Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2015. Ewolucja cyberzagrożeń w sektorze korporacyjnym

Tagi:

Po koniec 2014 r. opublikowaliśmy prognozy dotyczące ewolucji świata zagrożeń cyfrowych w 2015 r. Cztery spośród naszych dziewięciu przepowiedni były bezpośrednio związane z zagrożeniami dla firm. Czas pokazał, że nasze prognozy były trafne – trzy spośród czterech zagrożeń dotyczących firm już teraz urzeczywistniły się:

  • Cyberprzestępcy wykorzystują taktyki APT w atakach ukierunkowanych – sprawdziło się
  • Grupy APT ulegają fragmentacji, dywersyfikują ataki - sprawdziło się
  • Eskalacja ataków na bankomaty i terminale PoS - sprawdziło się
  • Ataki na wirtualne systemy płatności – nie sprawdziło się

Przyjrzyjmy się głównym incydentom, jakie miały miejsce w 2015 r., oraz nowym trendom, jakie zaobserwowaliśmy w dziedzinie bezpieczeństwa informacji w środowisku biznesowym.

Rok w liczbach

  • W 2015 r. co najmniej jeden atak z wykorzystaniem szkodliwego oprogramowania został zablokowany na 58% komputerów korporacyjnych. Jest to wzrost o 3 punkty procentowe w stosunku do poprzedniego roku.
  • 29% komputerów – tj. niemal co trzeci komputer firmowy – było celem co najmniej jednego ataku WWW.
  • Szkodliwe oprogramowanie wykorzystujące luki w zabezpieczeniach aplikacji biurowych było wykorzystane trzykrotnie częściej niż w atakach na użytkowników indywidualnych.
  • Wykrywanie szkodliwego oprogramowania w plikach było aktywowane na 26% komputerów firmowych (obiekty były wykrywane na komputerach lub nośnikach wymiennych podłączonych do komputerów: pamięci flash, kartach pamięci, telefonach, zewnętrznych dyskach twardych czy dyskach sieciowych).

Ataki ukierunkowane na firmy: APT i cyberprzestępcy

W 2015 r. odnotowaliśmy wiele ataków APT przeprowadzanych na firmy.  Wykorzystywane narzędzia i metody były bardzo podobne do tych zaobserwowanych podczas analizy wcześniejszych ataków APT, jednak za obecnymi atakami stali cyberprzestępcy, a nie ugrupowania sponsorowane przez rząd. Wykorzystywane metody nie są charakterystyczne dla cyberprzestępców, ale główny cel ich ataków pozostał ten sam: zyski finansowe.   

Kampania Carbanak stała się żywym przykładem tego, że celem ataków ukierunkowanych klasy APT stały się organizacje finansowe. Kampanię tę można określić jako napad na bank w dobrej wierze w erze cyfrowej: cyberprzestępcy przeniknęli do sieci banku, szukając krytycznego systemu, który następnie wykorzystali do odprowadzenia pieniędzy. Po kradzieży sporej sumy z banku (od 2,5 miliona do 10 miliona dolarów) przeszli do kolejnej ofiary.   

Większość atakowanych organizacji było zlokalizowanych w Europie Wschodniej. Jednak kampania Carbanak była wymierzona również w cele znajdujące się w Stanach Zjednoczonych, Niemczech oraz Chinach. Ucierpiało do 100 instytucji finansowych na całym świecie, a łączne straty mogły wynosić nawet 1 miliard dolarów. 

business_ksb_2015_eng_1_auto.png

Warto pamiętać, że informacje równie mają dużą wartość, zwłaszcza gdy mogą być wykorzystane podczas zawierania umów lub transakcji na giełdzie: zarówno na giełdzie towarowej, papierów wartościowych jak i walutowej. Przykładem ataku ukierunkowanego, w którym polowano na takie informacje, jest Wild Neutron (znany również jako Jripbot i Morpho). Ta kampania cyberszpiegowska została po raz pierwszy nagłośniona w mediach w 2013 r., gdy jej ofiarą padło kilka znanych firm, w tym Apple, Facebook, Twitter oraz Microsoft. Gdy incydenty te zostały szeroko nagłośnione, osoby stojące za tą kampanią cyberszpiegowską wstrzymały swoje działania. Jednak około rok później Kaspersky Lab zauważył, że Wild Neutron wznowił swoje operacje.     

