Stare zagrożenia mogą być odpowiedzialne nawet za 50% incydentów w placówkach rządowych i edukacyjnych

13 marca, 2023

Fortinet przedstawił najnowszą edycję publikowanego co pół roku dokumentu „Global Threat Landscape Report”. Krajobraz cyfrowych zagrożeń oraz obszar w przedsiębiorstwach, który może zostać zaatakowany, stale się zmieniają, a zdolność cyberprzestępców do projektowania i dostosowywania swoich technik szkodliwych działań do tego ewoluującego środowiska nadal stanowi poważne zagrożenie dla przedsiębiorstw każdej wielkości, niezależnie od branży i regionu geograficznego.

Najważniejsze informacje z raportu obejmującego drugą połowę 2022 r.:

  1. Ewolucja dystrybuowanego na masową skalę złośliwego kodu typu wiper nadal pokazuje destrukcyjny charakter cyberataków.
  2. Nowe metody śledcze pozwalają menedżerom na stanowisku CISO na priorytetyzację działań ograniczających ryzyko i minimalizację obszaru aktywnych ataków.
  3. Odnotowywany jest najwyższy poziom zagrożenia związanego z atakami ransomware i nie ma dowodów wskazujących, że ich tempo spada w skali globalnej. Usługowy model Ransomware-as-a-Service (RaaS) przyczynia się do wzrostu ryzyka pojawiania się nowych wariantów.
  4. Najbardziej rozpowszechnione złośliwe oprogramowanie funkcjonowało przez ponad rok i było poddawane ewolucji na szeroką skalę, co podkreśla skuteczność kodu oraz opłacalność jego ponownego wykorzystania.
  5. Log4j nadal jest wykorzystywany w wielu przedsiębiorstwach we wszystkich regionach geograficznych i branżach, a zwłaszcza w placówkach technologicznych, rządowych i edukacyjnych.
 

Ataki typu wiper rozprzestrzeniały się na szeroką skalę w 2022 roku

Na początku 2022 roku, gdy rozpoczęła się wojna rosyjsko-ukraińska, FortiGuard Labs odnotował obecność kilku nowych rodzajów wiperów, które mogły początkowo zostać opracowane i zastosowane na zlecenie agencji rządowych. W dalszej części roku tego typu złośliwe oprogramowanie rozszerzyło swój zakres geograficzny, jak też stopień aktywności – w IV kwartale odnotowano ich o 53% więcej niż w III kwartale. Niestety, nie wydaje się, aby intensywność wykorzystania wiperów miała w najbliższym czasie ulec spowolnieniu. Oznacza to, że potencjalnym celem może być każde przedsiębiorstwo, a nie tylko instytucje z siedzibą w Ukrainie lub okolicznych krajach.

wiper ransomware statystyki
Skala występowania złośliwego oprogramowania typu wiper

W drugiej połowie 2022 r. mniej niż 1% wszystkich zaobserwowanych luk odkrytych w dużych przedsiębiorstwach znajdowało się na urządzeniach końcowych i było aktywnie wykorzystywanych do ataku, co daje menedżerom na stanowisku CISO czytelny obraz ryzyka dotyczącego poszczególnych obszarów oraz wskazuje, gdzie powinny być podjęte priorytetowe wysiłki związane z łataniem luk w celu jego minimalizacji.

Cyberprzestępczość motywowana finansowo

Z przeprowadzonych przez FortiGuard Labs badań dotyczących reagowania na incydenty wynika, że cyberprzestępczość motywowana finansowo była przyczyną największej liczby incydentów (73,9%), zaś na drugim miejscu znalazło się cyfrowe szpiegostwo (13%). W całym 2022 roku wśród cyberprzestępstw motywowanych finansowo aż 82% wiązało się z atakami ransomware lub wykorzystaniem innych złośliwych skryptów, co pokazuje, że tego typu zagrożenia nadal pozostają popularne, między innymi za sprawą oferowanych w dark webie usług Ransomware-as-a-Service (RaaS).  

