Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2016. Przegląd roku. Ogólne statystyki dla 2016 roku.


Wprowadzenie

Poproszeni o podsumowanie 2016 roku jednym słowem, wiele osób na świecie – szczególnie z Europy i Stanów Zjednoczonych – mogłoby powiedzieć „nieprzewidywalny”. Na pierwszy rzut oka tak samo można określić cyberzagrożenia w 2016 roku: ogromne botnety złożone z urządzeń, które sparaliżowały znaczną część internetu w październiku; bezustanne ataki hakerskie na znane strony internetowe oraz upublicznianie prywatnych, zhakowanych danych; ataki na banki za pośrednictwem systemu SWIFT, w wyniku których skradziono miliardy dolarów, itp. Jednak wiele z tych incydentów było w rzeczywistości przewidywanych, niekiedy kilka lat wcześniej, przez branżę bezpieczeństwa IT, dlatego należałoby raczej określić je jako „nieuniknione”.    

W 2016 roku oprogramowanie ransomware kontynuowało swój nieprzerwany marsz przez świat – wyłaniały się kolejne nowe rodziny szkodliwego oprogramowania, kolejne modyfikacje, identyfikowano kolejne ataki i ofiary. Jednocześnie pojawił się mały promyk nadziei, na który po części składa się nowa wspólna inicjatywa o nazwie No More Ransom. Kaspersky Lab pisał o rewolucji w dziedzinie oprogramowania ransomware w artykule pt. Temat Roku 2016. Więcej na temat ewolucji i wpływu tego oprogramowania można również przeczytać w tym miejscu.    

W innym obszarze krajobrazu cyberbezpieczeństwa ukierunkowane ataki cyberszpiegowskie, kradzież finansowa, „haktywizm” oraz podatne na ataki sieci połączonych z internetem urządzeń miały pewien udział w tym, że badany rok był tak nerwowy i turbulentny.

Podsumowanie to zawiera przegląd najczęstszych zagrożeń oraz statystyki dotyczące 2016 roku. Pełne dane zostały przedstawione w Przeglądzie i Statystykach. 

W raporcie rozważono również, co te zagrożenia oznaczają dla organizacji próbujących zidentyfikować włamanie lub cyberatak. Jak dobrze firmy są przygotowane na proaktywne zapobieganie i łagodzenie cyberzagrożenia? Co można zrobić, aby im pomóc?

Sześć nowych rzeczy, jakich nauczyliśmy się w tym roku

1. Działalność podziemia charakteryzuje się większą skalą i stopniem wyrafinowania niż kiedykolwiek: xDedic – podejrzana platforma handlowa

W maju wykryliśmy dużą, aktywną cyberprzestępczą platformę handlową o nazwie xDedic. xDedic zawierał wykaz zhakowanych danych uwierzytelniających dostęp do serwera i ułatwiał ich zakup i sprzedaż. W ofercie znajdowało się około 70 000 zhakowanych serwerów – choć późniejsze dane sugerują, że mogło ich być nawet 176 000 – zlokalizowanych w organizacjach na całym świecie. W większości przypadków, prawowici właściciele nie mieli pojęcia, że jeden z ich serwerów został „porwany”, a następnie przekazywany od jednego przestępcy do drugiego.       

xDedic nie jest pierwszym podziemnym rynkiem, stanowi jednak dowód na coraz większą złożoność i wyrafinowanie ekonomicznego ekosystemu czarnego rynku.

„xDedic to marzenie hakerów: upraszcza im dostęp do ofiar, sprawiając, że jest tańszy i szybszy, i otwiera nowe możliwości zarówno dla cyberprzestępców, jak i zaawansowanych graczy na polu zagrożeń”.

GReAT

2. Największy atak finansowy nie dotyczył - jak oczekiwano – giełdy, ale przelewów w systemie SWIFT

Jeden z najpoważniejszych ataków w 2016 roku dotyczył wykorzystania sieci międzybankowej SWIFT (Society for Worldwide Interbank Financial Telecommunication). W lutym 2016 roku hakerzy wykorzystali dane uwierzytelniające SWIFT pracowników Centralnego Banku Bangladeszu, aby wysłać oszukańcze polecenia transakcji do Banku Rezerwy Federalnej w Nowym Jorku, prosząc o przelanie milionów dolarów na różne konta bankowe w Azji. Hakerzy zdołali „zlecić” przelanie 81 milionów dolarów do Rizal Commercial Banking Corporation na Filipinach i dodatkowe 20 milionów dolarów do Pan Asia Banking. Kampania ta została przerwana, gdy bank zauważył literówkę w jednym z poleceń przelewu. Można o tym przeczytać tutaj. W następnych miesiącach na jaw wyszły kolejne ataki na banki z wykorzystaniem danych uwierzytelniających SWIFT.      