Nasze badanie wykazało, że kampania ta spowodowała infekcje na komputerach użytkowników w 11 państwach i terytoriach, a mianowicie w Rosji, we Francji, Szwajcarii, Niemczech, Austrii, na Słowenii, w Palestynie, Zjednoczonych Emiratach Arabskich, Kazachstanie, Algierii i Stanach Zjednoczonych. Wśród ofiar znalazły się firmy prawnicze, inwestycyjne, firmy związane z bitcoinami, przedsiębiorstwa i grupy biznesowe zajmujące się transakcjami połączeń i przejęć, firmy IT, firmy z branży opieki zdrowotnej, agencje nieruchomości oraz indywidualni użytkownicy.

Należy zauważyć, że Wild Neutron wykorzystywał certyfikat służący do podpisywania kodu skradziony firmie Acer.

business_ksb_2015_eng_2_auto.png

Skradziony certyfikat Acer w instalatorze Wild Neutron

Trend w kierunku dywersyfikacji ataków APT dobrze ilustruje zmiana celów atakowanych przez chińskie ugrupowanie cyberprzestępcze Winnti. Długo panował pogląd, że Winnti atakował tylko firmy z branży gier komputerowych. Jednak jesienią 2015 r. zaczęły pojawiać się dowody na to, że grupa ta przeprowadziła test swoich narzędzi i metod i próbowała zarobić pieniądze poprzez atakowanie nowych celów. Ich zainteresowanie nie ogranicza się już do branży rozrywkowej, a wśród ostatnich celów znalazły się firmy farmaceutyczne oraz telekomunikacyjne. Analiza nowej fali ataków Winnti pokazała, że rootkit Winnti został podpisany przy użyciu skradzionego certyfikatu, który należał do oddziału dużego konglomeratu japońskiego.   

Kolejną cechą charakterystyczną 2015 r. było zwiększenie zasięgu geograficznego zarówno ataków jak i atakujących. Na przykład, gdy eksperci z Kaspersky Lab badali incydent na Bliskim Wschodzie, natknęli się na aktywność nieznanej wcześniej grupy przeprowadzającej ataki ukierunkowane. Grupa ta, określana jako Desert Falcons, to pierwsze ugrupowanie arabskie, które przeprowadza pełne ataki cyberszpiegowskie. W momencie jej wykrycia liczba jej ofiar wynosiła około 300, a wśród nich znajdowały się organizacje finansowe.

Inna grupa, o nazwie Blue Termite, atakowała organizacje oraz firmy w Japonii:

business_ksb_2015_eng_3_auto.png

Informacje dotyczące ataków ukierunkowanych na firmy zostały zaprezentowane w następujących raportach Kaspersky Lab: Carbanak, Wild Neutron, Winnti, DarkHotel 2015, Desert Falcons, Desert Falcons, Blue Termit, Grabit. Bardziej szczegółowe wyniki badania są dostępne dla użytkowników Kaspersky Intelligence Service.

W wyniku analizy tych ataków zidentyfikowano kilka trendów w ewolucji ataków ukierunkowanych na firmy:

  • Celem ataków cyberprzestępców były organizacje finansowe, takie jak banki, fundusze oraz firmy związane z giełdami, w tym giełdy kryptowaluty.
  • Ataki są szczegółowo zaplanowane. Cyberprzestępcy analizują zainteresowania potencjalnych ofiar (pracowników atakowanej firmy) identyfikując strony, które mogą najprawdopodobniej odwiedzić; badają kontakty atakowanej firmy, sprzęt i dostawców usług.  
  • Informacje zebrane na etapie przygotowawczym są następnie wykorzystywane. Osoby atakujące włamują się do zidentyfikowanych legalnych stron oraz na konta kontaktów biznesowych pracowników atakowanej firmy. Takie strony i konta są wykorzystywane przez kilka godzin w celu rozprzestrzeniania szkodliwego kodu, po czym infekcja zostaje zatrzymana. To oznacza, że cyberprzestępcy mogą powtórnie wykorzystać zhakowane zasoby.  
  • Podpisane pliki i legalne oprogramowanie są wykorzystywane do zbierania informacji z zaatakowanej sieci.
  • Ataki ulegają dywersyfikacji obejmując małe i średnie firmy.
  • Zwiększa się zasięg geograficzny ataków na firmy: atak na dużą skalę w Japonii, wyłonienie się nowych grup APT w państwach arabskich.

Chociaż cyberprzestępcy przeprowadzają stosunkowo niewielką liczbę ataków APT, kierunek ich rozwoju z pewnością będzie miał wpływ na metody i podejścia stosowane przez innych cyberprzestępców podczas ataków na firmy.

