FortiGuard Labs, będące częścią firmy Fortinet prowadzi badania na temat pojawiających się zagrożeń w sieci cyfrowej. Na podstawie zdarzeń z lat poprzednich oraz tendencji zachowań cyberprzestępców, co roku prezentuje raport dotyczący możliwego rozwoju cyberzagrożeń. W tym artykule możecie przeczytać wnioski z ich analiz.
Czym jest FortiGard Labs?
FortiGuard Labs to organizacja zajmująca się badaniem i analizą zagrożeń w firmie Fortinet. Główną misją laboratoriów Fortinet jest opracowanie i przedstawienie najlepszych informacji o zagrożeniach dla ochrony przed zarówno złośliwymi jak i wyrafinowanymi cyberatakami. W zespole FortiGuard Labs znajdują się jedni z najbardziej kompetentnych w branży „łowcy” zagrożeń, badacze, analitycy, inżynierowie i specjaliści data science, którzy stale monitorują i analizują światową powierzchnię ataku. Efektem ich działań są:
- aktualne informacje o zagrożeniach w postaci aktualizacji produktów zabezpieczających Fortinet,
- proaktywne badania nad zagrożeniami, które pomagają lepiej je poznać,
- informacje o zagrożeniach, które pomagają lepiej je rozumieć i im przeciwdziałać.
Wzrost liczby zaawansowanych zagrożeń trwałych typu APT
Już w 2022 r. przewidywany był wzrost liczby nowych luk i działań przygotowawczych (rozpoznanie i uzbrojenie przed atakiem), które utorują drogę dalszej rosnącej fali ataków na zlecenie. W pierwszej połowie 2022 r. liczba nowych zidentyfikowanych przez Fortinet wariantów ransomware wzrosła o blisko 100%, w porównaniu z poprzednim półroczem (10 666 nowych wariantów – gdy w drugim półroczu 2021 roku było ich 5400).
Gwałtownie rosnąca liczba nowych wariantów ransomware jest wynikiem również zwiększającej się popularności Ransomware-as-a-Service, czyli usług cyberprzestępców w modelu subskrypcyjnym oraz rosnących kwot okupów. Z badań FortiGuard Labs wynika, że w roku 2023 i w kolejnych latach rynek CaaS (Crime-as-a-Service) będzie wyraźnie rosnąć, a nowe znalezione luki w zabezpieczeniach, usługi i programy strukturalne będą wkrótce oferowane w modelach subskrypcyjnych.
Powszechne ataki na urządzenia brzegowe
Urządzenia brzegowe, np. systemy OT i satelitarne sieci internetowe, uważano dawniej za cele, które nie interesują przestępców. Zmieniło się to jednak znacznie w ciągu ostatniej dekady i obecnie obserwowany jest już wzrost złożoności i liczby cyberataków na te cele. Wzrost ten wynika z powszechnego łączenia sieci IT i OT, co sprawia, że atakujący mają ułatwiony dostęp do systemów OT za pośrednictwem przejętych sieci domowych i urządzeń pracowników zdalnych. Jak wynika z Raportu o stanie technologii operacyjnej i cyberbezpieczeństwa za rok 2022 firmy Fortinet, 93% organizacji doświadczyło w 2021 roku włamania do infrastruktury OT, a u 83% włamań było więcej niż trzy.
Motywacja cyberprzestępców poszukujących możliwości wykorzystania urządzeń brzegowych jest prosta: cele takie jak systemy OT i sieci satelitarne to nowe punkty dostępu do środowiska organizacji. Wzrost liczby urządzeń brzegowych oznacza również, że istnieje więcej miejsc, w których mogą się ukryć zagrożenia typu „living off the land”, co pozwala atakującym na niezauważone realizowanie złośliwych operacji pod pozorami normalnej aktywności sieciowej.
W 2022 roku Fortinet przewidywał, że cyberprzestępcy będą coraz częściej wykorzystywać trojany typu Edge-Access do ataków na środowiska brzegowe i w kilku przypadkach przekonano się, że tak właśnie się stało. Przykładem takich działań był trojan StartPage, który generował reklamy na głównej stronie przeglądarki, zachęty do zainstalowania złośliwych aplikacji czy mechanizmy wykorzystujące przeglądarkę do uruchomienia złośliwych programów. Efektem tego był globalny skok przesyłania złośliwego oprogramowania na urządzenia OT.
