Cyberprzestępcy w ubiegłych latach
W 2021 roku artykuły o cyberprzestępstwach często trafiały na pierwsze strony gazet. Ransomware, grupy cyberprzestępców sponsorowane przez państwa, media społecznościowa a także rosnące uzależnienie od pracy zdalnej sprawiły, że przestępcy posuwają się do coraz odważniejszych działań na większą skalę. W ciągu dwóch lat nastąpił olbrzymi wzrost żądań ransomware. Średnia wartość żądania w 2018 roku wynosiła około 5 000 dolarów, natomiast w 2020 roku wzrosła do 200 000 dolarów. Pokazuje to jak dużą determinację mają cyberprzestępcy oraz jak umiejętnie dostosowują się do zmieniającej się sytuacji. Wychodzą z założenia, że jeśli nie uda im się osiągnąć sukcesu, to należy postarać się zrobić to jeszcze lepiej.
"W ciągu ostatniego roku zaobserwowaliśmy, że cyberprzestępcy są coraz sprytniejsi i szybciej zmieniają swoje taktyki, aby podążać za nowymi schematami działania i nie spodziewamy się, aby w 2022 r. miało się to zmienić" - powiedział Raj Samani, pracownik i Chief Scientist w Trellix. "W obliczu zmieniającego się krajobrazu zagrożeń i ciągłego wpływu globalnej pandemii, niezwykle ważne jest, aby przedsiębiorstwa były świadome trendów w zakresie cyberbezpieczeństwa, aby mogły być proaktywne i zdolne do działania w zakresie ochrony swoich informacji."
Przewidywania firmy Trellix na temat zagrożeń cybernetycznych w 2022 roku
Według firmy Trellix, aby przechytrzyć i pokonać cyberprzestępców oraz zatrzymać wzrost ataków i naruszeń bezpieczeństwa należy postępować tak jak oni, czyli być zawsze w gotowości, dostosowywać się do potrzeb sytuacji, żeby móc przewidzieć ich ruchy. Poniżej zostało przedstawione podejście oraz zmiana sposobu myślenia jakie proponują inżynierowie i architekci bezpieczeństwa Trellix w perspektywie 2022 roku.
Lazarus chce być Twoim znajomym
„Grupy cyberprzestępców sponsorowane przez państwa będą wykorzystywać media społecznościowe, żeby dotrzeć do większej liczby specjalistów z sektora przedsiębiorstw.” Raj Samani
Cyberprzestępcy próbują wykorzystać naszą skłonność do akceptowania zaproszeń od nieznanych kontaktów w social mediach. Dzięki temu stworzyli nowy sposób na dotarcie do wnętrza przedsiębiorstwa. Przykładowo mogą kierować oferty pracy do konkretnych grup odbiorców. Pozwala to ominąć tradycyjne zabezpieczenia i nawiązać kontakt z celami, które są przedmiotem zainteresowania hackerów.
Nie jest to nowe podejście i jest mniej powszechne niż alternatywne kanały. Wymaga większego nakładu pracy (między innymi znalezienie sposobu jak wciągnąć cel w interakcję, zakładanie fałszywych profili itp) niż znalezienie w Internecie innego sposobu wejścia do organizacji. Specjaliści z Trellix przewidują jednak, że wykorzystanie social mediów do włamań może wzrosnąć zarówno za sprawą grup szpiegowskich jak również innych podmiotów, które mogą stanowić zagrożenie bezpieczeństwa poprzez chęć wniknięcia do organizacji w celu osiągnięcia własnych korzyści związanych z działalnością przestępczą.
Państwowe grupy cyberprzestępcze
„Państwa będą zwiększać swoje operacje ofensywne, wykorzystując cyberprzestępców.” Christiaan Beek
Zespół specjalistów Trellix koncentruje się na wywiadzie strategicznym dzięki czemu śledzi działanie, bada oraz monitoruje dane z różnych źródeł. Wszystko po to, aby uzyskać jak najlepszy wgląd w działania związane z zagrożeniami na całym świecie. Coraz częściej łączy się cyberprzestępczość z operacjami prowadzonymi przez państwa. Często tworzone są startupy, które są pod nadzorem wywiadu poszczególnych krajów. Do operacji zaangażowane są firmy-przykrywki oraz inne firmy „technologiczne”.