Dane statystyczne

Dane statystyczne dotyczące użytkowników korporacyjnych (w tym rozkład geograficzny ataków i rankingi wykrytych obiektów) zwykle są zbieżne ze statystykami dotyczącymi użytkowników indywidualnych. Nie powinno to dziwić, ponieważ użytkownicy biznesowi nie istnieją w odizolowanym środowisku, a ich komputery są celem cyberprzestępców, którzy rozprzestrzeniają szkodliwe oprogramowanie niezależnie od charakteru celu. Tego rodzaju ataki oraz szkodliwe oprogramowanie stanowią większość, podczas gdy ataki ukierunkowane na użytkowników biznesowych wywierają niewielki wpływ na ogólne statystyki.

W 2015 r. na 58% komputerach użytkowników korporacyjnych zablokowano co najmniej jeden atak przy użyciu szkodliwego oprogramowania, co stanowi wzrost o 3 punkty procentowe w stosunku do poprzedniego roku.

Zagrożenia online (ataki WWW)

W 2015 r. niemal co trzeci (29%) komputer w środowisku biznesowym był celem co najmniej jednego ataku WWW.

TOP 10 szkodliwych programów internetowych

Ranking ten zawiera jedynie szkodliwe programy bez uwzględniania oprogramowania adware. Jakkolwiek nachalne i denerwujące dla użytkowników, oprogramowanie wyświetlające reklamy nie powoduje szkód dla komputera.

 

Nazwa*

% unikatowych zaatakowanych użytkowników**

1

Malicious URL

57%

2

Trojan.Script.Generic

24,7%

3

Trojan.Script.Iframer

16,0%

4

Exploit.Script.Blocker

4,1%

5

Trojan-Downloader.Win32.Generic

2,5%

6

Trojan.Win32.Generic

2,3%

7

Trojan-Downloader.JS.Iframe.diq

2,0%

8

Exploit.Script.Generic

1,2%

9

Packed.Multi.MultiPacked.gen

1,0%

10

Trojan-Downloader.Script.Generic

0,9%

*Statystyki te stanowią werdykty wykrywania modułu ochrony przed zagrożeniami WWW. Informacje zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje lokalne dane statystyczne.

** Odsetek procentowy wszystkich ataków WWW na komputery unikatowych użytkowników.

Ranking Top 10 tworzą niemal wyłącznie werdykty przypisane szkodliwym obiektom, które są wykorzystywane w atakach drive-by – downloadery trojanów i exploity.

 

Rozkład geograficzny ataków WWW


business_ksb_2015_eng_4_auto.png

Rozkład geograficzny ataków WWW w 2015 r.

(odsetek zaatakowanych użytkowników korporacyjnych w poszczególnych państwach)

 

Zagrożenia lokalne

Wykrywanie szkodliwego oprogramowania w plikach zostało aktywowane na 26% komputerach użytkowników korporacyjnych. Wykryte obiekty były zlokalizowane na komputerach lub nośnikach wymiennych podłączonych do komputerów, takich jak pamięć flash, karty pamięci, telefony, zewnętrzne dyski twarde i dyski sieciowe.  

TOP 10 szkodliwych programów wykrytych na komputerach użytkowników

Ranking ten zawiera wyłącznie szkodliwe programy bez uwzględnienia oprogramowania adware. Jakkolwiek nachalne i irytujące dla użytkowników, oprogramowanie wyświetlające reklamy nie powoduje szkód na komputerze. 

 

Nazwa*

% unikatowych zaatakowanych użytkowników **

1

DangerousObject.Multi.Generic

23,1%

2

Trojan.Win32.Generic

18,8%

3

Trojan.WinLNK.StartPage.gena

7,2%

4

Trojan.Win32.AutoRun.gen

4,8%

5

Worm.VBS.Dinihou.r

4,6%

6

Net-Worm.Win32.Kido.ih

4,0%

7

Virus.Win32.Sality.gen

4,0%

8

Trojan.Script.Generic

2,9%

9

DangerousPattern.Multi.Generic

2,7%

10

Worm.Win32.Debris.a

2,6%

* Statystyki te są tworzone na podstawie werdyktów wykrywania szkodliwego oprogramowania generowanych przez moduły skanowania “podczas dostępu” i „na żądanie” na komputerach użytkowników produktów Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne. 

** Odsetek indywidualnych użytkowników, na których komputerach moduł antywirusowy wykrył te obiekty, jako odsetek wszystkich zaatakowanych użytkowników.

