Metody i motywacje złośliwych aktorów w cyberprzestrzeni ewoluują, a organizacje narażone są na szeroki wachlarz zagrożeń, specyficznych dla danego sektora i profilu atakującego. Czy da się w tym wszystkim jakoś odnaleźć? Na to pytanie pomoże nam odpowiedzieć opublikowany we wrześniu raport ENISA Threat Landscape 2024.
ENISA to unijna organizacja, której misją jest wzmacnianie poziomu cyberbezpieczeństwa w Unii Europejskiej. W celu realizacji tego zadania agencja publikuje co roku raport ENISA Threat Landscape (ETL), zwiększając świadomość na temat bieżących cyberzagrożeń. Dokument ten podsumowuje aktualne trendy i incydenty obserwowane na przestrzeni danego roku na podstawie zidentyfikowanych przez agencję ogólnodostępnych źródeł. Raport tworzony jest tak, aby był neutralny względem branży i dostawców.
ETL daje szerszą perspektywę pomagającą w analizie ryzyka organizacji i rozeznaniu się w aktualnych zagrożeniach, dzięki czemu możemy lepiej przygotować się na potencjalny atak.
Kto atakuje w cyberprzestrzeni?
Nie powinno dziwić, że atakujący, podobnie jak w zeszłych latach, kierowali się głównie zyskiem – zarobek finansowy pozostał głównym motywem cyberataków. Nie wyczerpuje to jednak krajobrazu cyberzagrożeń. Poza próbami zarobku, zaobserwowano wiele incydentów związanych ze szpiegowstwem lub nacechowanych ideologicznie. Dużą część ataków stanowiła zwykła motywacja zaburzenia działania usługi (np. szeroko znane ataki Distributed Denial of Service). Autorzy raportu podkreślają jednak, że często motywacja cyberataku jest niejasna lub więcej niż jedna.
Spośród wykonujących ataki aktorów (threat-actors), agencja wymienia cztery wyróżniające się grupy:
Cyberprzestępcy, czyli aktorzy o motywacji finansowej, którzy czerpią zysk z kradzieży danych organizacji lub poprzez wymuszanie okupu. Raport alarmuje, że aktorzy ci wykazują coraz większy poziom profesjonalizacji i współpracy. Jako przykład można tu podać zjawisko masowego handlu wyciekniętymi dostępami do sieci organizacji przez tzw. Initial Access Brokers lub szeroki wachlarz aktywności hakerskich dostępnych jako usługa, takich jak Ransomoware as a Service lub Phishing as a Service. Poprzez możliwość „outsourcowania” najtrudniejszych etapów cyberataku, bariera wejścia w ten sposób zarobku znacznie się obniżyła.
Dużo wyższy stopnień zaawansowania wykazują grupy rządowe, złożone z osób prowadzących operacje w cyberprzestrzeni w ramach struktur państwowych. Grupy te, dysponując zapleczem wywiadowczym i militarnym, są w stanie przygotować wysoce złożone i ukierunkowane ataki. Mają wiedzę, czas i zasoby aby przeprowadzać długofalowe operacje oraz wytwarzać wysoce niewykrywalne złośliwe oprogramowanie. W niektórych przypadkach obserwuje się również ich współpracę z grupami cyberprzestępczymi i haktywistami.
Dobrym przykładem ataku przeprowadzonego przez taką grupę może być kampania zorganizowana przez APT28, wycelowana w polskie instytucje rządowe.
Co ciekawe, w tym roku autorzy wyróżnili sektor prywatny jako osobną kategorię cyberaktorów. Mowa tu o sprzedawcach oprogramowania szpiegowskiego (jak np. szerzej znany Pegasus), którzy wyspecjalizowali się w eksploitacji telefonów komórkowych i przeglądarek internetowych. Firmy te posiadają wysokie kompetencje w wytwarzaniu exploitów i luk typu 0-day oraz są gotowe wydać duże kwoty na skup aktualnych i nieopublikowanych podatności od niezależnych badaczy. Regulację ich statusu prawnego utrudnia fakt, że ich klientami są często rządy. Autorzy raportu przestrzegają, że bez odpowiedniej reakcji, rola tych firm będzie dalej rosnąć.
