastnicy wykorzystali ogólnoświatowy strach przed koronawirusem, tworząc społeczne przynęty bazujące na zainteresowaniu tematem pandemii. W ostatnich miesiącach zmniejszyła się jednak liczba ataków phishingowych związanych z COVID-19. Kampanie te były celowe w szerokie grono konsumentów, ale również wybrane sektory, takie jak opieka zdrowotna.
W ostatnich latach cyberprzestępcy koncentrowali się głównie na atakach wykorzystujących złośliwe oprogramowanie. Niedawno skupili się na phishingu (~ 70%) jako bardziej bezpośrednim sposobie osiągnięcia celu, jakim jest gromadzenie indywidualnych danych uwierzytelniających. Aby skłonić ludzi do rezygnacji z poświadczeń, osoby atakujące często wysyłają e-maile imitujące znane marki. Bazując na telemetrii Office 365, najpopularniejsze sfałszowane marki wykorzystywane w tych atakach to Microsoft, UPS, Amazon, Apple i Zoom.
Ponadto obserwujemy ataki, które są szybko przekształcane, w celu uniknięcia wykrycia. Morphing jest używany do zmieniania domen, adresów e-mail, szablonów treści i domen URL. Celem jest zwiększenie kombinacji odmian, aby pozostać niezauważonym.
Podmioty państwowe zmieniają swoje cele
Państwa dostosowały się do zmieniających się celów politycznych w swoich krajach. Microsoft zaobserwował, że 16 różnych podmiotów reprezentujących wybrane kraje, dokonało ataków na klientów firmy zaangażowanych w globalną walkę z COVID-19. Ponadto wykorzystało kryzys jako swoistą przynętę zwiększającą możliwość kradzieży danych uwierzytelniających i dostarczania złośliwego oprogramowania. Te ataki związane z pandemią były wymierzone w czołowe rządowe organizacje opieki zdrowotnej. Celem były również organizacje akademickie i komercyjne, zaangażowane w badania nad szczepionkami.
W ubiegłym roku podmioty związane z państwami w dużej mierze skupiły się na organizacjach nienależących do infrastruktury krytycznej. Powszechnymi celami były organizacje pozarządowe (NGO), organizacje praw człowieka i ośrodki analityczne, zajmujące się polityką publiczną, stosunkami międzynarodowymi lub bezpieczeństwem. Tendencja ta może sugerować, że podmioty związane z państwami narodowymi celują w osoby które mogą pomóc w kształtowaniu oficjalnej polityki rządu. Większość grup, które obserwowaliśmy w minionym roku, wywodziła się z z Rosji, Iranu, Chin i Korei Północnej.
Ransomware wciąż stanowi główne zagrożenie
Departament Bezpieczeństwa Wewnętrznego oraz FBI ostrzegają przed oprogramowaniem ransomware. Zwłaszcza jego potencjalnym wykorzystaniem do zakłócenia wyborów w USA w 2020 roku. To, co zaobserwowaliśmy, potwierdza zgłaszane przez nich obawy.
Zaszyfrowane i utracone pliki oraz groźby okupu stały się teraz głównym powodem obaw większości zespołów wykonawczych ds. bezpieczeństwa. Wzorce ataków pokazują, że cyberprzestępcy wiedzą, kiedy nastąpi moment zmniejszenia uwagi, taki jak święta, który wpłynie na zdolność organizacji do wprowadzania zmian zwiększających odporność sieci. Wiedzą oni, kiedy organizacje będą bardziej skłonne do płacenia okupów niż do przestojów. Na przykład podczas cykli rozliczeniowych w branży zdrowia, finansów i usług prawniczych.
Przestępcy wykorzystali kryzys COVID-19 do skrócenia czasu przebywania w systemie ofiary. Najwyraźniej wierząc, że w wyniku wybuchu pandemii zwiększy się gotowość do zapłaty. W niektórych przypadkach cyberprzestępcy przechodzili od pierwszego wejścia do żądania okupu w mniej niż 45 minut.
Praca z domu rodzi nowe cyberzagrożenia
Na przedstawione w raporcie dane wpływ ma nie tylko rozwój technologiczny, który pozwala na dokonywanie coraz bardziej wyrafinowanych przestępstw. Pandemia to dla przestępców wymarzony czas. Wiele firm, instytucji czy organizacji przestawiło się bowiem na pracę zdalną. To zaś pociąga za sobą wykorzystywanie przez pracowników wielu sieci o różnych stopniach zabezpieczenia. Dzięki temu dla cyberprzestępców otwarte zostały liczne furtki, które łatwo sforsować. Przede wszystkim po to, by wyłudzić dane logowania i przejąć kontrolę nad firmowymi zasobami. Jak powszechne są tego typu ataki niech świadczy fakt, że aż 73 proc. zbadanych przez Microsoft CISO przyznaje, że w ciągu ostatnich 12 miesięcy doszło w ich organizacjach do wycieku danych, w tym wrażliwych. Cyberprzestępcy wciąż stosują dobrze sprawdzone metody działania.
W pierwszej połowie 2020 roku zaobserwowaliśmy wzrost liczby cyberzagrożenia i ataków polegających na przejęciu tożsamości użytkownika na kontach przedsiębiorstw. Ta technika ataku wykorzystuje systematyczne zgadywanie listy haseł, zrzucone poświadczenia z poprzednich naruszeń lub inne podobne metody w celu wymuszonego uwierzytelnienia na urządzeniu lub w usłudze. Biorąc pod uwagę częstotliwość odgadywania haseł, wyłudzania ich, kradzieży przy użyciu złośliwego oprogramowania lub ponownego ich wykorzystywania , bardzo ważne jest, aby ludzie łączyli hasła z drugą formą silnych danych uwierzytelniających. Dla organizacji włączenie uwierzytelniania wieloskładnikowego jest obecnie działaniem niezbędnym.
Źródło: Microsoft