Przewidywania co do tego, że nowym celem cyberprzestępców staną się satelitarne sieci internetowe również się sprawdzają. Wraz z rosnącymi rozmiarami i skalą tych sieci, rośnie również liczba prób naruszeń, a spodziewany jest dalszy wzrost tego typu ataków. Największymi celami będą organizacje, które polegają na łączności satelitarnej w celu wspierania działalności wymagającej komunikacji o małych opóźnieniach, np. statki wycieczkowe i towarowe, linie lotnicze, platformy wiertnicze i rurociągi ropy naftowej i gazu, a także zdalne biura.
Nieokiełznany ransomware i złośliwe oprogramowanie do usuwania danych
W 2021 r. zauważono pierwsze sygnały, że atakujący podnoszą poprzeczkę, uzupełniając ataki ransomware o zastosowanie złośliwego oprogramowania typu wiper. Oprogramowanie to daje cyberprzestępcom możliwość usuwania danych i paraliżowania systemów o znaczeniu krytycznym (np. sprzęt i serwery OT), jeśli ofiara nie zapłaci okupu.
Wojna w Ukrainie przyczyniła się do istotnie częstszego użycia złośliwych programów do usuwania danych. W pierwszym półroczu 2022 roku zidentyfikowano co najmniej siedem ważnych wariantów tego oprogramowania, które zostały wykorzystane w różnych kampaniach przeciwko podmiotom rządowym, wojskowym i prywatnym. Ponadto programy te nie ograniczały się do jednej lokalizacji geograficznej — wykryto je w 24 państwach poza Ukrainą.
Tendencje w zakresie oprogramowania typu wiper świadczą o niepokojącym ewoluowaniu bardziej destrukcyjnych i wyrafinowanych technik ataku, a połączenie oprogramowania typu wiper i ransomware to nowy zestaw, który podbija stawkę w wymuszaniu okupów.
Wykorzystanie do ataków mechanizmów sztucznej inteligencji
SI jest już wykorzystywana defensywnie do wykrywania nietypowych zachowań w Internecie rzeczy mogących wskazywać na atak. Cyberprzestępcy, zgodnie z przewidywaniami, zaczęli coraz częściej wykorzystywać SI w różnych złośliwych działaniach, począwszy od unieszkodliwiania algorytmów wykrywających nietypową aktywność sieciową aż po naśladowanie zachowań ludzkich.
Jednym z przykładów wykorzystania SI do ataków jest powstanie techniki deepfake, która pozwala m.in. na użycie jej algorytmów do pobrania i podstawienia obrazu twarzy, umożliwiając nałożenie twarzy na obcą sylwetkę. Wiele przykładów użycia techniki deepfake, które w ostatnim roku trafiły na pierwsze strony gazet nie zostały stworzone przez cyberprzestępców chcących wykraść poufne informacje. Niemniej jednak takie obrazy z pewnością stanowią kolejny potencjalny wektor zagrożenia, który wymaga uwzględnienia przez zespoły ds. bezpieczeństwa i ich organizacje.
Nowa oferta ataków na zlecenie (CaaS)
Biorąc pod uwagę powodzenie cyberprzestępców z RaaS, przewiduje się, że coraz większa liczba dodatkowych wektorów ataku będzie udostępniana w formie usługi za pośrednictwem dark webu. Oprócz sprzedaży oprogramowania ransomware i innych ofert Malware-as-a-Service (MaaS), pojawią się również nowe rozwiązania oraz wzrost sprzedaży dostępu do wstępnie przyjętych celów.
Usługa CaaS staje się atrakcyjnym modelem biznesowym dla podmiotów będących źródłem zagrożeń. Więcej ofert bazujących na gotowych rozwiązaniach i modelu subskrypcyjnym, umożliwia cyberprzestępcom przeprowadzanie bardziej wyrafinowanych ataków bez nakładu czasu i zasobów, żeby opracować własny, wyjątkowy plan. Dla doświadczonych cyberprzestępców tworzenie i sprzedawanie portfeli ataków na zasadzie „usługi” stanowi zaś prosty, szybki i powtarzalny zarobek.
W efekcie powinniśmy się przygotować na szerszy zbiór CaaS w 2023 roku i w kolejnych latach. Fotrinet przewiduje, że podmioty odpowiedzialne za zagrożenia zaczną wykorzystywać technologię deepfake, oferując zakup materiałów wideo i audio wraz z powiązanymi algorytmami szerszej grupie potencjalnych odbiorców. Ponadto poza atakami na celebrytów i urzędników publicznych, atakujący poszerzą swój krąg zainteresowań o influencerów, zwłaszcza tych silnie obecnych w sieci. Da to cyberprzestępcom więcej możliwości podszywania się pod inne osoby i nakłonienia niczego niepodejrzewających fanów do podjęcia działania, np. „zakupu” produktu, który w rzeczywistości nie istnieje.
