Fortinet przedstawił najnowszą edycję publikowanego co pół roku dokumentu „Global Threat Landscape Report”. Krajobraz cyfrowych zagrożeń oraz obszar w przedsiębiorstwach, który może zostać zaatakowany, stale się zmieniają, a zdolność cyberprzestępców do projektowania i dostosowywania swoich technik szkodliwych działań do tego ewoluującego środowiska przez cały czas stanowi poważne zagrożenie dla przedsiębiorstw każdej wielkości, niezależnie od branży i regionu geograficznego.
Najważniejsze informacje z raportu obejmującego drugą połowę 2022 r.:
- Ewolucja dystrybuowanego na masową skalę złośliwego kodu typu wiper przez cały czas pokazuje destrukcyjny charakter cyberataków.
- Nowe metody śledcze pozwalają menedżerom na stanowisku CISO na priorytetyzację działań ograniczających ryzyko i minimalizację obszaru aktywnych ataków.
- Odnotowywany jest najwyższy poziom zagrożenia związanego z atakami ransomware i nie ma dowodów wskazujących, iż ich tempo spada w skali globalnej. Usługowy model Ransomware-as-a-Service (RaaS) przyczynia się do wzrostu ryzyka pojawiania się nowych wariantów.
- Najbardziej rozpowszechnione złośliwe oprogramowanie funkcjonowało przez ponad rok i było poddawane ewolucji na szeroką skalę, co podkreśla skuteczność kodu oraz opłacalność jego ponownego wykorzystania.
- Log4j przez cały czas jest wykorzystywany w wielu przedsiębiorstwach we wszystkich regionach geograficznych i branżach, a zwłaszcza w placówkach technologicznych, rządowych i edukacyjnych.
Ataki typu wiper rozprzestrzeniały się na szeroką skalę w 2022 roku
Na początku 2022 roku, gdy rozpoczęła się wojna rosyjsko-ukraińska, FortiGuard Labs odnotował obecność kilku nowych rodzajów wiperów, które mogły początkowo zostać opracowane i zastosowane na zlecenie agencji rządowych. W dalszej części roku tego typu złośliwe oprogramowanie rozszerzyło swój zakres geograficzny, jak też stopień aktywności – w IV kwartale odnotowano ich o 53% więcej niż w III kwartale. Niestety, nie wydaje się, aby intensywność wykorzystania wiperów miała w najbliższym czasie ulec spowolnieniu. Oznacza to, iż potencjalnym celem może być każde przedsiębiorstwo, a nie tylko instytucje z siedzibą w Ukrainie lub okolicznych krajach.
W drugiej połowie 2022 r. mniej niż 1% wszystkich zaobserwowanych luk odkrytych w dużych przedsiębiorstwach znajdowało się na urządzeniach końcowych i było aktywnie wykorzystywanych do ataku, co daje menedżerom na stanowisku CISO czytelny obraz ryzyka dotyczącego poszczególnych obszarów oraz wskazuje, gdzie powinny być podjęte priorytetowe wysiłki związane z łataniem luk w celu jego minimalizacji.
Cyberprzestępczość motywowana finansowo
Z przeprowadzonych przez FortiGuard Labs badań dotyczących reagowania na incydenty wynika, iż cyberprzestępczość motywowana finansowo była przyczyną największej liczby incydentów (73,9%), zaś na drugim miejscu znalazło się cyfrowe szpiegostwo (13%). W całym 2022 roku wśród cyberprzestępstw motywowanych finansowo aż 82% wiązało się z atakami ransomware lub wykorzystaniem innych złośliwych skryptów, co pokazuje, iż tego typu zagrożenia przez cały czas pozostają popularne, między innymi za sprawą oferowanych w dark webie usług Ransomware-as-a-Service (RaaS).
Ponowne wykorzystanie kodu przez cyberprzestępców
Większość przeanalizowanego przez FortiGuard Labs złośliwego kodu w drugiej połowie 2022 r. miała więcej niż rok. Wśród próbek znalazły się różne warianty trojana Emotet, co umożliwiło skrupulatną analizę trendu zapożyczania kodu i jego ponownego wykorzystywania. Badanie to wykazało, iż Emotet został poddany znacznej ewolucji, w wyniku której powstało aż sześć jego wariantów. Wynika z tego, iż cyberprzestępcy nie tylko wprowadzają mechanizmy automatyzujące zagrożenia, ale również w aktywny sposób modernizują kod, aby uczynić go jeszcze skuteczniejszym.