Przykładem może być maj w ubiegłym roku, kiedy rząd Stanów Zjednoczonych postawił zarzuty czterem obywatelom Chin, którzy pracowali dla państwowych firm-przykrywek. Firmy te miały za zadanie ułatwiać hakerom tworzenie złośliwego oprogramowania tak aby móc zaatakować interesujące ich cele i zdobyć informacje biznesowe i technologiczne oraz tajemnice handlowe. Taka taktyka jest wykorzystywana nie tylko przez Chiny ale także inne kraje, takie jak Iran, Korea Północna i Rosja.
Firma Trellixprzewiduje, że w 2022 roku rozmyją się granice między niezależną cyberprzestępczością a podmiotami państwowymi. W przeszłości konkretne grupy złośliwego oprogramowania były powiązane z poszczególnymi grupami państwowymi. Obecnie wynajmowani są hackerzy do pisania kodu i przeprowadzania takich operacji. Początkowo naruszenie i taktyka może być podobna do „zwykłych” operacji cyberprzestępczych. Ważne jest, aby monitorować co dzieje się dalej i działać szybko. Firmy powinny kontrolować swoją widoczność oraz wyciągać wnioski z taktyk i operacji, które są prowadzone przez podmioty celujące w ich sektor.
Ransomware – ataki w modelu RaaS
„Samodzielne grupy cyberprzestępcze zmienią równowagę sił w eko-królestwie RaaS” John Fokker
W ostatnich latach ataki typu ransomware często widniały w nagłówkach gazet i były uważane jako najprawdopodobniej najbardziej znaczące zagrożenia cybernetyczne. Obecnie coraz bardziej popularny staje się model Ransomware-as-a-Service (RaaS) co otwiera drogę mniej wykwalifikowanym cyberprzestępcom. Również oni mogli się rozwijać i stać się dzięki temu bardzo kompetentnymi cyberprzestępcami. Wpłynęło to na zwiększenie liczby naruszeń i zysków z cyberprzestępczości.
Następstwem ataku Colonial Pipeline popularne fora cyberprzestępców zakazały podmiotom zajmującym się oprogramowaniem ransomware reklamowania się. Przez to grupy RaaS nie mają platformy zewnętrznej gdzie mogłyby się aktywnie rekrutować, pokazywać staż, testować swoje kody binarne przez administratorów lub rozstrzygać spory. Przez ten brak widoczności grupy RaaS mają utrudnione zdobycie wiarygodności a w związku z tym będzie im coraz trudniej utrzymać swoją obecną pozycję w podziemiu.
W ostatnich latach oprogramowanie ransomware wygenerowało miliardy strat dla przedsiębiorstw a zysków dla cyberprzestępców. Można się spodziewać, że jeśli stwierdzą oni, że nie uzyskują „należnych zysków” będą niezadowoleni. Pierwsze oznaki tego zjawiska są widoczne na przykładzie gangu Groove Gang, który oddzielił się od klasycznego RaaS i wyspecjalizował się w wykorzystaniu sieci komputerowych (Computer Network Exfiltration), przejmowaniu poufnych danych oraz - jeśli jest taka potrzeba i jest to opłacalne, współpracy z zespołem zajmującym się oprogramowaniem ransomware w celu zaszyfrowania sieci organizacji.
Firma Trellix przewiduje, że w 2022 roku przesunie się równowaga sił w ekoklimacie RaaS z tych, którzy kontrolują oprogramowanie ransomware na tych, którzy kontrolują sieci ofiar cyberprzestępczości. Należy się spodziewać powstania bardziej samodzielnych grup przestępczych.
Ransomware dla początkujących
„Mniej wykwalifikowani operatorzy nie będą musieli uginać kolan w ramach zmiany władzy w modelu RaaS.” Raj Samani
System RaaS ewoluował poprzez wykorzystanie firm afiliacyjnych – partnerów, którzy mieli nadzieję na udział w zyskach. Obecnie obserwuje się rozbieżności, które pokazują defekty tego niedoskonałego związku.
