CyberbezpieczeństwoPolecane tematy
Raport McAfee: coraz bardziej kreatywni przestępcy i masowe wycieki danych
Pierwszy kwartał tego roku zdecydowanie można nazwać „czasem wycieków danych”. W tym czasie bowiem doszło do serii incydentów polegających na nielegalnym udostępnieniu w Internecie danych dużych organizacji. W tym samym okresie zaobserwowano też dalszy wzrost aktywności przestępców korzystających z oprogramowania ransomware, a także radykalny – sięgający 460% – wzrost liczby przypadków wykorzystania interpretera PowerShell jako narzędzia ataków. Takie wnioski płyną z McAfee Labs Threats Report.
Co ciekawe, z dokumentu dowiadujemy się m.in., że przestępcy odpowiedzialni za ataki ransomware coraz częściej rezygnują z prowadzenia masowej wysyłki zainfekowanych wiadomości. Teraz bardziej popularne stało się korzystanie z wszelkiego rodzaju narzędzi zdalnego dostępu – lub luk w nich – w celu przejęcia kontroli i zaszyfrowania danych na komputerze ofiary.
Najpopularniejszą metodą ataku wciąż pozostaje tzw. spearphishing. Zwykle polega ono na wysyłaniu wiadomości ze złośliwym załącznikiem do starannie wyselekcjonowanych adresatów i formułowanie jej tak, aby odbiorca uwierzył, że to pożądana korespondencja. Jednak coraz częściej mamy również do czynienia z atakami typu brute-force, wykradaniem danych logowania do firmowych systemów, korzystaniem z wycieków danych itp. Dodajmy, że do najbardziej popularnych aplikacji typu ransomware w I kwartale 2019 r. zaliczano różne warianty oprogramowania Dharma oraz GandCrab.
W I kwartale 2019 roku wykryto również kilka zupełnie nowych typów złośliwego oprogramowania typu cryptojacking, czyli aplikacji, których zadaniem jest wykorzystanie zainfekowanej maszyny do „kopania” kryptowalut. Pewnym novum jest fakt, że wśród nich znalazło się również sporo aplikacji przeznaczonych na platformę Apple. Generalnie, rosła liczba wszelkiego rodzaju aplikacji związanych z przestępczością “kryptowalutową”, czyli np. programów wyspecjalizowanych w wykradaniu wirtualnych portfeli czy danych logowania do usług związanych z obsługą wirtualnych walut.
Wyraźnie zauważalnym trendem było także coraz większe zainteresowanie przestępców urządzeniami i systemami Internetu Rzeczy (IoT). Eksperci McAfee zaobserwowali wzrost liczby prób uzyskania dostępu do takich rozwiązań (np. z wykorzystaniem domyślnych lub słabych haseł i loginów), a także prób wykorzystania znanych luk w ich zabezpieczeniach.
Nowe sztuczki twórców ransomware
Jednym z wyraźniej widocznych – i bardziej niepokojących – wniosków z raportu jest stały, oszacowany na 118%, wzrost liczby ataków złośliwego oprogramowania typu ransomware. Problemem jest zresztą nie tylko rosnąca liczba ataków, ale także pojawianie się coraz to nowych, bardziej dopracowanych złośliwych aplikacji (np. podszywający się pod grę program Anatova) oraz stosowanie przez przestępców coraz bardziej pomysłowych – a co za tym idzie również bardziej efektywnych – technik ataków.
W I kwartale 2019 roku wykryto kilka zupełnie nowych typów złośliwego oprogramowania typu cryptojacking, czyli aplikacji, których zadaniem jest wykorzystanie zainfekowanej maszyny do „kopania” kryptowalut, co ciekawe również na platformę Apple. Generalnie, rosła liczba wszelkiego rodzaju aplikacji związanych z przestępczością “kryptowalutową”. Wyraźnie zauważalnym trendem było także coraz większe zainteresowanie przestępców urządzeniami i systemami Internetu Rzeczy (IoT). Eksperci McAfee zaobserwowali wzrost liczby prób uzyskania dostępu do takich rozwiązań (np. z wykorzystaniem domyślnych lub słabych haseł i loginów), a także prób wykorzystania znanych luk w ich zabezpieczeniach.
Najpopularniejszą metodą ataku wciąż pozostaje tzw. spearphishing. Zwykle polega ono na wysyłaniu wiadomości ze złośliwym załącznikiem do starannie wyselekcjonowanych adresatów i formułowanie jej tak, aby odbiorca uwierzył, że to pożądana korespondencja. Jednak coraz częściej mamy również do czynienia z atakami typu brute-force, wykradaniem danych logowania do firmowych systemów, korzystaniem z wycieków danych itp. Dodajmy, że do najbardziej popularnych aplikacji typu ransomware w I kwartale 2019 r. zaliczano różne warianty oprogramowania Dharma oraz GandCrab.
Kwartał wielkich wycieków danych osobowych
Pierwsze trzy miesiące 2019 roku obfitowały w głośne przypadki nielegalnego udostępniania danych dużych firm. Kilku różnych przestępców zdecydowało się w tym czasie na opublikowanie w sieci ogromnych zbiorów plików (często poufnych) nielegalnie pozyskanych z systemów różnych firm. Mowa tu np. o nazwanym „The Collection 1” pakiecie zawierającym prawie 12 000 plików i ponad 770 000 unikalnych adresów e-mail, który pojawił się w usłudze MEGA. Ów zbiór został oczywiście szybko usunięty z oryginalnej lokalizacji, jednak później jeszcze kilkakrotnie powielano go w innych serwisach. Z czasem autor wycieku udostępnił kolejne części „The Collection”, o numerach od 2, 3, 4 i 5.