Ponowne wykorzystanie kodu przez cyberprzestępców

Większość przeanalizowanego przez FortiGuard Labs złośliwego kodu w drugiej połowie 2022 r. miała więcej niż rok. Wśród próbek znalazły się różne warianty trojana Emotet, co umożliwiło skrupulatną analizę trendu zapożyczania kodu i jego ponownego wykorzystywania. Badanie to wykazało, że Emotet został poddany znacznej ewolucji, w wyniku której powstało aż sześć jego wariantów. Wynika z tego, że cyberprzestępcy nie tylko wprowadzają mechanizmy automatyzujące zagrożenia, ale również w aktywny sposób modernizują kod, aby uczynić go jeszcze skuteczniejszym.

Aktywność starszych botnetów

Oprócz ponownego wykorzystywania kodu przeciwnicy również robią użytek z istniejącej infrastruktury botnetowej oraz zagrożeń starszego typu w celu maksymalizacji swojego zysku.

Inżynierowie FortiGuard Labs podczas swoich badań odkryli, że wiele sieci botnetów nie jest nowych. Na przykład, aktywność botnetu Morto, który został po raz pierwszy zaobserwowany w 2011 r., gwałtownie wzrosła pod koniec 2022 r. A inne, takie jak Mirai i Gh0st.Rat, nadal są rozpowszechnione we wszystkich regionach. Co zaskakujące, z pięciu największych obserwowanych botnetów tylko RotaJakiro pochodzi z obecnej dekady.

Chociaż może wydawać się kuszące, aby zakwalifikować starsze zagrożenia jako przestarzałe, przedsiębiorstwa ze wszystkich branż stale powinny zachowywać czujność. Te „stare” botnety nie bez powodu wciąż są rozpowszechnione: są nadal bardzo skuteczne. Cyberprzestępcy posiadający dostęp do istniejącej infrastruktury botnetów będą nadal ją wykorzystywać oraz przekształcać w coraz bardziej uporczywe wersje, ponieważ jest to opłacalne.

W drugiej połowie 2022 r. znaczącym celem botnetu Mirai byli w szczególności dostawcy zarządzanych usług bezpieczeństwa (MSSP), branża telekomunikacyjna oraz produkcyjna, która jest znana z szerokiego wykorzystania technik operacyjnych (OT). Cyberprzestępcy podejmują skoordynowane wysiłki na szeroką skalę, aby atakować podmioty z tych branż sprawdzonymi metodami.

Narzędzie Log4j nadal jest powszechnie wykorzystywane

Nawet przy całym rozgłosie, jaki narzędzie Log4j uzyskało w 2021 r. i na początku 2022 r., znaczna liczba przedsiębiorstw nadal nie załatała go lub nie zastosowała odpowiednich zabezpieczeń, aby ochronić własną infrastrukturę przed jedną z najbardziej godnych uwagi luk w historii.

W drugiej połowie 2022 roku Log4j był nadal aktywnie wykorzystywany we wszystkich regionach i był drugim najpopularniejszym celem ataku. W środowiskach 41% przedsiębiorstw, które były analizowane przez FortiGuard Labs, wykryto aktywność Log4j, co pokazuje, jak powszechne pozostaje wykorzystujące tę lukę zagrożenie Log4Shell. Apache Log4j był najbardziej rozpowszechniony w placówkach technologicznych, rządowych i edukacyjnych, co nie powinno dziwić, biorąc pod uwagę popularność tego oprogramowania open-source.

Pilna jest potrzeba uświadamiania użytkowników

Wśród przeanalizowanych w module sandbox najważniejszych ośmiu taktyk i technik wykorzystywanych przez cyberprzestępców w celu uzyskania dostępu do systemów przedsiębiorstw we wszystkich regionach na świecie najpopularniejszą taktyką okazała się „drive-by-compromise”, czyli dostarczanie przez włamanie. Uzyskują oni dostęp do systemów ofiar głównie wtedy, gdy niczego niepodejrzewający użytkownik przegląda internet i nieumyślnie pobiera złośliwy kod poprzez odwiedzenie zainfekowanej strony internetowej, otwarcie szkodliwego załącznika do wiadomości e-mail lub nawet kliknięcie linku w oknie pop-up. Wyzwanie związane z taką taktyką polega na tym, że po uzyskaniu dostępu i pobraniu złośliwego kodu często jest już za późno na uniknięcie zainfekowania urządzenia użytkownika, chyba że stosuje on całościowe podejście do kwestii bezpieczeństwa.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 3 / 5. Liczba głosów: 2

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]