W przeszłości twórcy ransomware mogli wybierać partnerów i prowadzili coś w rodzaju „rozmów kwalifikacyjnych” aby przeprowadzić ekspertyzę techniczną. Mieli dzięki temu przewagę. Obecnie na rynku pojawiło się więcej graczy ransomware. Specjaliści z firmy Trellix podejrzewają, że najbardziej utalentowani partnerzy są teraz w stanie licytować swoje usługi za większą część zysków i być może żądać większego wpływu na operacje.
Wprowadzenie przeglądania i listowania zasobów Active Directory w oprogramowaniu ransomware DarkSide może mieć na celu usunięcie zależności od technicznej, wyspecjalizowanej wiedzy partnerów. Może to sygnalizować potencjalny powrót do mniej wykwalifikowanych operatorów ransomware, którzy wykorzystują wiedzę zakodowaną przez twórców ransomware.
Jeśli przewidywania się potwierdzą i trudno będzie odtworzyć wiedzę techniczną wykwalifikowanego inżyniera testów penetracyjnych to może to sprawić, że skutki ataków nie będą tak poważne jak w poprzednich latach.
Uważnie obserwuj interfejsy API
„Ruch 5G i IoT pomiędzy usługami API a aplikacjami sprawi, że staną się one coraz bardziej lukratywnym celem” Arnab Roy
Podmioty, które są odpowiedzialne za przeciwdziałanie zagrożeniom zwracają uwagę na statystyki i trendy w przedsiębiorstwach, identyfikując usługi i aplikacje o podwyższonym potencjale ryzyka. Należą do nich aplikacje w chmurze, które są skarbnicą krytycznych dla biznesu danych i możliwości. Kryją się one za interfejsem API co sprawia, że są one zyskownym celem dla podmiotów stanowiących zagrożenie.
Poniżej przedstawimy 5 kluczowych zagrożeń, które według specjalistów z Trellix będą się rozwijać w przyszłości:
- Interfejsy API, które mogą być nieprawidłowo skonfigurowane
- Wykorzystanie nowoczesnych mechanizmów uwierzytelniania
- Ewolucja tradycyjnych ataków złośliwego oprogramowania w kierunku szerszego wykorzystania interfejsów API chmury
- Potencjalne niewłaściwe wykorzystanie interfejsów API do przeprowadzania ataków na dane przedsiębiorstwa
- Wykorzystanie interfejsów API do infrastruktury definiowanej programowo również oznacza potencjalne nadużycia.
W najbliższym czasie opracowanie skutecznego modelu zagrożeń dla interfejsów API i posiadanie mechanizmu kontroli dostępu Zero Trust powinno być priorytetem dla deweloperów zarządzających aplikacjami w chmurze. Dodatkowo należy efektywnie rejestrować zabezpieczenia oraz dane telemetryczne w celu lepszego reagowania na incydenty i wykrywanie złośliwych nadużyć.
Hackerzy będą celować w kontenery aplikacji
„Szersze wykorzystanie kontenerów doprowadzi do przejęcia zasobów punktów końcowych” Mo Cashman
Kontenery stały się platformą dla nowoczesnych aplikacji w chmurze. Organizacje dostrzegły jak duże korzyści niosą - są to między innymi: przenośność, wydajność i szybkość, które mogą skrócić czas wdrożenia i zarządzania aplikacjami. Wpływa to na innowacje w biznesie. Oprócz tych wszystkich korzyści korzystanie z kontenerów wpływa również na zwiększenie obszaru ataku na organizacje.
Nasuwają się dwa pytania. Na jakie techniki należy zwrócić uwagę? Które grupy ryzyka będą celem ataków na kontenery? Eksploracja aplikacji publicznych (MITRE T1190) to technika często wykorzystywana przez grupy APT i Ransomware. Organizacja Cloud Security Alliance (CSA) zidentyfikowała wiele grup zagrożeń związanych z kontenerami, w tym Image, Orchestrator, Registry, Container, Host OS i Hardware.
