Cyberbezpieczeństwo
Globalny raport o zagrożeniach NTT: wzrost liczby ataków na firmowe dane nawet o 300%
Zgodnie z danymi NTT, sektory ochrony zdrowia, finansów i produkcji mocno ucierpiały wskutek wykorzystywania światowej destabilizacji przez sprawców ataków. Dostęp zdalny staje się powszechnie występującą podatnością, przez co ogromnie wzrosła liczba ataków aplikacyjnych, stanowiących 67% wszystkich ataków. Natomiast koparki kryptowalut odpowiadają za 41% wykrywanego złośliwego oprogramowania.
NTT opublikował Globalny raport o zagrożeniach 2021 (GTIR), w którym ujawnia, w jaki sposób hakerzy wykorzystują globalną destabilizację, biorąc na cel podstawowe gałęzie przemysłu i typowe podatności związane z przejściem na pracę zdalną. Wzrost liczby ataków odnotowano w sektorach opieki zdrowotnej, produkcji i finansów (odpowiednio o 200%, 300% i 53%), a te trzy sektory były łącznie celem 62% wszystkich ataków w 2020 r., co oznacza wzrost o 11% w porównaniu z 2019 r.
W sytuacji, gdy firmy starają się jak najprędzej zaoferować bardziej wirtualny, zdalny dostęp za pośrednictwem portali dla klientów, gwałtownie wzrosła liczba ataków specyficznych dla aplikacji oraz ataków na aplikacje webowe. Jest ich obecnie ponad dwukrotnie więcej niż dwa lata temu i stanowią 67% ogółu ataków. Ataki te były najbardziej dotkliwe w sektorze ochrony zdrowia, który przestawił się na telemedycynę i teleopiekę. 97% wszystkich wrogich działań przeciwko tej branży stanowiły ataki na aplikacje webowe lub ataki specyficzne dla aplikacji.
Raport GTIR zawiera informacje opracowane przez NTT Cybersecurity Advisory, panel ekspertów oceniających dojrzałość programów bezpieczeństwa w różnych branżach. Wyższa ocena punktowa oznacza dojrzalszy plan działania. Niestety sektory ochrony zdrowia i produkcji mają stosunkowo niskie oceny dojrzałości – jest to zaledwie 1,02 i 1,21. Ich notowania pogorszyły się od 2019 r., kiedy wynosiły odpowiednio 1,12 i 1,32, a tymczasem ilość ataków znacząco wzrosła. Ocena w sektorze produkcji pogarsza się od trzech lat, najprawdopodobniej ze względu na zmiany warunków prowadzenia działalności oraz ewolucję ataków. Natomiast sektor finansów już trzeci rok z rzędu uzyskał najwyższą ocenę dojrzałości, tym razem było to 1,84, co jednak oznacza spadek o 0,02 w porównaniu z ubiegłym rokiem.
“W ubiegłym roku przewidzieliśmy nasilenie celowanych ataków i niestety mieliśmy rację. Choć atakowane branże starały się ze wszystkich sił podtrzymywać niezbędne usługi w tym trudnym czasie, pogarszanie się standardów bezpieczeństwa w firmach w momencie, gdy są one najbardziej potrzebne, to bardzo zły znak. Kiedy usługi przenoszą się do internetu i ulegają postępującej cyfryzacji, żeby sprostać nowej rzeczywistości, organizacje muszą zachować wyjątkową czujność, stosując i utrzymując najlepsze praktyki w dziedzinie zabezpieczeń” – powiedział Kazu Yozawa, dyrektor generalny działu bezpieczeństwa w NTT.
Malware przechodzi metamorfozę: na znaczeniu zyskują wirusy kopiące kryptowaluty, rozpowszechniają się trojany
Złośliwe oprogramowanie jest coraz bardziej utowarowione pod względem cech i funkcji. Jednocześnie w ciągu ostatniego roku, wraz z nastaniem malware wielofunkcyjnego, stało się bardziej zróżnicowane. Oprogramowanie szpiegowskie straciło na światowej popularności na rzecz koparek kryptowalut, choć nadal pojawiają się nowe pomysły na wykorzystywanie niektórych wariantów malware przeciwko określonym branżom. Robaki spotykano najczęściej w sektorach finansów i produkcji. Sektor ochrony zdrowia był atakowany przez trojany wykorzystujące dostęp zdalny, a branża technologiczna padała ofiarą ransomware.
Sektor edukacji był eksploatowany przez koparki kryptowalut ze względu na wzrost popularności „kopania” wśród studentów, którzy wykorzystują niezabezpieczoną infrastrukturę. Doskonałym przykładem jest tu rynek kryptowalut, gdzie koparki kryptowalut stanowiły w 2020 r. aż 41% ogółu wykrytego złośliwego oprogramowania. Najbardziej rozpowszechnionym wariantem była koparka XMRig, która odpowiadała za niemal 82% aktywności wszystkich koparek walut ogółem, a w regionie EMEA za prawie 99%.
