Niepokojący, 40% wzrost złośliwego oprogramowania open-source w 2020 roku
Narzędzia cyfrowe niezbędne w czasach dystansu społecznego na czele listy marek, pod które najczęściej podszywali się przestępcy
IBM (NYSE: IBM) Security opublikował raport X-Force Threat Intelligence Index 2021. Dokument pokazuje ewolucję cyberataków w 2020 roku, gdy przestępcy starali się wykorzystać szereg wyzwań społeczno-gospodarczych, biznesowych i politycznych wywołanych pandemią COVID-19. W 2020 roku IBM Security X-Force zaobserwował, że ataki dotyczą firm, na których w dużym stopniu leżał ciężar działań w odpowiedzi na pandemię COVID-19. Należały do nich szpitale, producenci z branży medycznej i farmaceutycznej, a także firmy energetyczne zasilające łańcuch dostaw COVID-19.
Według najnowszego raportu, w minionym roku cyberataki na służbę zdrowia, sektory produkcji i energetyki podwoiły się w stosunku do 2019 roku. Celem atakujących były organizacje, które nie mogły sobie pozwolić na przestoje z uwagi na ryzyko zakłócenia działań medycznych lub krytycznych łańcuchów dostaw. W rzeczywistości produkcja i energetyka były jednymi z najbardziej atakowanych branż w 2020 roku, ustępując jedynie branży finansów i ubezpieczeń. Przyczynił się do tego fakt, że atakujący wykorzystali blisko 50% wzrost liczby „wykrytych” luk w zabezpieczeniach systemów kontroli przemysłowej ICS, od których produkcja i energetyka są silnie uzależnione.
„Pandemia zmieniła to, co dziś uważane jest za infrastrukturę krytyczną, a atakujący zwrócili na to uwagę. Wiele organizacji po raz pierwszy znalazło się na pierwszej linii frontu reagowania – czy to w celu wspierania badań nad COVID-19, podtrzymywania łańcuchów dostaw szczepionek i żywności czy też produkcji środków ochrony osobistej” – powiedziała Karolina Doran, Security Leader for Poland and Baltics. „Ofiary ataków zmieniały się wraz z rozwojem wydarzeń związanych z COVID-19, co po raz kolejny pokazuje zdolność adaptowania się i uporczywego działania cyberprzestępców”.
X-Force Threat Intelligence Index opiera się na spostrzeżeniach i obserwacjach ponad 150 miliardów zdarzeń bezpieczeństwa dziennie w ponad 130 krajach. Ponadto, dane są gromadzone i analizowane z wielu źródeł w ramach IBM, w tym IBM Security X-Force Threat Intelligence and Incident Response, X-Force Red, IBM Managed Security Services oraz z danych dostarczonych przez Quad9 i Intezer, które również przyczyniły się do powstania raportu 2021.
Wybrane wnioski z raportu:
• Cyberprzestępcy zwiększają wykorzystanie złośliwego oprogramowania linuksowego. Przy 40% wzroście złośliwego oprogramowania związanego z Linuksem w ciągu ostatniego roku, według Intezer, oraz 500% wzroście złośliwego oprogramowania w języku Go w pierwszych sześciu miesiącach 2020 roku, atakujący przyspieszają migrację do złośliwego oprogramowania linuksowego, które może łatwiej działać na różnych platformach, w tym w środowiskach chmurowych.
• Pandemia napędza podszywanie się pod znane marki. W roku społecznego dystansu i pracy zdalnej, marki oferujące narzędzia do współpracy, takie jak Google, Dropbox i Microsoft, lub marki e-commerce, takie jak Amazon i PayPal, znalazły się w Top 10 marek pod które w 2020 roku najczęściej podszywali się cyberprzestępcy. YouTube i Facebook, na których konsumenci w ubiegłym roku bardziej polegali jako źródle wiadomości, również znalazły się na szczycie listy. Co ciekawe, siódmą marką w 2020 roku, pod którą podszywali się przestępcy, był debiutujący w zestawieniu Adidas, prawdopodobnie przez zainteresowanie konsumentów liniami sneakersów Yeezy i Superstar.
