Fortinet: Techniki cyberataków coraz szybciej ewoluują, stają się bardziej wyrafinowane i groźne

Opublikowane przez Fortinet w FortiGuard Labs Global Threat Landscape Report dane dotyczące zagrożeń z drugiej połowy 2021 roku, wskazują na wzrost automatyzacji i szybkości cyberataków. Są one jeszcze bardziej destrukcyjne oraz nieprzewidywalne. Jak podkreślają autorzy badania, hakerzy coraz częściej wykorzystują ponadto rozszerzające się możliwości przeprowadzenia ataku na osoby pracujące w modelu hybrydowym oraz hybrydową infrastrukturę IT.

Luki w bibliotece Log4j, które pojawiły się w drugim tygodniu grudnia ubiegłego roku, pokazały jak gwałtownie cyberprzestępcy próbują wykorzystać je na swoją korzyść. Aktywność opracowanego przeciwko tej bibliotece exploita Log4Shell wzrosła na tyle szybko, że w ciągu niecałego miesiąca stał się on najczęściej wykrywanym atakiem IPS w całej drugiej połowie 2021 roku, wskazują specjaliści od cyberbezpieczeństwa. Ponadto, Log4Shell wykazywał prawie 50-krotnie większą aktywność w porównaniu z dobrze znaną kampanią ProxyLogon, która miała miejsce wcześniej w 2021 roku.

Biorąc pod uwagę szybkość, z jaką cyberprzestępcy wykorzystują nowe możliwości, w rzeczywistości firmy mają bardzo mało czasu na reagowanie lub wprowadzenie poprawek. Konieczne stało się więc stosowanie systemów zapobiegania włamaniom (IPS) bazujących na sztucznej inteligencji i uczeniu maszynowym, agresywnej strategii zarządzania poprawkami oraz rozwiązań do analizy zagrożeń, czytamy w raporcie.

Cyberprzestępcy szybko wykrywają nowe obszary do ataku

Niektóre mniejsze lub słabo widoczne zagrożenia mają potencjał, aby w przyszłości powodować większe problemy – dlatego warto je obserwować, podkreślają twórcy raportu. Przykładem jest opracowane ostatnio złośliwe oprogramowanie dla systemów Linux, obecne często w postaci plików wykonywalnych i typu ELF. W systemach Linux działają systemy zarządzające pracą wielu sieci oraz bazujące na kontenerach rozwiązania dla urządzeń IoT i aplikacji o znaczeniu krytycznym, dlatego stają się one coraz popularniejszym celem ataków.

Jak wskazują specjaliści Fortinet, liczba nowych sygnatur złośliwego oprogramowania dla systemu Linux w IV kwartale 2021 roku, czterokrotnie przekroczyła liczbę sygnatur z pierwszego kwartału. Przykładami tego typu zagrożeń są Muhstik w wariancie ELF, złośliwe oprogramowanie RedXOR, a nawet Log4Shell. W ubiegłym roku częstotliwość wykrywania różnych wariantów złośliwych plików ELF i innego szkodliwego oprogramowania dla systemu Linux podwoiła się, co sugeruje, że w coraz większym stopniu stanowią one część arsenału cyberprzestępców. Dlatego podłączony do sieci sprzęt z systemem Linux musi być zabezpieczony, monitorowany i zarządzany jak wszystkie urządzenia końcowe, za pomocą zaawansowanych i zautomatyzowanych mechanizmów wykrywania oraz reagowania. Ponadto należy wzmocnić podejście bazujące na cyberhigienie, aby zapewnić aktywną ochronę dla systemów, które mogą być narażone na słabo widoczne zagrożenia, uważają eksperci.

Ewolucja botnetów – wyrafinowane metody ataku

Wśród trendów dotyczących ewolucji cyberzagrożeń można zauważyć, że w botnetach implementowane są coraz nowsze i bardziej zaawansowane techniki ataków. Nie są już one wyłącznie monolityczne i nie skupiają się tylko na atakach DDoS, wskazują specjaliści i dodają, że stały się one wielozadaniowymi narzędziami ataku wykorzystującymi wyrafinowane techniki, w tym ransomware. Dla przykładu, część cyberprzestępców, w tym operatorzy botnetów takich jak Mirai, zintegrowali z nimi exploity na lukę w bibliotece Log4j. Wykryto również aktywność botnetów związaną z nowym wariantem wykradającego dane z systemów Linux złośliwego oprogramowania RedXOR.

Okazuje się, że na początku października wzrosła również liczba wykryć botnetów dostarczających wariant złośliwego oprogramowania RedLine Stealer, który został zmodyfikowany w celu wykrywania nowych celów za pomocą pliku związanego z tematyką pandemii COVID. Aby chronić sieci i aplikacje, przedsiębiorstwa powinny wdrażać rozwiązania do zarządzania dostępem typu Zero Trust, które umożliwiają stałą weryfikację uprawnień i ograniczają je do koniecznego minimum, szczególnie w kontekście zabezpieczania urządzeń końcowych IoT i innego sprzętu podłączonego do sieci, podkreślają twórcy badania.