Poza użyciem technologii deepfake upowszechni się usługa rozpoznania: Reconnaissance-as-a-Service. Usługa ta pozwala na wynajęcie w dark webie „detektywów” do zebrania informacji o konkretnym celu przed rozpoczęciem ataku. Podobnie jak informacje, które można uzyskać, wynajmując prywatnego detektywa, oferty typu Reconnaissance-as-a-Service mogą obejmować dostarczenie planu ataku — w tym plany bezpieczeństwa organizacji, listę kluczowych pracowników ochrony, liczbę serwerów, znane luki w zabezpieczeniach zewnętrznych, a nawet przejęte dane uwierzytelniające oferowane na sprzedaż itd. — aby ułatwić cyberprzestępcy przeprowadzenie bardzo ukierunkowanego i skutecznego ataku.
Łatwiejsze pranie pieniędzy dzięki automatyzacji
Organizacje przestępcze wykorzystują najczęściej tzw. słupy w celu pomocy przy praniu pieniędzy ze swojej działalności. Prowadzenie rekrutacji słupów było w przeszłości procesem czasochłonnym, ponieważ wymagało tworzenia witryny fałszywych organizacji i oferty pracy — zazwyczaj na stanowiska dotyczące „należności”— aby ich firmy stwarzały pozory legalności, skutecznie rekrutowały słupów i nie przyciągały uwagi organów ścigania.
Przewidywania są jednak takie, że cyberprzestępcy zaczną do ukierunkowanej rekrutacji wykorzystywać uczenie maszynowe, co pomoże im lepiej identyfikować potencjalnych słupów, jednocześnie skracając czas potrzebny na ich wyszukanie. Spodziewane jest również to, że ręcznie tworzone kampanie rekrutacji słupów zostaną zastąpione zautomatyzowanymi usługami, które pozwolą przesyłać środki poprzez różne warstwy giełd kryptowalut, czyniąc ten proces szybszym i trudniejszym do wyśledzenia. Cyberprzestępcy będą mogli w ten sposób opłacić usługę uruchomienia zautomatyzowanej kampanii, ograniczając zapotrzebowanie na ręczną rekrutację lub nawet całkowicie eliminując ją z całego procesu.
Na horyzoncie wyraźnie widać pranie pieniędzy na zlecenie (Money Laundering-as-a-Service) i może ono szybko stać się elementem rosnącego portfela usług CaaS. Dla organizacji i osób, które padną ofiarą tego typu cyberprzestępstw, przejście na automatyzację oznacza, że pranie pieniędzy będzie trudniejsze do wyśledzenia, co zmniejszy szanse na odzyskanie skradzionych środków.
W wirtualnych miastach nadchodzi fala cyberprzestępstw
Metaświat oznacza początek nowych, całkowicie immersyjnych doświadczeń w świecie online a miasta są jednymi z pierwszych, które wkraczają w tę nową wersję Internetu napędzaną technologiami rzeczywistości rozszerzonej (AR), rzeczywistości wirtualnej (VR) i rzeczywistości mieszanej (MR). O ile jednak te nowe miejsca w sieci oznaczają mnóstwo nowych możliwości, otwierają również drogę do bezprecedensowego wzrostu cyberprzestępczości. Weźmy pod uwagę, że awatar, które tworzony jest jako nasz przedstawiciele w wirtualnym mieście, może stanowić bramą do danych identyfikowalnych osobowo jego posiadacza, co czyni go najważniejszym celem dla atakujących. Ponieważ osoby fizyczne mogą w wirtualnych miastach kupować towary i usługi, portfele cyfrowe, giełdy kryptowalut, tokeny NFT i wszelkie waluty transakcji zapewniają podmiotom odpowiedzialnym za zagrożenia kolejną powierzchnię ataku. Wirtualne towary i aktywa również mogą zostać skradzione i odsprzedane. Ponadto co jest bardzo realne hakerstwo biometryczne też może stać się możliwością z uwagi na elementy wirtualnych miast napędzane przez AR i VR, co ułatwi cyberprzestępcą dokonanie kradzieży mapowania odcisków palców, danych do rozpoznawania twarzy i skanów siatkówki, a następnie pozwoli im je wykorzystać do nieuczciwych celów.
Web3
Web3, to nowa iteracja Internetu bazująca na blockchainie, która ma na celu decentralizację własności w gospodarce cyfrowej i szybko wchodzi do głównego nurtu a coraz więcej korporacji zaczyna eksperymentować z jej narzędziami. Web3 oferuje bowiem organizacjom wiele potencjalnych korzyści, takich jak ułatwienie zespołom programistów wdrażania aplikacji bez konieczności zarządzania nową infrastrukturą do obsługi tego procesu i bez utrzymywania tej infrastruktury.