W raporcie podkreślone jest w końcu istnienie haktywistów, czyli grup lub osób prowadzących działania w cyberprzestrzeni z pobudek ideologicznych. Często kontekstem ich zachowań są bieżące wydarzenia geopolityczne, czego przykładem mogą być na przykład ataki odmowy usługi koordynowane przez przychylne Ukrainie kanały na platformie Telegram, skierowane przeciwko rosyjskim serwerom po inwazji Rosji na Ukrainę w 2022 roku.
Główne cyberzagrożenia
Raport wskazuje główne typy zagrożeń, które dominowały w latach 2023-2024. Ich definicje są na tyle szerokie, że większość incydentów można opisać kilkoma z nich. Są one jednak pomocne jako ramy do zrozumienia ogólnego stanu rzeczy i poprawy cyberodporności każdej organizacji. W 2024 roku wyróżniono sześć głównych kategorii zagrożeń:
- Ataki odmowy usługi – nakierowane są na zaburzenie działania systemów i usług poprzez wyczerpanie ich zasobów. Najczęściej spotykany przypadek Distributed Denial of Service (DDoS) osiąga ten cel poprzez przeciążenie wybranej usługi zapytaniami wysyłanymi z wielu kontrolowanych urządzeń naraz.
- Ataki ransomware – w których aktor szantażuje organizacje po przejęciu kontroli nad jej zasobami. Żądanie okupu może być stawiane po różnymi warunkami, na przykład przywrócenia dostępności danych i systemów lub obietnicy nieudostępniania przejętych wrażliwych informacji publicznie. Odnotowano też przypadki żądania okupu za przerwanie ataku odmowy usługi, które nazywa się Ransom Denial of Service (RDoS).
- Ataki na dane – w ramach których dochodzi do nieuprawnionego dostępu do poufnych danych. Mogą być to kradzież danych spowodowana celowo w ramach cyberataku (data breach) lub nieumyślny wyciek w wyniku błędu lub miskonfiguracji (data leak).
- Socjotechnika – każda metoda mająca na celu oszukanie człowieka do uzyskania dostępu do systemu lub danych. Warto podkreślić, że nie chodzi tu wyłącznie o maile phishingowe, ale również złośliwe połączenia głosowe, smsy, kody QR i wiele innych. Popularnym wektorem ataku jest obecnie Business Email Compromise (BEC), w którym atakujący podszywają się pod zaufaną osobę (np. prezesa, księgową) w celu wyłudzenia pieniędzy, na przykład wywierając presję do uregulowania płatności pod wskazanym adresem bankowym naszym konktrahentom.
- Złośliwe oprogramowanie – ogólna kategoria opisująca wszelkie ataki wykorzystujące złośliwy kod, programy i aplikacje do osiągnięcia swojego celu. Obecnie zauważyć można dużą populnarność tzw. infostealerów, czyli oprogramowania do kradzieży danych z zainfekowanego urządzenia. Znalezienie poświadczeń pracownika organizacji w opublikowanych w Internecie logach takiego programu jest jedną z częstszych metod inicjalnego dostępu do organizacji.
- Manipulacja informacją – mająca na celu wywołanie określonego wpływu na wydarzenie lub proces polityczny. Jest to szeroka kategoria działań mieszcząca w sobie praktyki takie jak dezinformacja, misinformacja i propaganda w sieciach społecznościowych.
Liczba podatności wzrasta
Wraz z liczbą cyberataków rośnie również liczba identyfikowanych podatności oprogramowania. Od połowy roku 2023 do połowy 2024 liczba podatności Common Vulnerabilities and Disclosures (CVE) w amerykańskiej bazie National Vulnerability Database (NIST NVD) wzrosła o 36% w porównaniu z poprzednim okresem (z 24,690 do 33,524). Spośród analizowanych podatności, 9,3% sklasyfikowano jako krytyczne oraz 21,8% jako wysokie. Autorzy definiują podatności o tych ryzykach jako takie, które znacznie ułatwiają atakującemu dostęp do systemu lub wrażliwych danych. Ponadto zauważono, że wiele z tych słabości to podatności systemów webowych, czyli aplikacji i stron internetowych, a wśród najczęściej wykorzystywanych technik wciąż spotykane są klasyki znane z OWASP Top 10, takie jak SQL Injection, czy Cross Site-Scripting. Poprawa sytuacji w tym obszarze może jeszcze długo potrwać, jako że wymaga wykształcenia nawyków i dobrych praktyk w zakresie wytwarzania bezpiecznego oprogramowania.
