Cyberprzestępcy nieustannie doskonalą swoje metody ataków oraz rozszerzają ich zakres – wykorzystując infrastrukturę brzegową, dostając się do korporacyjnych i domowych sieci 5G, a także za pośrednictwem internetu satelitarnego. Sprawdź, jak możesz się przed nimi chronić.
Rok 2022 może okazać się dla hakerów czasem obfitych połowów – ostrzegają badacze z FortiGuard Labs, którzy zauważają, że rośnie liczba ataków ransomware. A jednocześnie alarmują, że masowe przechodzenie przedsiębiorstw na bardziej hybrydowe środowiska pracy i wirtualne przestrzenie robocze, a co za tym idzie – przyjmowanie technologii opartych na sztucznej inteligencji (AI) i uczenia maszynowego (ML) – zdecydowanie zwiększa powierzchnię cyberataku. Biorąc pod uwagę, że niewiele polskich firm skutecznie chroni swoje środowiska chmurowe, ze względu na szybkie przeniesienie się do chmury i brak czasu na wdrożenie odpowiedniej ochrony, to właśnie one mogą stać się jednym z pierwszych celów przestępców internetowych.
Analitycy FortiGuard Labs zaobserwowali trendy obrazujące strategię, jaką mogą obrać cyberprzestępcy w przyszłym roku, i opracowali zalecenia, które pomogą przygotować się do ochrony przed atakami. Poniżej przedstawiamy ich najważniejsze prognozy.
Przestępstwo na zamówienie
W 2022 roku cyberprzestępcy będą poświęcać jeszcze więcej czasu i wysiłku na rozpoznanie i poszukiwanie tzw. podatności dnia zerowego (zero‑day exploit), aby podczas ataków zastosować nowatorskie techniki i zapewnić sobie jak największą skuteczność. Niestety, jak przewidują eksperci, wzrosnąć ma również tempo, w jakim ataki będą uruchamiane. A to ze względu na rozwijający się rynek przestępstw popełnianych jako usługa (Crime‑as‑a-Service; CaaS). Wyspecjalizowane grupy cyberprzestępcze oferują swoje usługi np. poprzez fora internetowe, pisząc na nich anonse takie jak: „Szukasz złośliwego oprogramowania? Nie musisz potrafić napisać go samodzielnie, wystarczy, że zlecisz to nam”. To samo dotyczy usług infekowania użytkowników internetu czy przygotowania przez nich ataku pishingowego – jak się okazuje obecnie najbardziej popularnej oferty. CaaS jest najłatwiejszym sposobem na „zarabianie” pieniędzy przez hakerów, ponieważ bazuje na gotowych, sprawdzonych szablonach i schematach działania.
Ponadto w dalszym ciągu będzie postępowała ekspansja złośliwego oprogramowania – w przyszłości ransomware wciąż pozostanie w centrum uwagi, ale bardziej niebezpieczny wydaje się nowszy typ oprogramowania – wiper. Obydwa rozwiązania to złośliwe oprogramowania, jednak ten pierwszy (ransomware) jedynie szyfruje pliki, drugi (wiper) je niszczy. Narzędzia typu wiper zostały już wykorzystane m.in. w ataku na organizatorów Igrzysk Olimpijskich w Tokio. Zdaniem ekspertów kwestią czasu wydaje się być dodanie do narzędzi ransomware destrukcyjnych funkcji, takich jak oprogramowanie wiper. Może to stanowić duży problem dla nieustannie rozwijanych środowisk brzegowych, infrastruktury krytycznej i łańcuchów dostaw.
Warto również zwrócić uwagę na rozwiązania, które umożliwia AI. Obecnie jest ona wykorzystywana także do obrony przed cyberprzestępcami, np. do wykrywania nietypowych zachowań mogących wskazywać na atak, zwykle prowadzony za pomocą botnetów (grupa komputerów zainfekowanych szkodliwym oprogramowaniem pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach tejże grupy). Problem w tym, że hakerzy też korzystają z AI, choćby do neutralizacji działania skomplikowanych algorytmów wykorzystywanych do wykrywania inicjowanej nietypowej aktywności. AI pomaga również cyberprzestępcom w naśladowaniu ludzkich działań, a co za tym idzie – może być wykorzystywana do wzmacniania siły ataków socjotechnicznych. W ostateczności może umożliwić podszywanie się w czasie rzeczywistym pod konkretną osobę za pomocą głosu i wideo, co ułatwi hakerom przejście przez proces uwierzytelniania biometrycznego.