3. Infrastruktura krytyczna jest niepokojąco podatna na ataki: kampania BlackEnergy

Na wzmiankę zasługuje kampania BlackEnergy. Chociaż, ściśle mówiąc, miała ona miejsce pod koniec 2015 roku, dopiero na początku 2016 roku ujawnił się pełny wpływ cyber-ataku BlackEnergy na ukraiński sektor energetyczny. Atak miał unikatowy charakter pod względem wyrządzonych szkód. Obejmowały one wyłączenie systemu dystrybucji energii na Ukrainie Zachodniej, wyczyszczenie oprogramowania w atakowanych systemach i przepuszczenie ataku DDoS na serwisy pomocy technicznej dotkniętych firm. Kaspersky Lab wspiera dochodzenie dotyczące kampanii BlackEnergy od 2010 roku poprzez, między innymi, analizę narzędzia wykorzystanego w celu wniknięcia do atakowanych systemów. Nasz raport na ten temat jest dostępny w tym miejscu.      

Aby pomóc organizacjom pracującym z systemami kontroli przemysłowej (ICS) zidentyfikować potencjalne słabe punkty, eksperci z Kaspersky Lab przeprowadzili dochodzenie dotyczące zagrożeń ICS. Wyniki zostały opublikowane w raporcie Krajobraz zagrożeń dla systemów kontroli przemysłowej (j. ang.).

4. Atak ukierunkowany może nie mieć schematu: kampania APT ProjectSauron

W 2016 roku wykryliśmy ProjectSauron: prawdopodobnie wspierane przez rząd ugrupowanie cyberszpiegowskie, które od czerwca 2011 roku kradło poufne dane z organizacji w Rosji, Iranie oraz Ruandzie – jak również w innych krajach. Nasza analiza ujawniła kilka nietypowych cech: np. grupa ta przejęła innowacyjne techniki od innych głównych ugrupowań APT, udoskonalając ich taktyki w celu uniknięcia wykrycia. Co najważniejsze, narzędzia zostały dostosowane do każdego indywidualnego celu, co zmniejszyło ich wartość jako Oznak Infekcji, które mogą pomóc innym ofiarom.

5. Opublikowanie online ogromnej ilości danych może stanowić wpływową taktykę: ShadowBrokers i inne "zrzuty danych"

W 2016 roku miało miejsce wiele znaczących przypadków upublicznienia danych online. Za najbardziej znanym stoi prawdopodobnie ugrupowanie, które określa się jako ShadowBrokers. 13 sierpnia grupa ta uaktywniła się w internecie, twierdząc, że posiada pliki należące do innego ugrupowania APT, Equation Group. Nasze badanie wskazuje na podobieństwa między danymi upublicznionymi przez ShadowBrokers a tymi wykorzystywanymi przez Equation Group. Początkowy „zrzut danych” dotyczył wielu niezgłoszonych luk dnia zerowego, a w ostatnich miesiącach miały miejsce kolejne zrzuty. Długotrwały skutek tej aktywności nie jest znany, ale już teraz wiadomo, że tego rodzaju upublicznienie danych może mieć ogromny i dość niepokojący wpływ na opinię i debatę polityczną.   

W 2016 roku miały miejsce również incydenty naruszenia danych, które dotknęły beautifulpeople.com, Tumblr, forum hakerskie nulled.io, Kiddicare, VK.com, Sage, oficjalne forum DotA 2, Yahoo, Brazzers, Weebly i Tesco Bank – motywy tych ataków obejmowały od chęci uzyskania korzyści finansowych po szantaż dotyczący reputacji. 

6. Aparat fotograficzny może stanowić część globalnej cyberarmii: niezabezpieczony Internet Rzeczy

Urządzenia i systemy połączone z siecią – od domów i pojazdów po szpitale i inteligentne miasta – mają uczynić nasze życie bezpieczniejszym i łatwiejszym. Jednak wiele z nich zostało zaprojektowanych i stworzonych bez uwzględnienia kwestii bezpieczeństwa. Następnie zostały sprzedane ludziom, którzy nie zdają sobie sprawy, jak ważne jest zabezpieczenie takich urządzeń wykraczające poza domyślne fabryczne ustawienia ochrony.   