Pierwsze miejsce zajmują różne szkodliwe programy wykryte z pomocą technologii opartych na chmurze, którym przypisano werdykt: „DangerousObject.Multi.Generic”. Technologie oparte na chmurze mają zastosowanie wtedy, gdy antywirusowe bazy danych nie zawierają jeszcze sygnatur lub heurystyki w celu wykrycia szkodliwego programu, za to informacje o takim obiekcie znajdują się już w opartej na chmurze antywirusowej bazie danych firmy. Gdy będąca klientem firma nie może wysłać statystyk do chmury, wykorzystywany jest zamiast tego Kaspersky Private Security Network, co oznacza, że komputery z sieci mają zapewnioną ochronę z chmury.

Większość pozostałych pozycji w rankingu zajmuje samodzielnie rozprzestrzeniające się szkodliwe oprogramowanie oraz ich komponenty.

Rozkład geograficzny lokalnych zagrożeń

business_ksb_2015_eng_5_auto.png

Rozkład geograficzny wykryć zagrożeń lokalnych w 2015 r.

(odsetek zaatakowanych użytkowników korporacyjnych w poszczególnych państwach)

 

Cechy ataków na firmy

Ogólne statystyki dotyczące użytkowników korporacyjnych nie odzwierciedlają określonych atrybutów ataków przeprowadzanych na firmy; na statystyki większy wpływ ma prawdopodobieństwo infekcji komputera w państwie lub popularność danego szkodliwego programu wśród cyberprzestępców.

Jednak bardziej szczegółowa analiza pokazuje cechy charakterystyczne ataków na użytkowników korporacyjnych:

  • exploity dla luk w zabezpieczeniach wykrytych w aplikacjach biurowych są wykorzystywane trzy razy częściej niż w atakach na użytkowników indywidualnych;
  • wykorzystywanie szkodliwych plików podpisanych przy użyciu ważnych certyfikatów cyfrowych;
  • wykorzystywanie legalnych programów w atakach, dzięki czemu osoby atakujące mogą dłużej pozostać niewykryte.

Zaobserwowaliśmy również szybki wzrost liczby komputerów użytkowników korporacyjnych zaatakowanych przez programy szyfrujące.

W tym kontekście większość przypadków nie stanowi ataków APT: „standardowi” cyberprzestępcy koncentrują się po prostu na użytkownikach korporacyjnych, czasem na konkretnej firmie, która ich interesuje. 

Wykorzystywanie exploitów w atakach na firmy

Ranking podatnych na ataki aplikacji tworzony jest na podstawie informacji dotyczących exploitów zablokowanych przez produkty firmy Kaspersky Lab i wykorzystywanych przez cyberprzestępców, zarówno w atakach WWW jak i za pośrednictwem poczty e-mail, oraz danych dotyczących prób zhakowania lokalnych aplikacji, w tym tych znajdujących się na urządzeniach mobilnych.

business_ksb_2015_eng_6_auto.png

Rozkład exploitów wykorzystywanych w atakach cyberprzestępczych według typu zaatakowanej aplikacji
(użytkownicy korporacyjni, 2015 r.)

business_ksb_2015_eng_7_auto.png

Rozkład exploitów wykorzystywanych w atakach cyberprzestępczych według typu zaatakowanej aplikacji
(użytkownicy indywidualni, 2015 r.)

 

Jeśli porównamy wykorzystywanie exploitów przez cyberprzestępców w celu atakowania użytkowników korporacyjnych i indywidualnych, pierwszą różnicą, jaka rzuca się w oczy, jest to, że exploity dla luk w oprogramowaniu biurowym są wykorzystywane znacznie częściej w atakach przeprowadzanych na firmy. Są one wykorzystywane jedynie w 4% ataków na użytkowników indywidualnych, natomiast jeśli chodzi o ataki na użytkowników korporacyjnych, stanowią 12% exploitów wykrytych w ciągu całego roku.  

