Ransomware, phishing i Generatywna AI w krajobrazie cyberbezpieczeństwa

Pomimo, że cyberataki stają się coraz bardziej zróżnicowane, to prym wśród nich nadal wiodą ransomware i phishing. Cyberbezpieczeństwo wkracza jednak na nowy teren generatywnej sztucznej inteligencji. Oznacza to zarówno nowe możliwości obrony, jak i zagrożeń.

RANSOMWARE

Z opublikowanego przez firmę Sophos raportu State of Ransomware 2024 wynika, że odsetek firm dotkniętych atakami ransomware nieznacznie spadł – z 66% w 2022 roku, do 59% w roku ubiegłym. Autorzy badania wskazują jednak, że do tej zmiany należy podchodzić z ostrożnością, gdyż ataki szyfrujące dane są nadal największym zagrożeniem dla firm i napędzają branżę cyberprzestępczą. Średni okup za odzyskanie danych sięgnął w 2023 roku nawet 2,73 miliona dolarów, i było to  o milion dolarów więcej niż rok wcześniej.

„Niewielki spadek liczby ataków nie może dawać złudnego poczucia bezpieczeństwa. Dzięki możliwości prowadzenia ataków ransomware w różnych modelach zyski są w zasięgu każdego cyberprzestępcy, niezależnie od umiejętności. Podczas gdy niektóre grupy koncentrują się na wymuszaniu wielomilionowych okupów, inne zadowalają się niższymi kwotami, nadrabiając niewielkie zarobki liczbą przeprowadzanych ataków” – skomentował John Shier, dyrektor ds. technologii w Sophos.

W badaniu Veeam Data Protection Trends Report 2024, czytamy natomiast, że „trzy czwarte organizacje padło ofiarą co najmniej jednego ataku ransomware w ciągu ostatnich dwunastu miesięcy”. Do bezpieczeństwa pozostałych 25% respondentów należy podchodzić z rezerwą, ponieważ wiele z firm może jeszcze nie wiedzieć, że padło ofiarą ransomware –  atakujący bardzo często wstrzymują się z żądaniem okupu od 60 do nawet 200 dni. Z kolei 26% ankietowanych stwierdziło, iż w ubiegłym roku zostało zaatakowanych nawet cztery lub więcej razy.

Analiza Sophos wskazuje, że prawdopodobieństwo ataku ransomware rośnie wraz ze wzrostem przychodów przedsiębiorstwa. Jednak nawet mniejsze firmy są regularnie celem ataków – w ubiegłym roku została nimi dotknięta prawie połowa (47%) podmiotów z nich. Co ciekawe, jak wskazuje analiza Global Threat Landscape Report, opracowana przez FortiGuard Labs, 44% wszystkich próbek kodu wykorzystywanego do ataków typu ransomware i wiper było ukierunkowanych na podmioty z branży przemysłowej.

W jaki sposób dochodzi do ataków ransomware?

Najczęściej wskazywaną w raporcie State of Ransomware 2024 przyczyną powodzenia ataków ransomware było wykorzystanie przez cyberprzestępców luk w zabezpieczeniach w środowisku IT ofiary (32%). Drugi pod względem liczby sposób na odniesienie sukcesu przez cyberprzestępców to przejęcie danych uwierzytelniających (29%), trzeci – wiadomości e-mail zawierające złośliwe linki (23%).

Najbardziej destrukcyjne skutki niosły ataki z użyciem luk w zabezpieczeniach. Cyberprzestępcy częściej w takich przypadkach szyfrowali również dane znajdujące się w kopiach zapasowych. Firmy, które zhakowano tym wektorem ataku były także bardziej skłonne zapłacić okup za odzyskanie dostępu do danych i płaciły więcej (średnio 3,58 mln dolarów) niż te, w którym skradziono dane uwierzytelniające (średnio 2,58 mln dolarów). W przypadku ataku z użyciem luk w zabezpieczeniach, firmy i instytucje potrzebowały też więcej – średnio ponad miesiąc – na odzyskanie danych niż po kradzieży danych logowania.

Jak wynika z raportu, nawet 94% ankietowanych organizacji dotkniętych ransomware stwierdziło, że napastnicy próbowali naruszyć także bezpieczeństwo kopii zapasowych w firmie. Odsetek ten jest jeszcze wyższy w przypadku administracji centralnej i samorządowej – sięga bowiem aż 99%. Niestety, ponad połowa wszystkich prób naruszenia backupu zakończyła się powodzeniem.