Jak wiadomo, wszystkie te miliony niezabezpieczonych urządzeń połączonych z siecią stanowią dużą pokusę dla cyberprzestępców. W październiku osoby atakujące wykorzystały botnet złożony z pół miliona urządzeń domowych podłączonych do internetu w celu przeprowadzenia ataku DDoS na Dyn – firmę, która świadczy usługi DNS dla Twittera, Amazona, PayPal, Netflixa i innych organizacji. Świat był w szoku, ale ostrzeżenia o niestabilnym bezpieczeństwie Internetu Rzeczy pojawiały się już od dłuższego czasu.   

Na przykład, w lutym udowodniliśmy, jak łatwo można znaleźć szpital, uzyskać dostęp do jego sieci wewnętrznej i przejąć kontrolę nad urządzeniem MRI - lokalizując dane osobiste dotyczące pacjentów i ich leczenia oraz uzyskując dostęp do systemu plików urządzenia MRI. W kwietniu opublikowaliśmy wyniki naszego badania dotyczącego, między innymi, słabych punktów w zabezpieczeniu czujników sygnalizacji świetlnej miasta oraz inteligentnych terminali biletowych.    

Inne główne zagrożenia

Pomysłowe ataki APT

W lutym informowaliśmy o Operation Blockbuster, wspólnym dochodzeniu przeprowadzonym przez kilka wiodących firm z branży bezpieczeństwa odnośnie działań gangu Lazarus – niezwykle szkodliwego ugrupowania odpowiedzialnego za niszczenie danych.

Adwind to wieloplatformowe, wielofunkcyjne narzędzie zdalnego dostępu (RAT) otwarcie dystrybuowane jako płatna usługa. Za wykorzystywanie tego szkodliwego oprogramowania nalicza się klientowi opłatę. Narzędzie to zasłużyło sobie na wątpliwe miano jednej z największych obecnie platform szkodliwego oprogramowania, która pod koniec 2015 r. posiadała około 1 800 klientów w systemie.      

Ugrupowania APT na całym świecie nadal wykorzystywały fakt, że nie wszyscy instalują niezwłocznie nowe aktualizacje oprogramowania – w maju donosiliśmy, że co najmniej sześć różnych grup w rejonie Azji Pacyfik oraz Dalekiego Wschodu, w tym niedawno zidentyfikowane grupy Danti oraz SVCMONDR, wykorzystywały lukę CVE-2015-2545. Dziura ta umożliwia osobie atakującej wykonanie arbitralnego kodu przy użyciu specjalnie stworzonego pliku obrazu EPS. Łata na tę lukę została opublikowana w 2015 roku.    

Nowe exploity dnia zerowego

Luki dnia zerowego pozostały główną „nagrodą” dla wielu ugrupowań stosujących ataki ukierunkowane.

W czerwcu donosiliśmy o kampanii cyberszpiegowskiej o nazwie kodowej Operation Daybreak zorganizowanej przez ugrupowanie ScarCruft, w której wykorzystywano nieznanego wcześniej exploita dla Adobe Flash Player CVE-2016-1010. Następnie, we wrześniu, wykryliśmy exploita dnia zerowego dla Windowsa, CVE-2016-3393, który był wykorzystywany przez ugrupowanie przestępcze o nazwie FruityArmor w celu przeprowadzania ataków ukierunkowanych.       

Nowe technologie firmy Kaspersky Lab, stworzone w celu identyfikowania i blokowania takich luk, pomogły nam wykryć w sumie cztery luki dnia zerowego w 2016 roku. Pozostałe dwie to luka w Adobe Flash CVE-2016-4171 oraz exploit Windows EoP (Escalation of Privilege) CVE-2016-0165.     

Polowanie na zysk finansowy

Podstępne nakłanianie ludzi do ujawniania osobistych informacji lub instalowania szkodliwego oprogramowania, które następnie przechwytuje szczegóły dotyczące ich konta bankowego online, nadal stanowiło popularną i skuteczną opcję dla cyber-złodziei w 2016 roku. Rozwiązania firmy Kaspersky Lab zablokowały próby uruchomienia takiego szkodliwego oprogramowania na 2 871 965 urządzeniach. Udział ataków wymierzonych w urządzenia z systemem Android zwiększył się ponad czterokrotnie.