Jak każda nowa technologia, Web3 nie jest jednak pozbawiona zagrożeń przede wszystkim dlatego, że polega na kontrolowaniu przez użytkownika jego własnych danych. A jak dobrze wiemy najsłabszym ogniwem incydentów bezpieczeństwa są użytkownicy. Chociaż nieodwracalność blockchaina ma pewne zalety, przynosi również wyzwania. Dla przykładu, obecne portfele Web3 nie korzystają z uwierzytelniania wieloskładnikowego, polegają tylko na hasłach i trudno je odzyskać w razie utraty, co stanowi kolejną lukę, która cyberprzestępcy mogą wykorzystywać teraz i coraz częściej w przyszłości.
Jak być o krok przed cyberprzestępcami?
Chociaż często może się wydawać, że nadążanie za ilością i szybkością mutowania zagrożeń jest z góry skazane na niepowodzenie, dobra wiadomość jest taka, że większość taktyk wykorzystywanych do przeprowadzania ataków jest znana, co pozwala zespołom ds. bezpieczeństwa lepiej się przygotować do ochrony przed nimi. Oto najlepsze rady wg. FortiGuard Labs dotyczące ochrony środowiska i pozostawania o krok przed cyberprzestępcami:
- Poznanie cyklu życia cyberataku
Aby skutecznie bronić organizacji, należy lepiej poznać cyberprzestępców, ich motywacje, taktyki i sposób działania. Pomocne mogą być ramy MITRE ATT&CK dokumentujące popularne taktyki, techniki i procedury (TTP) wykorzystywane przeciwko sieciom przedsiębiorstw w zagrożeniach typu APT. - Platforma cyberbezpieczeństwa typu mesh
Kompleksowa, zintegrowana i zautomatyzowana platforma cyberbezpieczeństwa typu mesh jest niezbędna dla ograniczenia złożoności i zwiększenia skuteczności zabezpieczeń, zwłaszcza w sytuacji, gdy sieci się rozrastają a napastnicy znajdują coraz to nowe sposoby na przeprowadzanie ataków. Kluczowe znaczenie mają konsolidacja i konwergencja w ramach jednej platformy cyberbezpieczeństwa, która umożliwiałaby znacznie ściślejszą integrację, większą automatyzację oraz szybszą, bardziej skoordynowaną i skuteczniejszą ochronę i reagowanie na zagrożenia w całej sieci. W idealnym przypadku organizacje powinny wdrożyć:- Usługę ochrony przed ryzykiem cyfrowym (DRPS) oraz technologię deception zaprojektowaną dla przeciwdziałania atakomw fazie rozpoznania.
- Ochronę WWW, DNS i C2.
- Narzędzia chroniące przed złośliwym oprogramowaniem z rozpoznawaniem sygnatur przez SI.
- Wykrywanie z użyciem zaawansowanego systemu ochrony przed włamaniami (IPS).
- Wykrywanie zagrożeń i reagowanie na nie w urządzeniach końcowych (EDR).
- Technologia bieżącej analizy w środowisku testowym (sandboxing) z wykorzystaniem SI i z mapowaniem MITRE ATT&CK.
- Wdrożenie segmentacji i mikrosegmentacji sieci
Segmentacja poprawia bezpieczeństwo poprzez zapobieganie rozprzestrzenianiu się ataków w całej sieci i ich przenikaniu do niezabezpieczonych urządzeń. W razie ataku segmentacja pozwoli również powstrzymać rozprzestrzenianie się złośliwego oprogramowania na inne systemy przedsiębiorstwa. Mikrosegmentacja natomiast umożliwia architektom zabezpieczeń dalszą segmentację środowiska w celu zapewnienia widoczności ruchu sieciowego dla wszystkich zasobów w ramach danej domeny rozgłoszeniowe. Poziom szczegółowości jest osiągany poprzez logiczne podzielenie środowiska sieciowego aż do poziomu pojedynczych procesów. Ponieważ zasady są stosowane wobec pojedynczych procesów, mikrosegmentacja zapewnia większą odporność na ataki a jeśli już dojdzie do naruszenia, ogranicza zdolność hakera do poruszania się po przejętych aplikacjach.
Artykuł powstał na podstawie opracowania firmy Fortinet.
O autorze: Marcelina Fusiek
Specjalista ds. marketingu
Od ponad 10 lat zajmuje się marketingiem. Jej doświadczenie wywodzi się z agencji reklamowej, gdzie poznała dziesiątki branż i pracowała nad wizerunkiem niezliczonej liczby firm. Biegła w wielu obszarach marketingu B2B.