Do niedawna system operacyjny Linux był raczej omijany przez cyberprzestępców. Niestety te czasy mamy już za sobą. Ostatnio wykryto bowiem nowy złośliwy kod ukierunkowany na moduł Microsoft WSL (Windows Subsystem for Linux), który stanowi warstwę umożliwiającą natywne uruchamianie binarnych plików wykonywalnych Linuksa w systemach Windowsa. Ponadto istnieje już złośliwe oprogramowanie botnetowe skierowane właśnie przeciwko urządzeniom z tym system operacyjnym. Jak podkreślają eksperci z FortiGuard Labs – ma to konsekwencje dla urządzeń technik operacyjnych (OT) i całych łańcuchów dostaw, które działają właśnie na platformach Linux.
Nowe cele hakerów: satelity, cyfrowe portfele oraz… gamerzy!
Cyberprzestępcy chętnie eksplorują nowe obszary. Tym bardziej że w ostatnim czasie zwiększyła się liczba szybkich łączy internetowych – dostępnych niemalże non stop – co ułatwia hakerom przeprowadzenie ataku. Jakie to będą przestrzenie?
Analitycy FortiGuard Labs spodziewają się, że w ciągu najbliższego roku, wraz z rozwojem satelitarnego dostępu do internetu, pojawią się pierwsze zagrożenia typu proof‑of‑concept (PoC), udowadniające, że ich celem może być także ten model łączności. Już w 2007 roku Kaspersky Lab, producent oprogramowania służącego do ochrony danych, informował o tego typu incydencie. Wykryto wówczas pierwszego wirusa infekującego przenośne odtwarzacze multimedialne iPod. Wirus ten otrzymał nazwę Podloso i był kodem typu PoC, który sam w sobie oczywiście nie stanowił zagrożenia, ale stanowił demonstrację nowej wówczas metody infekowania. Wirus miał postać pliku, który można było uruchomić na odtwarzaczu z zainstalowanym systemem Linux. Po uruchomieniu przez użytkownika iPoda wirus instalował się w folderze zawierającym wersje demonstracyjne programów, a następnie skanował dysk twardy urządzenia, infekując wszystkie pliki w formacie .elf. Jak podają eksperci z Kaspersky Lab, Podloso jest typowym wirusem PoC, a są one tworzone jedynie w celu zademonstrowania, że możliwe jest zainfekowanie określonej platformy. Piotr Kupczyk, dyrektor działu prasowego Kaspersky Lab Polska, komentował wówczas, że jest to dowód na to, iż cyberprzestępcy coraz poważniej myślą o wykorzystaniu do swoich celów urządzeń przenośnych. A tych obecnie mamy w swoim otoczeniu aż nadto.
Zdaniem ekspertów na baczności powinny mieć się te firmy, które używają komunikacji satelitarnej, by np. dostarczać usług o znaczeniu krytycznym do biur terenowych lub za jej pomocą obsługują infrastrukturę (np. rurociągi). Z komunikacji satelitarnej korzystają też statki wycieczkowe czy biura linii lotniczych – atak na ten rodzaj łączności może być w ich przypadku bardzo bolesny.
Dzięki dyrektywie PSD2 (Dyrektywa Parlamentu Europejskiego, która reguluje nowe usługi finansowe, stwarza dla nich wspólne standardy i zwiększa bezpieczeństwo: danych klientów, ich pieniędzy i płatności – zdalnych i elektronicznych) zakładającej podwójne uwierzytelnianie (sposoby uwierzytelniania zawarte w przepisach powinny bazować na czymś, co użytkownik zna – PIN lub hasło do konta, czymś, co posiada – karta płatnicza, smartfon oraz czymś, co jest dla użytkownika unikalne – skan siatkówki, odcisk palca), proces przechwytywania przelewów bankowych stał się obecnie trudniejszy dla cyberprzestępców. Zainteresowali się więc oni cyfrowymi portfelami, których atrakcyjność w przyszłości zmieni się pod wpływem przedsiębiorstw korzystających z tej formy wykonywania przelewów. W związku z tym istnieje prawdopodobieństwo, że coraz więcej złośliwego oprogramowania będzie projektowane specjalnie w celu pozyskiwania danych uwierzytelniających do cyfrowych portfeli i kradzieży ich zawartości.