Za tę operację najprawdopodobniej odpowiedzialny jest haker o pseudonimie Gnosticplayers. Nie jest do końca jasne, w jakich okolicznościach pozyskał owe dane. Wiadomo jednak, że łącznie udostępnił online dane blisko 1 mld kont w różnych usługach i serwisach. Wśród nich znalazło się wiele systemów dużych organizacji biznesowych z całego świata. Oczywiście, wszystkie owe dane zostały wielokrotnie skopiowane i pobrane. Efektem były masowe próby wykorzystania ich do przejmowania kont użytkowników i innych przestępstw.
Lazarus Group i ataki typu supply-chain
Kolejnym odnotowanym w raporcie trendem z I kwartału 2019 był wyraźny wzrost aktywności wysoce sprofesjonalizowanych grup hakerskich, w tym m.in. formacji znanej jako Lazarus Group. Przeprowadziła ona zmasowaną kampanię cyberszpiegowską, wymierzoną w biznes, instytucje rządowe, ośrodki naukowe oraz system kryptowalut.
Wyraźnie rosła liczba ataków i ich prób, które de facto mogą być rekonesansami przed większymi operacjami – wykorzystujących metodę supply-chain, czyli bazujących na oprogramowaniu preinstalowanym na atakowanej maszynie przez jego producenta. Przykładem takiego ataku był ShadowHammer, czyli operacja dostarczenia złośliwego programu do komputera z wykorzystaniem oficjalnego narzędzia aktualizacyjnego. Ten konkretny atak był niezwykle efektywny i groźny również dlatego, że przestępcy w jakiś sposób zdołali podpisać swoje zawirusowane aplikacje oficjalnym certyfikatem producenta.
Wyraźnie rosła również liczba ataków i ich prób, które de facto mogą być rekonesansami przed większymi operacjami – wykorzystujących metodę supply-chain, czyli bazujących na oprogramowaniu preinstalowanym na atakowanej maszynie przez jego producenta. Przykładem takiego ataku był ShadowHammer, czyli operacja dostarczenia złośliwego programu do komputera z wykorzystaniem oficjalnego narzędzia aktualizacyjnego. Ten konkretny atak był niezwykle efektywny i groźny również dlatego, że przestępcy w jakiś sposób zdołali podpisać swoje zawirusowane aplikacje oficjalnym certyfikatem producenta.
Nowe narzędzie ataku: brutalną siłą w RDP i PoweShell
Z raportu McAfee dowiadujemy się także, że na początku 2019 roku odnotowano drastyczne zwiększenie się liczby ataków typy brute-force na protokół RDP w urządzeniach z systemem Windows oraz przypadków wykorzystywania komend PowerShell do przejmowania kontroli nad atakowanymi maszynami. Celem tych ataków było przede wszystkim przekształcenie zainfekowanych systemów w różnego rodzaju boty, serwery Command & Control, a także platformy do dystrybucji złośliwego oprogramowania i zarządzania sieciami komputerów-zombie (botnetów).
1 mld danych na temat kont użytkowników w różnych usługach i serwisach udostępnił online haker o pseudonimie Gnosticplayers. Wśród nich znalazło się wiele systemów dużych organizacji biznesowych z całego świata. Oczywiście, wszystkie owe dane zostały wielokrotnie skopiowane i pobrane. Efektem były masowe próby wykorzystania ich do przejmowania kont użytkowników i innych przestępstw.
Zgodnie z ostatnimi trendami, w I kwartale 2019 roku silnie widocznym zjawiskiem był również wzrost zainteresowania przestępców rozwiązaniami z dziedziny Internetu Rzeczy. Wydaje się, że przestępcy wciąż jeszcze szukają odpowiedniego i najbardziej lukratywnego dla nich sposobu zdyskontowania rosnącej popularności najróżniejszych inteligentnych urządzeń domowych – takich jak zamki, kamery czy systemy Smart Home – ponieważ stale poszukują w nich nowych błędów i nowych metod atakowania.
Sytuacji niestety nie poprawia fakt, iż wielu producentów takich sprzętów traktuje kwestie bezpieczeństwa po macoszemu. Dowodem są choćby poważne błędy w zabezpieczeniach popularnych inteligentnych zamków (które pozwalały na nieautoryzowane ich otwarcie) oraz ekspresów do kawy wykryte i przedstawione na targach Mobile World Congress przez ekspertów z McAfee Advanced Threat Research.
„Wyniki naszych analiz produktów z tej kategorii pokazują, że producenci sprzętu często sprzedają produkty, w których istnieją zidentyfikowane, znane im luki w zabezpieczeniach. Musimy mieć świadomość, że większość firm – od przedsiębiorstw z listy Fortune 500, po małe rodzinne sklepiki – prędzej czy później będzie musiała zmierzyć się z problemem z zabezpieczeniami. Ci, którzy podejdą do sprawy proaktywnie i wykażą się otwartością, mogą liczyć na zdobycie i utrzymanie zaufania klientów oraz dobrej reputacji” – podsumowuje Steve Povolny, szef działu Advanced Threat Research at McAfee.
Pełny raport McAfee znaleźć można na stronie firmy.