Co ciekawe, niektórzy producenci są bardziej narażeni na ataki niż inni. Raport zawiera zestawienie 16 najczęściej atakowanych dostawców. Według danych z 2022 roku, do najczęściej eksploitowanych usług należały produkty Microsoft (33,33%), Apache (11,9%) Fortinet (7,14%), Sonicwall (7,14%) i Atlassian (4,76%).
Kluczowe trendy
To kolejny rok, w którym Ransomware i ataki DDoS pozostają głównymi zagrożeniami w cyberprzestrzeni. Oba zagrożenia celują w wiele sektorów, przy czym ataki DDoS mają tendencje do bycia ukierunkowanymi szczególnie przeciwko administracji publicznej (33,24%) i sektorowi transportowemu (21,05%), zaś ransomware celuje najczęściej w branżę przemysłową i wytwórczą (21,78%) oraz retail (11,06%). Wykorzystanie automatyzacji i długiego łańcucha dostaw czyni te branże wyjątkowo podatnymi na zakłócenia. Atakujący ewoulują i dostosowują się do bieżących trendów, korzystając z usług do wynajęcia na czarnym rynku oraz wykorzystując zaufane oprogramowanie (techniki Living of the Land i Living of Trusted Sites) i popularne strony internetowe do swoich celów, aby lepiej wmieszać się w tłum i uniknąć wykrycia. Warto jednak zaznaczyć, że wymiar sprawiedliwości również podniósł poziom swoich operacji i ostatnio operatorzy ransomoware muszą liczyć się z dodatkowym oporem stawianym ze strony agencji rządowych. Przykładami takich operacji w ubiegłym roku, których celami było przerwanie działalności cyberprzestępców, są na przykład operacja Cronos wymierzona w cybergang LockBit, lub operacja Endgame przeciwko wytwórcom złośliwego oprogramowania.
Warto odnotować, że podczas, gdy liczba ataków ransomware ustabilizowała się na wysokim poziomie, liczba ataków odmowy usługi zaliczyła znaczny wzrost. Wygląda na to, że ataki DDoS stają się coraz większe i bardziej złożone, a przy tym coraz tańsze. Aktorzy wykorzystują je w przeróżnych celach, między innymi jako łatwe narzędzie wpływu, metodę zastraszenia podczas konfliktów zbrojnych, wyrażenia opinii lub sprzeciwu w przypadku aktywistów czy do odwrócenia uwagi przez grupy rządowe.
Głównym źródłem włamań do organizacji wciąż pozostaje socjotechnika. Poprawa czynnika ludzkiego jest o tyle trudnym zadaniem, że atakujący wykazują się kreatywnością i zróżnicowują swoje metody. Aby uśpić czujność, podszywają się pod innych pracowników lub kontrahentów (BEC) lub znane i zaufane firmy. Trwającym trendem jest także wykorzystanie platform do szukania pracy w celach phishingowych. Poza socjotechniką, aktorzy uzyskują wstęp do infrastruktury organizacji dzięki wyciekom danych i infostealerom lub poprzez kupienie ich na czarnym rynku od brokerów dostępów.
Nasila się wpływ wydarzeń geopolitycznych i grup rządowych na cyberprzestrzeń. Obserwowanym trendem jest koordynacja działań grup rządowych i haktywistów. Jednocześnie widać silny trend manipulowania informacją podczas dużych wydarzeń takich jak wojna lub wybory.
Krajobraz zagrożeń w obliczu regulacji
Mimo, że dokument ENISA nie nawiązuje bezpośrednio do DORA, może służyć jako mapa drogowa przy budowie cyberodporności organizacji. Warto tutaj przypomnieć, że zgodnie z dyrektywą, wybrane organizacje finansowe zobligowane są do przeprowadzenia testów penetracyjnych inspirowanych zagrożeniami (Threat Led Penetration Tests), w ramach których tworzony jest krajobraz cyberzagrożeń sprofilowany pod daną organizację, na którego podstawie odbywa się następnie symulacja działań atakujących. Przed zaplanowaniem tego typu testów warto więc zapoznać się z treścią raportu, aby dobrze spożytkować zasoby i czas poświęcone na implementację dyrektywy.
Jan Barszcz, konsultant w Grupie Kompetencyjnej Red Team, Zespół ds. Cyberbezpieczeństwa, KPMG w Polsce