• Grupy Ransomware zarabiają na zyskownym modelu biznesowym. Oprogramowanie Ransomware było przyczyną prawie co czwartego ataku, na które odpowiedział zespół X-Force w 2020 roku. Ataki ewoluowały agresywnie i obejmowały taktykę podwójnego wymuszenia. Według szacunków X-Force, Sodinokibi – czyli najczęściej występująca grupa ransomware 2020 roku – korzystając z tego modelu mogła liczyć na bardzo wysokie dochody w minionym roku. X-Force szacuje, że grupa zarobiła lekko ponad 123 miliony dolarów w 2020 roku, przy czym około dwie trzecie jej ofiar zapłaciło okup – czytamy w raporcie.
Inwestycje w złośliwe oprogramowanie typu Open-Source zagrażają środowiskom chmury
W czasie pandemii COVID-19 wiele firm starało się przyspieszyć wdrażanie chmury. „Ostatnie badanie Gartnera wykazało, że prawie 70% organizacji korzystających obecnie z usług w chmurze planuje zwiększyć swoje wydatki na chmurę w następstwie zakłóceń spowodowanych przez COVID-19″. Jednak w sytuacji gdy Linux obecnie obsługuje 90% obciążeń w chmurze, a raport X-Force wskazuje na 500% wzrost liczby rodzin złośliwego oprogramowania związanego z Linuksem w ciągu ostatniej dekady, środowiska chmurowe mogą stać się głównym celem ataku.
Wraz ze wzrostem popularności złośliwego oprogramowania typu open-source, IBM ocenia, że atakujący mogą szukać sposobów na zwiększenie swoich zysków – być może obniżając koszty, zwiększając skuteczność i tworząc możliwości skalowania bardziej dochodowych ataków. Raport zwraca uwagę na różne grupy zagrożeń, takie jak APT28, APT29 i Carbanak, kierujące się ku złośliwemu oprogramowaniu open-source. Trend ten będzie akceleratorem dla większej liczby ataków na chmurę w nadchodzącym roku.
Raport sugeruje również, że atakujący wykorzystują rozszerzalną moc obliczeniową, którą zapewniają środowiska chmurowe, przenosząc wysokie koszty za korzystanie z chmury na ofiary ataków, ponieważ Intezer zaobserwował ponad 13% nowego, wcześniej nieobserwowanego kodu w złośliwym oprogramowaniu typu Linux cryptomining w 2020 roku.
Chmury stają się celem ataków i dlatego X-Force zaleca, aby organizacje rozważyły podejście „Zero Trust” w swoich strategiach bezpieczeństwa. Firmy powinny również uczynić poufne przetwarzanie danych kluczowym elementem swojej infrastruktury bezpieczeństwa, aby pomóc chronić najbardziej wrażliwe dane. Poprzez szyfrowanie danych w użyciu, organizacje mogą pomóc zmniejszyć ryzyko ataku, nawet jeśli atakujący jest w stanie uzyskać dostęp do wrażliwych środowisk.
Cyberprzestępcy podszywający się pod znane marki
Raport 2021 roku podkreśla, że cyberprzestępcy najczęściej podszywali się pod marki, którym ufają konsumenci. Uznawana za jedną z najbardziej wpływowych na świecie, marka Adidas, okazała się atrakcyjna dla cyberprzestępców próbujących wykorzystać popyt na produkty firmy, aby skłonić osoby poszukujące modnych modeli obuwia do odwiedzenia złośliwych stron internetowych zaprojektowanych tak, aby wyglądały jak prawdziwe witryny. Gdy użytkownik odwiedzał te pozornie bezpieczne domeny, cyberprzestępcy starali się doprowadzić do oszustw związanych z płatnościami online, kraść informacje finansowe użytkowników, zbierać dane uwierzytelniające użytkowników lub infekować urządzenia ofiar złośliwym oprogramowaniem.