Przeglądarki internetowe stanowią aplikacje, które są najczęściej atakowane przez exploity w atakach zarówno na użytkowników indywidualnych jak i korporacyjnych. Przeglądając te statystyki należy zwrócić uwagę na to, że technologie firmy Kaspersky Lab wykrywają exploity na różnych etapach. Wykrywanie stron, z których rozprzestrzeniane są exploity, zaliczane jest do kategorii „Przeglądarki”. Zauważyliśmy, że najczęściej są to exploity dla luk w aplikacji Adobe Flash Player.    

business_ksb_2015_eng_8_auto.png

Wykrywanie exploitów wykorzystywanych w atakach cyberprzestępczych według rodzaju zaatakowanej aplikacji w roku 2014 i 2015

Udział exploitów Javy i PDF zmniejszył się znacznie w stosunku do 2014 r.: odpowiednio o 14 i 8 punktów procentowych. Exploity Javy straciły nieco na swojej popularności, mimo że w badanym roku znaleziono kilka luk zero-day. Wzrósł udział ataków przeprowadzonych z wykorzystaniem luk w oprogramowaniu biurowym (+8 punktów procentowych), przeglądarkach (+9) punktów procentowych, oprogramowaniu Adobe Flash Player (+9 punktów procentowych) oraz oprogramowaniu na system Android (+3 punktów procentowych). 

Badania incydentów naruszenia bezpieczeństwa wykazały, że nawet w atakach ukierunkowanych na korporacje cyberprzestępcy często wykorzystują exploity dla znanych luk. Wynika to z opieszałości środowisk korporacyjnych w instalowaniu odpowiednich łat bezpieczeństwa. Udział exploitów, które wykorzystują luki w zabezpieczeniach aplikacji pod Androida, zwiększył się do 70%, co sugeruje, że cyberprzestępcy coraz bardziej interesują się danymi korporacyjnymi przechowywanymi na urządzeniach mobilnych pracowników. 

Ransomware

Trojany szyfrujące długo uważane były za zagrożenie jedynie dla użytkowników indywidualnych. Obecnie jednak cyberprzestępcy wykorzystujący oprogramowanie ransomware coraz częściej wybierają na swoje cele korporacje.

W 2015 r. rozwiązania firmy Kaspersky Lab wykryły ransomware na ponad 50 000 komputerach w sieciach korporacyjnych, czyli dwukrotnie więcej niż w 2014 r. Trzeba pamiętać, że rzeczywista liczba incydentów jest kilkakrotnie wyższa: statystyki odzwierciedlają tylko wyniki wykryć opartych na sygnaturach i heurystyce, podczas gdy w większości przypadków produkty firmy Kaspersky Lab wykrywają trojny szyfrujące w oparciu o modele rozpoznawania zachowania. 

business_ksb_2015_eng_9_auto.png

Liczba unikatowych użytkowników korporacyjnych zaatakowanych przez trojany szyfrujące w 2014 i 2015 r.

Wzrost zainteresowania firmami zaobserwowany wśród cyberprzestępców wykorzystujących oprogramowanie ransomware wynika z dwóch czynników. Po pierwsze, okup, jaki mogą uzyskać od organizacji jest znacznie wyższy w porównaniu z indywidualnymi użytkownikami. Po drugie, istnieje większa szansa, że okup zostanie zapłacony: niektóre firmy nie są po prostu w stanie kontynuować swoich działań, jeśli ich informacje zostały zaszyfrowane i są niedostępne na krytycznych komputerach i/lub serwerach.

Jednym z najbardziej interesujących wydarzeń w 2015 r. w tej dziedzinie było pojawienie się pierwszego szkodliwego oprogramowania szyfrującego dla Linuksa (produkty firmy Kaspersky Lab wykrywają go pod werdyktem “Trojan-Ransom.Linux.Cryptor”), który atakował strony internetowe, w tym sklepy online. Cyberprzestępcy wykorzystali luki w zabezpieczeniach aplikacji sieciowych w celu uzyskania dostępu do stron internetowych, a następnie wrzucili szkodliwy program na strony szyfrujące dane serwerowe. W większości przypadków, spowodowało to zdjęcie strony z sieci. Za przywrócenie strony cyberprzestępcy żądali okupu w wysokości jednego bitcoina. Szacuje się, że zainfekowanych zostało około 2 000 stron internetowych. Zważywszy na popularność serwerów uniksowych w środowisku biznesowym, należy przyjąć, że w przyszłym roku pojawi się więcej ataków przy użyciu ransomware na platformy inne niż Windows.    

TOP 10 rodzin trojanów szyfrujących

Rodzina

% zaatakowanych użytkowników*

1

Scatter

21

2

Onion

16

3

Cryakl

15

4

Snocry

11

5

Cryptodef

8

6

Rakhni

7

7

Crypmod

6

8

Shade

5

9

Mor

3

10

Crypren

2

 

*Odsetek użytkowników zaatakowanych przy użyciu szkodliwych programów z danej rodziny jako odsetek wszystkich zaatakowanych użytkowników.

Praktycznie wszystkie rodziny oprogramowania ransomware z listy Top 10 żądają okupu w bitcoinach.