Aktywność starszych botnetów
Oprócz ponownego wykorzystywania kodu przeciwnicy również robią użytek z istniejącej infrastruktury botnetowej oraz zagrożeń starszego typu w celu maksymalizacji swojego zysku.
Inżynierowie FortiGuard Labs podczas swoich badań odkryli, iż wiele sieci botnetów nie jest nowych. Na przykład, aktywność botnetu Morto, który został po raz pierwszy zaobserwowany w 2011 r., gwałtownie wzrosła pod koniec 2022 r. A inne, takie jak Mirai i Gh0st.Rat, przez cały czas są rozpowszechnione we wszystkich regionach. Co zaskakujące, z pięciu największych obserwowanych botnetów tylko RotaJakiro pochodzi z obecnej dekady.
Chociaż może wydawać się kuszące, aby zakwalifikować starsze zagrożenia jako przestarzałe, przedsiębiorstwa ze wszystkich branż stale powinny zachowywać czujność. Te „stare” botnety nie bez powodu wciąż są rozpowszechnione: są przez cały czas bardzo skuteczne. Cyberprzestępcy posiadający dostęp do istniejącej infrastruktury botnetów będą przez cały czas ją wykorzystywać oraz przekształcać w coraz bardziej uporczywe wersje, ponieważ jest to opłacalne.
W drugiej połowie 2022 r. znaczącym celem botnetu Mirai byli w szczególności dostawcy zarządzanych usług bezpieczeństwa (MSSP), branża telekomunikacyjna oraz produkcyjna, która jest znana z szerokiego wykorzystania technik operacyjnych (OT). Cyberprzestępcy podejmują skoordynowane wysiłki na szeroką skalę, aby atakować podmioty z tych branż sprawdzonymi metodami.
Narzędzie Log4j przez cały czas jest powszechnie wykorzystywane
Nawet przy całym rozgłosie, jaki narzędzie Log4j uzyskało w 2021 r. i na początku 2022 r., znaczna liczba przedsiębiorstw przez cały czas nie załatała go lub nie zastosowała odpowiednich zabezpieczeń, aby ochronić własną infrastrukturę przed jedną z najbardziej godnych uwagi luk w historii.
W drugiej połowie 2022 roku Log4j był przez cały czas aktywnie wykorzystywany we wszystkich regionach i był drugim najpopularniejszym celem ataku. W środowiskach 41% przedsiębiorstw, które były analizowane przez FortiGuard Labs, wykryto aktywność Log4j, co pokazuje, jak powszechne pozostaje wykorzystujące tę lukę zagrożenie Log4Shell. Apache Log4j był najbardziej rozpowszechniony w placówkach technologicznych, rządowych i edukacyjnych, co nie powinno dziwić, biorąc pod uwagę popularność tego systemu open-source.
Pilna jest potrzeba uświadamiania użytkowników
Wśród przeanalizowanych w module sandbox najważniejszych ośmiu taktyk i technik wykorzystywanych przez cyberprzestępców w celu uzyskania dostępu do systemów przedsiębiorstw we wszystkich regionach na świecie najpopularniejszą taktyką okazała się „drive-by-compromise”, czyli dostarczanie przez włamanie. Uzyskują oni dostęp do systemów ofiar głównie wtedy, gdy niczego niepodejrzewający użytkownik przegląda internet i nieumyślnie pobiera złośliwy kod poprzez odwiedzenie zainfekowanej strony internetowej, otwarcie szkodliwego załącznika do wiadomości e-mail lub choćby kliknięcie linku w oknie pop-up. Wyzwanie związane z taką taktyką polega na tym, iż po uzyskaniu dostępu i pobraniu złośliwego kodu często jest już za późno na uniknięcie zainfekowania urządzenia użytkownika, chyba iż stosuje on całościowe podejście do kwestii bezpieczeństwa.