Raport wskazuje, że większość sytuacji podszywania się pod markę Adidas jest związana z liniami produktów Yeezy i Superstar. Sama linia Yeezy przyniosła podobno 1,3 miliarda dolarów w 2019 roku i była jednym z najlepiej sprzedających się sneakersów giganta branży odzieży sportowej. Jest prawdopodobne, że aby osiągnąć zysk wraz z szumem wokół premiery sneakersów na początku 2020 roku, atakujący wykorzystali rosnący popyt na produkty tej marki.
Ataki ransomware były dominujące w 2020 roku
Według raportu, w 2020 roku świat doświadczył więcej ataków ransomware w porównaniu z rokiem 2019, przy czym prawie 60% ataków ransomware, na które zareagował zespół X-Force, wykorzystywało strategię podwójnego wymuszenia, w ramach której osoby atakujące szyfrowały, kradły, a następnie groziły wyciekiem danych, jeśli okup nie zostanie zapłacony. W rzeczywistości, w 2020 roku, 36% naruszeń danych monitorowanych przez X-Force pochodziło z ataków ransomware, które również obejmowały domniemaną kradzież danych, co sugeruje, że naruszenia danych i ataki ransomware zaczynają ze sobą kolidować
Najbardziej aktywnym typem ransomware w 2020 roku był Sodinokibi (znany również jako REvil), odpowiadający za 22% wszystkich zaobserwowanych przez X-Force incydentów ransomware. X-Force szacuje, że Sodinokibi ukradł około 21,6 terabajtów danych, a prawie dwie trzecie ofiar Sodinokibi zapłaciło okup, a około 43% doświadczyło wycieku danych – co według X-Force spowodowało, że grupa Sodinokibi zarobiła w zeszłym roku ponad 123 miliony dolarów.
Podobnie jak w przypadku Sodinokibi, raport wykazał, że najbardziej skuteczne typy ransomware w 2020 roku skupiały się również na kradzieży i wycieku danych, a także tworzeniu karteli ransomware-as-a-service i outsourcingu kluczowych ich operacji do cyberprzestępców, którzy specjalizują się w różnych atakach. W odpowiedzi na te bardziej agresywne ataki ransomware, X-Force zaleca, aby organizacje ograniczyły dostęp do wrażliwych danych i chroniły konta posiadające wysoki priorytet za pomocą zarządzania dostępem uprzywilejowanym (PAM) oraz zarządzania tożsamością i dostępem (IAM).
Dodatkowe wnioski z raportu:
Podatności przewyższają phishing jako najczęstszy wektor infekcji – Raport z 2021 r. ujawnia, że najskuteczniejszym sposobem, w jaki dochodziło do dostępu do środowisk ofiar w zeszłym roku, było skanowanie i wykorzystywanie podatności (35%), przewyższając po raz pierwszy od lat phishing (31%).
Europa odczuwa skutki ataków z 2020 roku – Według raportu, na 31% ataków na które zareagował X-Force w 2020 roku, Europa doświadczyła ich najwięcej, głównie z użyciem oprogramowania ransomware. Ponadto, Europa odnotowała więcej ataków związanych z zagrożeniami wewnętrznymi niż jakikolwiek inny region, dwukrotnie więcej niż Ameryka Północna i Azja łącznie.
Raport zawiera dane zebrane przez IBM w 2020 roku w celu dostarczenia cennych informacji o globalnym obrazie zagrożeń i poinformowania specjalistów ds. bezpieczeństwa o zagrożeniach, które są najbardziej istotne dla ich organizacji.
Raport X-Force Threat Intelligence Index 2021 jest dostępny na stronie: https://www.ibm.biz/threatindex2021