PHISHING

Jak wynika z Zscaler ThreatLabz 2024 Phishing Report – na którego potrzeby przeanalizowano 2 mld zablokowanych transakcji phishingowych – w okresie od stycznia do grudnia 2023 roku liczba globalnych prób phishingu wzrosła rok do roku o 58,2%. Pojawiły się nowe schematy, w tym: vishing (phishing głosowy), oszustwa rekrutacyjne oraz ataki w przeglądarce. Potwierdzają to obserwacje Anti-Phishing Working Group, międzynarodowej koalicji ds. cyberprzestępczości, która ogłosiła rok 2023 „najgorszym rokiem pod względem phishingu w historii”.

W pierwszej trójce krajów będących celem ataków phishingowych, znalazły się Stany Zjednoczone, Wielka Brytania i Indie, ale Polska jest w tym zestawieniu na wysokim, 7. miejscu. Potwierdza to najnowszy Raport CERT Orange Polska za rok 2023, który wskazuje, że wśród wszystkich złośliwych domen i adresów IP izolowanych przez zespół CERT, dominowała blokada treści phishingowych. W tym okresie CyberTarcza zablokowała rekordowe 360 tys. domen phishingowych. Ponadto odnotowano niemal trzykrotny wzrost zarówno we wpisach pojedynczych, jak i liczby wpisów typu wildcard.

Wśród o scenariuszy oszustw analiza CERT Orange Polska wskazuje jako dominujące:

59,4% – płatności (w tym oszustwo “na kupującego”, gdzie kupującym wysyłane są linki – zazwyczaj poprzez WhatsApp – do rzekomej strony z odbiorem pieniędzy za sprzedawany przedmiot),
28,2% – fałszywe inwestycje (ataki powiązane z oszustwami oferującymi niebotyczne zarobki z inwestycji),
5,1% – media społecznościowe,
4,6% – fałszywe sklepy,
2,3% – inne,
0,4% – malware.

Jak wynika ze cytowanego już badania Zscaler ThreatLabz 2024 Phishing Report, cyberprzestępcy wykorzystują popularne aplikacje korporacyjne i podszywają się pod popularne marki oraz motywy. Badacze ThreatLabz odkryli, że najchętniej przestępcy udają takie marki, jak Microsoft (43,1%), OneDrive (11,6%), Okta (6,3%), Adobe (4,7%) i SharePoint (2,9%). Trend ten został jeszcze wzmocnił się w erze pracy zdalnej.

Obraz sytuacji potwierdzają także badania przeprowadzone przez polską platformę SMSAPI, wskazujące na wzrost przypadków phishingu SMS i e-mail. 54% respondentów przyznało, że otrzymało wiadomość zawierającą podejrzane treści, a 17,8% padło ofiarą oszustwa internetowego. Niepokojący jest także fakt, iż nawet 46,3% ankietowanych przyznało, że nie wie co to jest i na czym polega phishing.

Branże najbardziej dotknięte phishingiem

Największej liczby prób phishingu (27,8%), jak i największego wzrostu liczby ataków tego typu (aż 393% rok do roku), doświadczył sektor finansów i ubezpieczeń, podaje Zscaler ThreatLabz 2024 Phishing Report. Rosnące uzależnienie od cyfrowych platform finansowych zapewnia cyberprzestępcom szerokie możliwości prowadzenia kampanii phishingowych i wykorzystywania luk w zabezpieczeniach.

Innym ulubionym celem phishingu okazuje się branża produkcyjna. Firmy z tej branży dotknęło ogółem 21% wszystkich prób phishingu, co oznacza wzrost o  31% w skali roku.

W miarę jak procesy produkcyjne stają się coraz bardziej zależne od systemów cyfrowych i wzajemnie połączonych technologii, rośnie ryzyko ich wykorzystania przez podmioty szukające nieautoryzowanego dostępu lub zakłóceń. Jak czytamy w raporcie, „to nie przypadek, że branża produkcyjna, finansowa i ubezpieczeniowa są wiodącymi we wdrażaniu narzędzi sztucznej inteligencji, napędzając łącznie 35% transakcji AI/ML w ramach Zero Trust Exchange”. Adaptacja technologii AI i systemów opartych na niej, nie tylko rozszerza łączność (a tym samym powierzchnię ataku) w sieciach i urządzeniach, ale czyni je jeszcze bardziej lukratywnymi celami dla programów phishingowych, biorąc pod uwagę zwiększoną zależność od danych.

Czwarta w rankingu celów phishingu (po sektorze usług z 15,8% prób ataków phishingowych) branża technologiczna (11% ataków typu phishing) odnotowała także wysoki, bo sięgający aż 114% wzrost liczby ataków tego typu. Jak wskazują twórcy badania, prawdopodobnie jest to efektem wczesnego i chętnego przyjęcia GenAI.