Na pierwszym miejscu znajdują się trojany z rodziny Scatter. Szkodniki te szyfrują pliki na dysku twardym i pozostawiają zaszyfrowane pliki z rozszerzeniem vault. Trojany Scatter to wielomodułowe, wielofunkcyjne szkodliwe programy oparte na skrypcie. Rodzina ta szybko ewoluowała w ciągu krótkiego czasu, rozwijając oprócz szyfrowania plików nowe zdolności robaka pocztowego i trojana PSW.

Drugie miejsce zajmuje rodzina programów szyfrujących o nazwie Onion, znana z tego, że jej serwery kontroli są zlokalizowane w sieci Tor. Na trzecim miejscu znajdują się programy szyfrujące z rodziny Cryakl, które zostały napisane w języku Delphi i pojawiły się już w kwietniu 2014 r.

W niektórych przypadkach, istnieje możliwość przywrócenia danych zaszyfrowanych przez takie programy ransomware, zwykle gdy występują jakieś błędy w ich algorytmach. Jednak obecnie nie jest możliwe odszyfrowanie danych, które zostały zaszyfrowane przez najnowsze wersje szkodliwych programów z listy Top 10.

Firmy muszą zrozumieć, że infekcja tego rodzaju szkodliwym oprogramowaniem może zakłócić operacje biznesowe, jeśli na skutek szyfrowania utracone zostaną krytyczne dane biznesowe lub zablokowane zostanie działanie krytycznego serwera. Takie ataki mogą prowadzić do ogromnych strat w porównaniu ze stratami spowodowanymi przez ataki z wykorzystaniem szkodliwego oprogramowania Wiper, które zniszczyło dane w sieciach korporacyjnych.   

Aby zapobiec temu zagrożeniu, należy podjąć szereg działań:

  • zastosować ochronę przed exploitami;
  • dopilnować, aby do produktu bezpieczeństwa zostały włączone metody wykrywania behawioralnego (w produktach firmy Kaspersky Lab zadanie to jest wykonywane w komponencie Kontrola systemu);
  • skonfigurować procedurę wykonywania kopii zapasowej danych.

Ataki na terminale PoS

Bezpieczeństwo terminali PoS (point-of-sale) stanowi kolejną palącą kwestię dla firm, szczególnie dla tych zaangażowanych w działalność handlową. Dowolny komputer, do którego zostało podłączone specjalne urządzenie odczytu kart i który posiada zainstalowane odpowiednie oprogramowanie, może być wykorzystywany jako terminal PoS. Cyberprzestępcy polują na takie komputery, aby zainfekować je szkodliwymi programami umożliwiającymi kradzież danych dotyczących kart bankowych wykorzystywanych do płacenia przy terminalach.      

Produkty bezpieczeństwa firmy Kaspersky Lab zablokowały ponad 11 500 takich ataków na całym świecie. Nasza kolekcja zawiera 10 rodzin szkodliwego oprogramowania, którego celem jest kradzież danych z terminali PoS. Siedem z nich pojawiło się w tym roku. Mimo niewielkiej liczby prób ataków nie należy lekceważyć ryzyka, ponieważ tylko jeden skuteczny atak może doprowadzić do ujawnienia szczegółów dziesiątek tysięcy kart kredytowych. Tak duża liczba potencjalnych ofiar jest możliwa ze względu na to, że właściciele firm i administratorzy systemu nie traktują terminali PoS jako urządzeń wymagających ochrony. W efekcie, zainfekowany terminal może pozostać niezauważony przez dugi czas, podczas którego szkodliwy program będzie wysyłał do cyberprzestępców szczegóły dotyczące kart kredytowych przechodzące przez terminal.     

Problem ten jest szczególnie istotny w krajach, w których nie są wykorzystywane karty z czipami EMV. Stosowanie takiej technologii powinno znacznie utrudnić uzyskiwanie danych niezbędnych do sklonowania kart bankowych, chociaż proces implementacji może zająć sporo czasu. Istnieją jednocześnie pewne minimalne działania, jakie należy podjąć w celu zapewnienia ochrony urządzeniom PoS. Na szczęście, w przypadku tych urządzeń dość łatwo można skonfigurować politykę bezpieczeństwa „domyślnego blokowania”, która blokuje nieznane programy przed domyślnym uruchomieniem.    

Spodziewamy się, że w przyszłości cyberprzestępcy zaczną atakować mobilne urządzenia PoS działające pod kontrolą systemu Android.