Ataki na ofiary uczące się i pracujące zdalnie

Zaprezentowana w raporcie cena częstotliwości występowania różnych wariantów złośliwego oprogramowania w poszczególnych regionach ujawnia nieustanne zainteresowanie cyberprzestępców maksymalizacją działań ukierunkowanych na ofiary pracujące lub uczące się zdalnie. Odnotowano, że szczególnie powszechne były różne formy ataków prowadzonych przez przeglądarkę. Często przybierają one formę phishingu lub skryptów, które wstrzykują kod albo przekierowują użytkowników do złośliwych stron.

I choć konkretne rodzaje złośliwego kodu różnią się w zależności od regionu świata, to można je w dużej mierze pogrupować jako wykorzystujące trzy mechanizmy dystrybucji: pliki wykonywalne w pakiecie Microsoft Office, pliki PDF oraz skrypty przeglądarki (HTML/, JS/). Techniki te nadal stanowią popularny sposób manipulowania ofiar poszukujących najnowszych wiadomości na temat pandemii, polityki, sportu i innych – tą drogą cyberprzestępcy otwierają sobie drogę do firmowych sieci.

Jak wskazują autorzy raportu, przedsiębiorstwa muszą uwzględniać w tworzonych strategiach cyberbezpieczeństwa fakt, że model pracy z dowolnego miejsca będzie stosowany coraz powszechniej, konieczne więc jest wdrożenie rozwiązań weryfikujących i analizujących środowisko pracy użytkowników, bez względu na to, gdzie się znajdują. Potrzebne są zatem zaawansowane zabezpieczenia w urządzeniach końcowych (EDR), połączone z rozwiązaniami ograniczającymi prawa dostępu, w tym ZTNA. Bezpieczna sieć SD-WAN ma również kluczowe znaczenie dla zapewnienia bezpiecznej łączności w sieciach rozległych, czytamy w analizie.

Aktywność ransomware’u nadal wysoka

Z danych FortiGuard Labs wynika, że aktywność oprogramowania ransomware nie spadła z rekordowego poziomu w ciągu ostatniego roku, a wręcz przeciwnie – rośnie wyrafinowanie ataków, ich agresywność oraz wpływ na przedsiębiorstwa. Cyberprzestępcy nadal atakują za pomocą zarówno nowych, jak i wcześniej spotykanych wariantów ransomware’u, często siejąc zniszczenie.

Starsze odmiany ransomware’u są aktywnie aktualizowane i udoskonalane, czasami dołączane jest do nich złośliwe oprogramowanie typu wiper, ewoluuje także model biznesowy Ransomware-as-as-Service (RaaS). Umożliwia on stworzenie zagrożenia większej liczbie przestępców, którzy nie mają umiejętności samodzielnego tworzenia ransomware’u. W laboratoriach FortiGuard Labs zaobserwowano stały poziom złośliwej aktywności z udziałem wielu odmian ransomware’u, w tym nowych wersji Phobos, Yanluowang i BlackMatter.

Według specjalistów, przedsiębiorstwa muszą przyjąć proaktywne podejście, z uwzględnieniem widzialności infrastruktury, analizy przepływających danych, zapewnieniem ochrony i neutralizacji zagrożeń w czasie rzeczywistym, w połączeniu z rozwiązaniami weryfikującymi reguły dostępu w modelu Zero Trust, segmentacją i regularnym tworzeniem zapasowych kopii danych.

Ochrona przed szybko zmieniającymi się i wyrafinowanymi cyberatakami

Ponieważ ataki są coraz bardziej wyrafinowane, a ich zakres rośnie z coraz większą szybkością, firmy potrzebują rozwiązań zaprojektowanych tak, aby współdziałały ze sobą, a nie funkcjonowały w izolacji. Ochrona przed ewoluującymi technikami ataków będzie wymagała bardziej inteligentnych rozwiązań, które potrafią pozyskiwać w czasie rzeczywistym informacje o zagrożeniach, wykrywać wzorce i pozostawiane ślady, korelować ogromne ilości danych w celu wykrycia anomalii oraz automatycznie inicjować skoordynowaną reakcję, podkreślają twórcy raportu. Dodają również, iż w celu zapewnienia cyberbezpieczeństwa rozwiązania punktowe należy zastąpić platformą typu mesh, która umożliwia scentralizowane zarządzanie, automatyzację i zintegrowane, współpracujące ze sobą mechanizmy obronne.

„Cyberbezpieczeństwo to szybko zmieniająca się i dynamiczna branża, ale ostatnie wydarzenia związane z zagrożeniami pokazują niezrównane tempo, z jakim obecnie są opracowywane i przeprowadzane ataki. Nowe i rozwijające się techniki ataków są dopracowane na każdym etapie łańcucha „kill chain” , a szczególne w fazie uzbrojenia, co obrazuje ewolucję w kierunku bardziej zaawansowanej strategii uporczywej cyberprzestępczości, która jest bardziej destrukcyjna i nieprzewidywalna. Aby chronić się przed tak szerokim zakresem zagrożeń, przedsiębiorstwa muszą wdrożyć strategie zapobiegania, wykrywania i reagowania bazujące na sztucznej inteligencji oraz zapewniającej bezpieczeństwo architektury mesh, co umożliwi znacznie ściślejszą integrację, większą automatyzację, a także szybsze, skoordynowane i skuteczniejsze reagowanie na zagrożenia w całej rozległej sieci” – podsumowuje Derek Manky, Chief, Security Insights & Global Threat Alliances w FortiGuard Labs.