Sztuczna inteligencja przynosi zmianę paradygmatu w dziedzinie cyberprzestępczości, szczególnie w przypadku oszustw phishingowych. Za pomocą generatywnej AI, cyberprzestępcy mogą bowiem szybko tworzyć przekonujące kampanie phishingowe, cechujące się wyższym poziomem złożoności i skuteczności. Jak wskazują specjaliści ThreatLabz, hakerzy wykorzystujący algorytmy AI, mogą szybko analizować rozległe zbiory danych, aby dostosować swoje ataki i łatwo replikować legalną komunikację oraz strony internetowe. Tak wysoki poziom wyrafinowania ataków phishingowych, może pozwolić cyberprzestępcom oszukać nawet najbardziej świadomych użytkowników. Trzeba więc bliżej przyjrzeć się nowemu „lądowi” na mapie cybersecurity – generatywnej sztucznej inteligencji.

GENERATIVE AI

Technologia ta przebojem weszła do głównego nurtu. Obecnie większość organizacji aktywnie ją wdraża i przekształca swoje biznesy. Według badania 2024 State of Security Report firmy Splunk, nawet 93% respondentów zadeklarowało wdrożenie rozwiązań opartych na Generative A.

Wielu specjalistów ds. bezpieczeństwa, już teraz postrzega GenAI jako krytyczny punkt innowacji – 46% z nich deklaruje, że będzie „przełomem” dla ich zespołów ds. bezpieczeństwa. Przy czym 50% respondentów twierdzi, że ich organizacja jest w trakcie opracowywania formalnego planu wykorzystania GenAI w cyberbezpieczeństwie. Z kolei 34% organizacji nie ma jeszcze wdrożonej polityki generatywnej sztucznej inteligencji.

Jak podkreślają autorzy raportu, zespoły ds. bezpieczeństwa muszą więc zrównoważyć szybkość innowacji z przemyślanymi i zrównoważonymi procesami. Na pewno nie będzie to łatwe – zwłaszcza, że 65% respondentów przyznaje, iż brakuje im wiedzy na temat generatywnej sztucznej inteligencji.

Możliwości GenAI

Twórcy 2024 State of Security Report, starają się ustalić czy technologia GenAI będzie dla sektora Cybersecurity głównie „wrogiem” czy jednak „przyjacielem”? Jak się okazuje, postrzeganie jej szybko ewoluuje. Niecały rok temu, tylko 17% respondentów w raporcie CISO firmy Splunk stwierdziło, że generatywna AI przyniesie korzyści specjalistom ds. cyberbezpieczeństwa. Obecnie tego samego zdania jest już niemal połowa respondentów (43%). Może to też wynikać z faktu, że o ile potencjał cyberataków opartych na generatywnej sztucznej inteligencji pozostaje możliwy, to nadal nie jest on wykorzystywany.

Zwolennicy GenAI zgadzają się natomiast z tym, że technologia ta nadaje się do użycia w cyberbezpieczeństwie, najważniejsze zastosowania to:

• Analiza zagrożeń (39% wskazań) – poprzez szybkie agregowanie różnorodnych danych, GenAI może zapewnić analitykom bezpieczeństwa bogate w kontekst alerty. Duże modele językowe (LLM) pomagają dostarczać takie informacje z szybkością i wydajnością poza ludzkimi możliwościami.
• Identyfikacja ryzyka (39%) – LLM mogą określać wagi dla poszczególnych technik opisanych w MITRE ATT&CK, co oszczędzi pracę analityków bezpieczeństwa i umożliwi szybszą oraz głębszą analizę.
• Wykrywanie zagrożeń i ustalanie priorytetów (35%) – Generatywna AI może równolegle przetwarzać wiele zagrożeń z większą dokładnością.
• Podsumowywanie różnego rodzaju danych na temat bezpieczeństwa (34%) – GenAI pomoże zaoszczędzić czas zespołów ds. bezpieczeństwa.

Ponadto, 86% organizacji uważa, że generatywna AI pomoże im w zatrudnieniu większej liczby początkujących pracowników w dziedzinie cyberbezpieczeństwa, a 58% twierdzi, że umożliwi ich szybsze wdrożenie do pracy na poziomie podstawowym. 90% respondentów uważa bowiem, że początkujący pracownicy mogą polegać na GenAI, która pomoże im rozwinąć swoje umiejętności w SOC, przykładowo wspomagając przy pisaniu skryptów w Pythonie czy tworzeniu środowisk testowych.