„Z jednej strony agresorzy wykorzystują ogólnoświatową katastrofę, a z drugiej strony cyberprzestępcy korzystają na bezprecedensowym boomie rynkowym. Wspólnymi wątkami przewijającymi się w obu tych zjawiskach są nieprzewidywalność i ryzyko. Zmiany modeli działania i wdrażanie nowych technologii stwarzają okazję dla przestępców, a przy rosnącej popularności dynamicznie rosnącego rynku kryptowalut wśród niedoświadczonych studentów ataki są nieuchronne. W miarę stabilizowania się sytuacji pandemicznej, zarówno organizacje, jak i jednostki muszą postawić sobie jako priorytet higienę cyberbezpieczeństwa we wszystkich branżach, nie zapominając o łańcuchu dostaw” – komentuje Mark Thomas, kierujący Global Threat Intelligence Center w NTT.
Najważniejsze informacje z raportu GTIR 2021
- Udział ataków w sektorze produkcji wzrósł z 7% w ubiegłym roku do 22%; w ochronie zdrowia z 7% do 17%; w sektorze finansów z 15% do 23%.
- Organizacje z wielu różnych branż padły ofiarą ataków związanych ze szczepionką przeciwko COVID-19 i jej łańcuchami dostaw.
- Nasilił się oportunizm cyberprzestępców w związku z COVID-19. Bardzo aktywne były w 2020 r. takie grupy jak Ozie Team, Agent Tesla i TA505, a także grupy sponsorowane przez władze państwowe, m.in. Vicious Panda, Mustang Panda czy Cozy Bear.
- Najczęściej spotykanymi formami malware w 2020 r. były koparki (41%); trojany (26%); robaki (10%) i ransomware (6%).
- Koparki kryptowalut zdominowały aktywność w Europie, na Bliskim Wschodzie i w Afryce (region EMEA), a także w Ameryce Północnej i Południowej, natomiast w Azji i krajach Pacyfiku (APAC) spotykano je stosunkowo rzadko.
- W obu Amerykach najczęściej atakowaną technologią był OpenSSL, podczas gdy w krajach APAC nie znalazł się on nawet w pierwszej dziesiątce celów ataków.
- W konsekwencji wyroku w sprawie Schrems II podważone zostały zasady działania Tarczy Prywatności UE-USA, a organizacje przekazujące dane osobowe z UE do krajów trzecich zostały obarczone dodatkowymi obowiązkami.
- Badania przeprowadzone przez NTT wskazują, że 50% organizacji na świecie podchodzi priorytetowo do zabezpieczenia usług świadczonych w chmurze, czyniąc to zagadnienie najważniejszym kierunkiem w zakresie cyberbezpieczeństwa na okres najbliższych 18 miesięcy.
- 79% wszystkich ataków zarejestrowanych w regionie EMEA stanowiły łącznie ataki specyficzne dla aplikacji (42%) oraz ataki na aplikacje webowe (37%).
- Najwyższy odsetek ataków w tych dwóch połączonych kategoriach spośród wszystkich analizowanych krajów odnotowano w Wielkiej Brytanii (91%).
- Najczęściej atakowaną branżą w regionie EMEA była ochrona zdrowia.
- Ataki na aplikacje webowe (62%) i ataki specyficzne dla aplikacji (36%) skierowane przeciwko opiece zdrowotnej w tym regionie stanowiły 98% ogółu wrogiej działalności w tym sektorze. To o wiele więcej, niż wynosi średnia ogólnoświatowa (67%).
- XMRig odpowiadał za niemal 99% aktywności wszystkich koparek kryptowalut w regionie EMEA i stanowił ponad 87% wykrytego złośliwego oprogramowania.
- Na drugim miejscu pod względem częstości występowania w tym regionie znalazły się trojany.
- W Zjednoczonym Królestwie i Irlandii 6 na 10 najczęściej obserwowanych złośliwych programów stanowiły różnego rodzaju trojany.
Globalny raport o zagrożeniach 2021 zawiera dane o atakach zgromadzone w okresie od 1 stycznia do 31 grudnia 2020 r. Analiza oparta została na danych dotyczących logów, zdarzeń, ataków, incydentów i podatności otrzymywanych od klientów, a także pochodzących z ogólnoświatowej sieci pułapek honeypot należącej do NTT. W Raporcie uwzględniono dane otrzymane od podległych jednostek operacyjnych NTT, takich jak Cybersecurity Advisory i WhiteHat Security, a także z ogólnoświatowych badań pierwotnych.