Zakończenie

Dane pochodzące z produktów firmy Kaspersky Lab pokazują, że narzędzia wykorzystywane do atakowania firm różnią się od tych stosowanych przeciwko użytkownikom indywidualnym. W atakach na użytkowników korporacyjnych exploity wykorzystujące luki w zabezpieczeniach aplikacji biurowych są wykorzystywane znacznie częściej, szkodliwe pliki są często podpisane przy użyciu ważnych certyfikatów cyfrowych, a cyberprzestępcy próbują wykorzystywać do swoich celów legalne oprogramowanie, tak aby dłużej uniknąć wykrycia. Zauważyliśmy również duży wzrost liczby komputerów użytkowników korporacyjnych atakowanych przez oprogramowanie ransomware. Odnosi się to również do incydentów niezaklasyfikowanych jako ataki APT, w których cyberprzestępcy koncentrują się jedynie na użytkownikach korporacyjnych, a czasem na pracownikach określonych firm.

Wykorzystywanie przez ugrupowania cyberprzestępcze metod APT oraz programów do atakowania firm wynosi ich na nowy poziom i sprawia, że są znacznie bardziej niebezpieczne. Cyberprzestępcy zaczęli wykorzystywać te metody głównie w celu kradzieży ogromnych sum pieniędzy z banków. Mogą stosować te same metody w celu kradzieży pieniędzy firmy z kont bankowych poprzez uzyskiwanie dostępu do jej sieci korporacyjnej.

Podczas przeprowadzania swoich ataków cyberprzestępcy wykorzystują znane luki w zabezpieczeniach – wynika to z tego, że wiele organizacji jest bardzo opieszałych jeśli chodzi o stosowanie aktualizacji oprogramowania na komputerach firmowych. Ponadto, cyberprzestępcy wykorzystują podpisane szkodliwe pliki oraz legalne narzędzia w celu tworzenia kanałów wyprowadzania informacji: narzędzia te obejmują popularne oprogramowanie zdalnej administracji, klienty SSH, oprogramowanie do przywracania haseł itd.

Cyberprzestępcy coraz częściej atakują serwery korporacyjne. Oprócz kradzieży danych zaobserwowano również przypadki wykorzystywania zaatakowanych serwerów w celu przeprowadzania ataków DDoS lub szyfrowania znajdujących się na tych serwerach danych, aby następnie żądać okupu. Ostatnie wydarzenia pokazały, że odnosi się to zarówno do serwerów z systemem Windows jak i Linux.  

Wiele spośród zaatakowanych organizacji otrzymało żądanie zapłacenia okupu w zamian za zatrzymanie trwającego ataku DDoS, odblokowanie zaszyfrowanych danych czy nieujawnienie skradzionych informacji. Gdy organizacja otrzymuje takie żądania, pierwszą rzeczą, jaką powinna zrobić, jest skontaktowanie się z organami ściągania oraz specjalistami ds. bezpieczeństwa komputerowego. Pomimo zapłacenia okupu cyberprzestępcy mogą nie dotrzymać swojej obietnicy, tak jak miało to miejsce w przypadku ataku ProtonMail DDoS attack który trwał jeszcze po zapłaceniu okupu. 

Prognozy

Rosnąca liczba ataków na organizacje finansowe, oszustwa finansowe na rynkach walutowych

W nadchodzącym roku spodziewamy się wzrostu liczby ataków przeprowadzanych na organizacje finansowe jak również różnicy w jakości tych ataków. Oprócz przelewania pieniędzy na własne konta i zamieniania ich na gotówkę, cyberprzestępcy mogą również stosować nowe techniki. Mogą one obejmować manipulacje danymi na platformach handlowych, gdzie prowadzony jest handel zarówno tradycyjnymi jak i nowymi instrumentami finansowymi, takimi jak kryptowaluty.   

Ataki na infrastrukturę

Nawet jeśli trudno przeniknąć do organizacji, obecnie dość powszechne jest przechowywanie przez organizacje swoich cennych danych na serwerach zlokalizowanych w centrach danych zamiast w infrastrukturze znajdującej się w obrębie organizacji. Próby uzyskania nieautoryzowanego dostępu do takich komponentów infrastruktury firmowej, które są utrzymywane przez podmioty zewnętrzne, staną się istotnym wektorem ataków w 2016 roku.  