Według specjalistów z Trellix poniższe grupy zagrożeń będą najczęściej wykorzystywane w najbliższym czasie:
- Zagrożenia związane z orkiestracją: Rosnąca liczba ataków na warstwę orkiestracji, taką jak Kubernetes i powiązane interfejsy API, spowodowana głównie błędną konfiguracją.
- Ryzyko związane z obrazami, w których może być ukryte malware lub rejestrami: Coraz częstsze korzystanie ze złośliwych obrazów źródłowych „wyposażonych” w backdoor w wyniku niewystarczającej kontroli podatności.
- Ryzyko związane z kontenerami: Nasilenie ataków na podatne aplikacje. Rozszerzone wykorzystanie powyższych luk w 2022 roku może doprowadzić do przejęcia zasobów punktu końcowego przez złośliwe oprogramowanie związane z kryptowalutami, kradzieżą danych, uporczywością napastnika oraz przenikania kontenerów do systemu hosta.
Brak troski o zero-days
„Czas przekształcania podatności w działające narzędzia będzie mierzony w godzinach i nic nie można na to poradzić... oprócz wprowadzania poprawek” Fred House
Rok 2021 jest przez wielu uznawany za jeden z najgorszych pod względem ilości ataków na podatności typu zero-days. Zasięg tych ataków, różnorodność aplikacji, których dotyczyły, a w końcu konsekwencje dla organizacji - wszystkie te czynniki były istotne. W perspektywie roku 2022 firma Trellix spodziewa się, że czynniki wpłynął na wzrost dynamiki reakcji organizacji.
Przykładem może być sytuacja z 2020 roku, kiedy okazało się, że około 17000 klientów SolarWinds zostało narażonych na cyberataki, a około 40 z nich zostało następnie zaatakowanych. Szokujący był sam zakres naruszenia. Rok 2021 przyniósł zauważalny wzrost liczby zgłoszeń co nie poszło w parze ze skróceniem czasu reakcji organizacji. Przykładem może posłużyć firma Microsoft, która „załatała” ProxyLogon. Mimo tego podano, że 30 tysięcy serwerów Exchange było nadal podatnych na ataki cybernetyczne. Kolejnym ważnym wydarzeniem dla Exchange stał się ProxyShell. W sierpniu, dzień po prezentacji Blackhatu, która miała na celu opisać luki w serwerze Exchange dnia-0 zostały opublikowane POC z exploitami, z których wszystkie zostały już „załatane” przez Microsoft kilka miesięcy wcześniej.
Analiza danych przechwyconych przez Shodana tydzień po udostępnieniu exploita POC wykazała, że ponad 30 tys. serwerów Exchange nadal jest podatnych na ataki, przy czym dane te mogły nie odzwierciedlać pełnego zakresu (tzn. Shodan nie miał czasu na przeskanowanie całego Internetu). Podsumowując: „łatane na wiosnę”, wykorzystywane na jesieni.
Wniosek jaki się nasuwa – zarówno atakujący jak i specjaliści od spraw cyberbezpieczeństwa będą nadal doskonalić swoje umiejętności. Cyberprzestępcy aż do momentu, gdy w ciągu kilku godzin od ujawnienia luki w zabezpieczeniach będzie można się spodziewać uzbrojonych exploitów i POC. Natomiast pracownicy w zakresie cybersecurity będą dążyli do zwiększonej staranności w zarządzaniu zasobami i szybkiemu wdrażaniu poprawek pomimo potencjalnych zakłóceń w działalności.
Według firmy Trellix mimo tego, że nieuchronnie nadal będziemy świadkami ataków o dużej sile rażenia ich zakres tych będzie się zmniejszał, ponieważ coraz więcej organizacji zdaje sobie sprawę, że lepszą ochronę można uzyskać dzięki zabezpieczeniom, które są w stanie uczyć się i dostosowywać szybciej i skuteczniej niż hackerzy próbujący je infiltrować.
Źródło: https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/2022-threat-predictions.html
Porozmawiaj z naszymi ekspertami
Chcesz dowiedzieć się więcej na ten temat? Zostaw wiadomość lub swój numer telefonu, a my oddzwonimy. Chętnie pomożemy Ci dalej.