GenAI ma mieć też wpływ na pracę doświadczonych już specjalistów ds. bezpieczeństwa. Otóż 65% ankietowanych uważa, że technologia ta wpłynie na ich produktywność, umożliwiając łatwiejsze syntetyzowanie wiadomości, przyśpieszanie badań i inżynierię wykrywania. Jednocześnie około połowa respondentów (49%) twierdzi, że generatywna sztuczna inteligencja wyeliminuje niektóre istniejące specjalizacje związane z cybersecurity.

Zagrożenia związane z GenAI

Zespoły ds. bezpieczeństwa obawiają się również tego, że generatywna AI jest kolejnym narzędziem w arsenale cyberprzestępców. 45% respondentów uważa, że z technologii tej w większym stopniu skorzystają hakerzy niż ludzie z sektora cybersecurity, a 77% ankietowanych twierdzi nawet, że istotnie zwiększa ekspozycję na ataki.

Jak wskazują autorzy badania, istnieje duże prawdopodobieństwo, że zamiast natychmiastowej fali nowych ataków, generatywna sztuczna inteligencja wzmocni zagrożenia, z którymi specjaliści ds. cyberbezpieczeństwa już mają do czynienia. 32% ankietowanych najbardziej obawia się cyberprzestępców wykorzystujących GenAI do optymalizacji istniejących ataków, np. tworzenia bardziej realistycznych wiadomości phishingowych czy udoskonalania złośliwych skryptów. Według ekspertów Splunk, mniej wykwalifikowani hakerzy będą wykorzystywać tę technologię do zwiększania liczby ataków socjotechnicznych. Z kolei 28% respondentów obawia się, że generatywna AI pomoże cyberprzestępcom zwiększyć ogólną liczbę istniejących ataków.

Należy też pamiętać, że nie wszystkie zagrożenia związane ze sztuczną inteligencją pochodzą ze źródeł zewnętrznych. 77% respondentów zgadza się, że zwiększonemu wykorzystaniu GenAI w organizacjach towarzyszyć będzie więcej wycieków danych. Jednak tylko 49% aktywnie przeciwdziała dziś wyciekom danych wynikającym z większego użycia GenAI. Jak wskazują autorzy raportu, być może dlatego, że nie ma jeszcze zbyt wielu rozwiązań, które kontrolowałyby przepływ danych do i z narzędzi generatywnej sztucznej inteligencji. Brak edukacji w zakresie GenAI tylko potęguje te obawy. Podczas gdy 65% dyrektorów ds. bezpieczeństwa przyznaje, że nie rozumie jej w pełni, można zakładać, że jeszcze gorzej wygląda to wśród osób zajmujących stanowiska niezwiązane z bezpieczeństwem. Specjaliści Splunk, przestrzegają więc, że bez odpowiedniej edukacji, użytkownicy końcowi będą częściej popełniali błędy, takie jak umieszczanie wrażliwych danych firmowych w LLM. A to automatycznie sprawi, że zespoły ds. bezpieczeństwa znajdą się na celowniku.

Ryzyka związanie z wykorzystaniem GenAI przez cyberprzestępców:

• 32% – zwiększenie skuteczności istniejących ataków,
• 28% – zwiększenie skali istniejących ataków,
• 23% – tworzenie nowych rodzajów ataków,
• 17% – rozpoznanie.

Uczenie maszynowe pozwoli lepiej zrozumieć GenAI

Nikt nie jest w stanie z pełnym przekonaniem odpowiedzieć na pytanie, dokąd zmierza rozwój Generative AI. Jednak 93% respondentów w badaniu Splunk uważa, że doświadczenia zespołów ds. cyberbezpieczeństwa związane z wykorzystaniem tradycyjnych form sztucznej inteligencji, takich jak uczenie maszynowe, wpłynie na ich przyszłe podejście do tej technologii. Wiele organizacji korzysta już dzięki zwiększonej produktywności, jaką zapewniają narzędzia machine learning, a 92% z nich uzyskało dzięki nim znaczące korzyści. Niestety, uczenie maszynowe nie jest doskonałe – 73% respondentów uważa, że narzędzia z tradycyjnymi możliwościami AI i ML mogą generować fałszywe wyniki, a 91% twierdzi, że wymagają one dostrojenia.

Podobnie rzecz ma się z generatywną sztuczną inteligencją, która wymaga nadzoru, aby zapobiec ewentualnym halucynacjom, które będą obniżały jej wartość. Te organizacje, które zbudowały już solidne fundamenty w oparciu o tradycyjną AI i machine learning prawdopodobnie znajdą się na szybkiej ścieżce w podróży z GenAI, podsumowują autorzy raportu.

Źródło: Raporty i badania CERT Orange Polska, Fortinet, SMSAPI, Sophos, Splank, ThreatLabz oraz Veeam.