Wykorzystywanie luk w zabezpieczeniach Internetu Rzeczy w celu przeniknięcia sieci korporacyjnych

Urządzenia w ramach Internetu Rzeczy można znaleźć w niemal każdej sieci korporacyjnej. Badanie przeprowadzone w 2015 r. pokazało, że z urządzeniami tymi wiąże się wiele problemów bezpieczeństwa, które mogą wykorzystać cyberprzestępcy, ponieważ stanowią one wygodny punkt zaczepienia na początkowym etapie penetracji sieci korporacyjnej. 

Bardziej rygorystyczne standardy bezpieczeństwa, współpraca z organami ścigania

W odpowiedzi na wzrost liczby incydentów komputerowych w środowisku biznesowym oraz zmiany w ogólnym krajobrazie cyberzagrożeń organy regulacyjne opracują nowe standardy bezpieczeństwa oraz uaktualnią te już istniejące. Organizacje zainteresowane integralnością i bezpieczeństwem swoich cennych rzeczy cyfrowych będą aktywniej współpracować z organami ścigania lub zostaną skłonione do tego wspomnianymi wyżej standardami. Może to prowadzić do połączenia wysiłków w celu schwytania cyberprzestępców, dlatego w 2016 roku  możemy spodziewać się nowych aresztowań.   

Jakie działania należy podjąć?

W 2015 r. cyberprzestępcy zaczęli aktywnie wykorzystywać metody ataków APT w celu przeniknięcia do sieci firmowych. Mowa tu o rekonesansie, którego celem jest zidentyfikowanie słabych punktów w infrastrukturze korporacyjnej oraz gromadzenie informacji na temat pracowników. Obserwuje się również wykorzystywanie spear phishingu oraz tzw. ataków przy wodopoju, aktywne wykorzystywanie exploitów w celu wykonania kodu oraz uzyskania praw administratora, wykorzystywanie legalnego oprogramowania wraz z trojanami do zdalnej administracji, badanie zaatakowanej sieci oraz wykorzystywanie do szkodliwych celów oprogramowania do przywracania haseł. Wszystko to wymaga rozwoju metod oraz technik mających na celu ochronę sieci korporacyjnych.   

Jeśli chodzi o konkretne zalecenia, na początek należy zapoznać się z 35 najważniejszymi strategiami łagodzenia cyberwłamań, opracowanymi przez Australian Signals Directorate (ASD). Na podstawie wszechstronnej, szczegółowej analizy lokalnych ataków i zagrożeń ASD stwierdził, że co najmniej 85% ukierunkowanych cyberwłamań można złagodzić przy użyciu czterech podstawowych strategii. Trzy z nich dotyczą wyspecjalizowanych rozwiązań bezpieczeństwa. Wśród produktów Kaspersky Lab znajdują się rozwiązania technologiczne odnoszące się do trzech pierwszych głównych strategii.   

Poniżej znajduje się lista czterech podstawowych strategii, które umożliwiają zmniejszenie możliwości przeprowadzenia skutecznego ataku ukierunkowanego:

  • Wykorzystanie białej listy, aby zapobiec uruchomieniu szkodliwego oprogramowania oraz niezatwierdzonych programów
  • Załatanie aplikacji Java, służących do przeglądania PDF-ów, Flash, przeglądarek internetowych oraz aplikacji Microsoft Office
  • Załatanie luk w zabezpieczeniach systemu operacyjnego
  • Ograniczenie przywilejów administratora względem systemów operacyjnych i aplikacji, w oparciu o obowiązki użytkownika.

Szczegółowe informacje dotyczące strategii łagodzenia ASD zawiera artykuł o łagodzeniu zagrożeń (w j. angielskim) dostępny w serwisie Securelist.

Innym istotnym czynnikiem jest wykorzystanie danych dotyczących najnowszych zagrożeń, tj. usług analizy zagrożeń (Kaspersky Lab oferuje np. własne usługi Kaspersky Intelligence Service). Szybka konfiguracja oraz sprawdzenie sieci korporacyjnej przy pomocy tych danych pomoże zapewnić ochronę przed atakami lub wykrycie ataku na wczesnym etapie.

Podstawowe zasady zapewnienia bezpieczeństwa w sieciach korporacyjnych pozostają niezmienione:

  • Szkolenie personelu. Utrzymywanie bezpieczeństwa informacji jest nie tylko zadaniem korporacyjnego działu bezpieczeństwa, ale również obowiązkiem każdego pracownika.
  • Organizacja procedur bezpieczeństwa. Firmowy system bezpieczeństwa musi zapewnić odpowiednią reakcję na ewoluujące zagrożenia.
  • Wykorzystywanie nowych technologii i metod. Każda dodatkowa warstwa ochrony pomaga zmniejszyć ryzyko włamania.