Celem hakerów jest również e‑sport, tym bardziej że przychód w tej branży może przekroczyć w tym roku już miliard dolarów! Nic zatem dziwnego, że zainteresował cyberprzestępców, którzy korzystając z tego, że gracze wymagają stałej łączności, często realizowanej za pomocą niewystarczająco zabezpieczonych domowych sieci lub w miejscach z otwartymi publicznymi sieciami Wi‑Fi – stosują na nich ataki DDoS, wysyłają oprogramowanie ransomware, ingerują w transakcje bankowe, kradną pieniądze. Często po prostu stosując socjotechniczne sztuczki wymierzone w graczy.
Cyberprzestępca czyha… na brzegu
Przedsiębiorstwa wykorzystujące w swojej działalności urządzenia Internetu Rzeczy (IoT) oraz mechanizmy AI podłączone do sieci 5G powinny być bardzo czujne. Urządzenia brzegowe przesyłają często dane w czasie rzeczywistym, co przyczynia się do zwiększenia zasięgu rozległej infrastruktury brzegowej, w której będzie pojawiać się coraz więcej rodzajów zagrożeń.
Podczas ataków na infrastrukturę brzegową wykorzystywane będą zainstalowane w zagrożonych środowiskach wiarygodne zestawy narzędzi, dzięki którym sam proces ataku oraz eksfiltracja danych (umożliwia przesyłanie danych z przedsiębiorstwa do odbiorców zewnętrznych przez szyfrowanie i osadzanie fragmentów tych danych w uzasadnionych zapytaniach DNS, które wymagają od serwera np. zaprezentowanie adresu IP) będą wyglądały jak normalna aktywność systemu i pozostaną niezauważone – ostrzegają badacze z FortiGuard Labs. Taktyka ukrywania ataków, określana mianem „Living off the land”, jest skuteczna, ponieważ wykorzystuje legalne narzędzia do prowadzenia przestępczych działań. Złośliwe oprogramowanie na brzegu sieci będzie monitorować działania w tym fragmencie infrastruktury, wykradać dane, włamywać się do krytycznych systemów i aplikacji oraz wymuszać okupy, unikając jednocześnie wykrycia przez rozwiązania skupiające się na rdzeniu sieci.
Wymuszanie okupu to dla hakerów lukratywny biznes. A ponieważ coraz więcej sieci jest połączonych ze sobą, praktycznie każdy ich punkt może być potencjalnym celem ataku w celu uzyskania dostępu do całej sieci IT. Zazwyczaj takie działania były domeną wyspecjalizowanych grup przestępczych, celujących w konkretne przedsiębiorstwa czy organizacje. Dzisiaj jednak wielu hakerów przeszło na model działania na zamówienie, czyli wspomniane wcześniej Crime‑as‑a-Service i oferuje swoje usługi w dark webie.
Jak się zabezpieczyć?
Biorąc pod uwagę możliwe obszary ataków oraz fakt, że środowiska IT w przedsiębiorstwach stają się coraz bardziej rozproszone (przejście na model wielochmurowy i hybrydowy), eksperci z FortiGuard Labs polecają wdrożenie poniższych rozwiązań.
• Siatkowa architektura cyberbezpieczeństwa (cybersecurity mesh) – integruje zapewniające bezpieczeństwo mechanizmy kontrolne w znacznie rozproszonych sieciach oraz pomiędzy podłączonymi do nich zasobami.
• Metoda dostępu do sieci na zasadach zero‑trust (ZTNA) – ma kluczowe znaczenie dla bezpiecznej pracy mobilnej kadry, korzystającej aktywnie w zdalny sposób z firmowych i chmurowych aplikacji.
• Segmentacja sieci – pozostanie podstawową strategią w celu minimalizacji ryzyka naruszenia całej infrastruktury oraz ograniczenia tzw. ruchu pobocznego, który cyberprzestępcy wykorzystują do zakamuflowanego przemieszczania się wewnątrz sieci.
Jak podkreślają badacze, warto przy tym pamiętać, bez względu na branżę i rodzaj przedsiębiorstwa, na wymianę danych oraz partnerstwo z podmiotami zapewniającymi profesjonalną cyberochronę, co może usprawnić przewidywanie technik stosowanych w przyszłości przez przeciwników oraz skuteczniejsze reagowanie na nie. Ich zdaniem połączenie sił poprzez współpracę powinno stać się priorytetem w celu przerwania prób wpłynięcia cyberprzestępców na działania łańcuchów dostaw, zanim oni zaczną funkcjonować w taki sam sposób.
Opracowanie: Paulina Kostro, na podstawie Cyber Threat Predictions for 2022. An Annual Perspective by FortiGuard Labs oraz udostępnionych materiałów prasowych.