Narzędzia wykorzystywane do cyberataków przeprowadzanych na firmy w 2015 r. różniły się od tych stosowanych w odniesieniu do użytkowników domowych – tak wynika z dokonanego przez Kaspersky Lab przeglądu zagrożeń korporacyjnych na przestrzeni ostatnich 12 miesięcy. Zwrócono uwagę na intensywniejsze wykorzystywanie szkodliwego oprogramowania wyposażonego w podpisy cyfrowe, dzięki czemu zagrożenia mogły dłużej pozostawać w ukryciu. Eksperci z Kaspersky Lab zaobserwowali również stały wzrost liczby użytkowników korporacyjnych atakowanych przy użyciu oprogramowania szyfrującego dane i żądającego zapłacenia okupu za przywrócenie dostępu (tzw. ransomware).
Eksperci z Kaspersky Lab ustalili, że w 2015 r. znacznie ponad połowa (58%) komputerów firmowych była celem co najmniej jednej próby infekcji przy użyciu szkodliwego oprogramowania, co stanowi wzrost o trzy punkty procentowe w stosunku do 2014 r. Jeden na trzy (29%) komputery firmowe był co najmniej jeden raz narażony na atak internetowy; natomiast wykorzystywanie w atakach standardowych aplikacji biurowych było trzykrotnie częstsze niż w przypadku użytkowników domowych.
41% komputerów firmowych było celem zagrożeń lokalnych, których źródłem były np. zainfekowane pamięci USB lub inne nośniki wymienne. Eksperci zauważyli również 7% wzrost udziału szkodliwych programów wykorzystujących luki w zabezpieczeniach (tzw. exploitów) tworzonych z myślą o platformie Android, co potwierdza rosnące zainteresowanie cyberprzestępców danymi przechowywanymi na urządzeniach mobilnych pracowników. Ataki te zostały dokładnie zaplanowane – cyberprzestępcy zbadali wcześniej kontakty i dostawców atakowanej firmy, a nawet prywatne zainteresowania i aktywność internetową poszczególnych pracowników. Wiedza ta została następnie wykorzystana do zidentyfikowania legalnych stron internetowych, które miały zostać zainfekowane i rozprzestrzeniać szkodliwe oprogramowanie, przy czym ataki często powtarzały się na przestrzeni czasu.
Polowanie na pieniądze
W 2015 r. cyberprzestępcy i ugrupowania APT poświęcali wiele uwagi organizacjom oferującym usługi finansowe, takim jak banki, fundusze inwestycyjne oraz giełdy i kantory, w tym te obsługujące kryptowalutę.
Przykładem takiego ataku był Carbanak, w którym szkodliwe oprogramowanie przeniknęło do sieci banków, wyszukując krytyczne systemy, które pozwoliłoby mu pobrać pieniądze. W jednym skutecznym ataku cyberprzestępcy byli w stanie ukraść od 2,5 do 10 milionów dolarów. Ugrupowanie cyberszpiegowskie Wild Neutron również polowało przez większość 2015 r. na branżę inwestycyjną oraz organizacje obsługujące kryptowalutę Bitcoin i firmy zajmujące się połączeniami i przejęciami.
Dywersyfikacja
Eksperci z Kaspersky Lab zaobserwowali rosnącą dywersyfikację celów ataków. Przykładem może być chińskie ugrupowanie Winnti, które w 2015 r. zmieniło swoje cele – z firm zajmujących się tworzeniem gier wideo na organizacje z branży farmaceutycznej i telekomunikacyjnej.
„Przyszły krajobraz cyberzagrożeń dla firm obejmuje nowy wektor ataków – infrastrukturę, ponieważ niemal wszystkie cenne dane organizacji są przechowywane na serwerach w centrach danych. Spodziewamy się również bardziej rygorystycznych standardów bezpieczeństwa organów regulacyjnych, co może przyczynić się do większej liczby aresztowań cyberprzestępców w 2016 r.” – powiedział Jurij Namiestnikow, starszy badacz ds. bezpieczeństwa IT, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Kradzież w punkcie sprzedaży
Innym celem ataków w 2015 r. były terminale obsługujące karty płatnicze (PoS – Point-Of-Sale), wykorzystywane przez detalistów oraz inne organizacje mające do czynienia z konsumentami – produkty firmy Kaspersky Lab zablokowały ponad 11 500 prób włamania się do urządzeń PoS. Eksperci z Kaspersky Lab zidentyfikowali dziesięć rodzin szkodliwych programów stworzonych w celu kradzieży danych z terminali PoS, z czego siedem pojawiło się po raz pierwszy w 2015 r.
Wzrost liczby programów ransomware
W 2015 r. podwoiła się liczba ataków szkodliwych programów szyfrujących dane i żądających zapłacenia okupu za przywrócenie dostępu – rozwiązania Kaspersky Lab wykryły takie zagrożenia na ponad 50 tysiącach komputerów firmowych. Być może wynika to z tego, że okup otrzymany od organizacji może być znacznie wyższy niż od osób indywidualnych. W przypadku firm istnieje również większe prawdopodobieństwo zapłacenia okupu. Wiele organizacji po prostu nie jest w stanie funkcjonować, jeśli ich informacje, znajdujące się na kilku krytycznych komputerach lub serwerach, zostaną zaszyfrowane i będą niedostępne.
„Organizacje, które padły ofiarą oprogramowania ransomware, mogą otrzymać żądanie okupu w zamian za powstrzymanie ataku DDoS, odszyfrowanie plików lub zachowanie poufności skradzionych informacji. Warto pamiętać, że mimo zapłaconego okupu cyberprzestępcy nie zawsze honorują umowę. Dlatego ofiary takich ataków powinny niezwłocznie kontaktować się z organami ścigania i ekspertami ds. bezpieczeństwa” – dodał Jurij Namiestnikow.
Kaspersky Lab zaleca firmom, aby podjęły działania w celu ograniczenia ryzyka i rozszerzyły swoją wiedzę na temat najnowszych zagrożeń. Podstawowe zasady bezpieczeństwa w sieciach korporacyjnych nie zmieniają się: należy prowadzić szkolenia dla pracowników, ustanowić solidne procesy bezpieczeństwa oraz w pełni wykorzystywać nowe technologie i metody, ponieważ każda dodatkowa warstwa ochrony zmniejsza ryzyko skutecznego ataku na sieć.
W celu zminimalizowania ryzyka infekcji oprogramowaniem ransomware firmy powinny stosować ochronę przed szkodliwymi programami wykorzystującymi luki w zabezpieczeniach systemów operacyjnych i aplikacji, a także zadbać o to, aby ich rozwiązania bezpieczeństwa były wyposażone w metody pozwalające na identyfikację szkodliwego kodu na podstawie działań wykonywanych w systemie. Przykładem takiej technologii jest Kontrola systemu wbudowana w produkty Kaspersky Lab.
źródło: Kaspersky Lab