Niektóre ugrupowania APT były bardziej zainteresowane zyskiem finansowym niż cyberszpiegostwem. Na przykład, ugrupowanie stojące za trojanem Metel przeniknęło do sieci korporacyjnej banków w celu zautomatyzowania cofania transakcji przy użyciu bankomatów: członkowie gangu mogli następnie wykorzystać karty debetowe w celu wielokrotnej kradzieży pieniędzy z bankomatów, przy czym nie było to widoczne na wyciągu z konta. Pod koniec 2016 roku grupa ta pozostawała aktywna.  

W czerwcu Kaspersky Lab wspierał policję rosyjską w dochodzeniu dotyczącym gangu Lurk. W wyniku współpracy aresztowano 50 podejrzanych, rzekomo zamieszanych w stworzenie sieci zainfekowanych komputerów oraz kradzież ponad 45 milionów dolarów z lokalnych banków, innych instytucji finansowych oraz organizacji komercyjnych.

Podczas dochodzenia badacze zauważyli, że użytkownicy zaatakowani przez Lurka mieli zainstalowane na swoich komputerach oprogramowanie zdalnej administracji Ammyy Admin. To doprowadziło do odkrycia, że oficjalna strona internetowa Ammyy Admin została najprawdopodobniej zhakowana, a na komputery użytkowników oprócz legalnego oprogramowania Ammyy Admin został pobrany trojan.   

Największy słaby punkt: ludzie

W 2016 roku okazało się również, że kampanie ataków ukierunkowanych nie zawsze muszą być zaawansowane technicznie, aby były skuteczne. Ludzie – od niezadowolonych pracowników po złośliwych sabotażystów wewnętrznych – często stanowili najłatwiejszy punkt dostępu dla osób atakujących i ich narzędzi.

W lipcu informowaliśmy o ugrupowaniu o nazwie Dropping Elephant (zwanym również jako „Chinastrats” oraz „Patchwork”). Przy użyciu wysokiej jakości socjotechniki połączonej z kodem starego exploita oraz niektórymi szkodliwymi programami opartymi na PowerShell, ugrupowanie zdołało ukraść poufne dane należące do znanych organizacji dyplomatycznych i gospodarczych mających związek ze stosunkami zagranicznymi Chin.   

Następnie, Operation Ghoul wysyłał e-maile typu spear-phishing, które wyglądały jakby pochodziły z banku w Zjednoczonych Emiratach Arabskich, do kierownictwa wyższego i średniego szczebla licznych organizacji. Wiadomości oferowały rzekomo porady płatnicze banku i miały załączone dokumenty, które wyglądały jakby pochodziły z systemu SWIFT i zawierały szkodliwe oprogramowanie.  

Cyberprzestępcy wykorzystują osoby wewnątrz organizacji, aby uzyskać dostęp do sieci telekomunikacyjnych oraz danych abonentów, rekrutując niezadowolonych pracowników za pośrednictwem kanałów ‘podziemia’ lub szantażując personel przy użyciu kompromitujących informacji uzyskanych z otwartych źródeł”. Raport z analizy zagrożeń dla branży telekomunikacyjnej (j. ang.)

Reklama mobilna

Główne zagrożenia mobilne w 2016 roku obejmowały trojany reklamowe potrafiące uzyskać prawa „na poziomie administratora” lub superużytkownika na zainfekowanym urządzeniu z systemem Android. W efekcie, trojany mogły zrobić niemal wszystko, co chciały. Przykładem może być ukrywanie się w folderze systemowym, co niemal całkowicie uniemożliwia ich usunięcie, oraz ukradkowe instalowanie i uruchamianie różnych aplikacji, które w sposób agresywny wyświetlają reklamy. Zagrożenia te potrafią nawet kupować nowe aplikacje z Google Play.  

Wiele takich trojanów było dystrybuowanych za pośrednictwem sklepu Google Play Store: niektóre z nich zostały zainstalowane ponad 100 000 razy, a jeden - zainfekowana aplikacja Pokemon GO Guide – została zainstalowana ponad 500 000 razy.    

Odnotowaliśmy również przypadek, gdy trojan dla systemu Android zainstalował się, a nawet uaktualnił jako „czysta” (niezawierająca szkodliwego oprogramowania) aplikacja, zanim zaatakował cele przy użyciu zainfekowanej wersji. Inne trojany, w tym Svpeng, wykorzystywały sieć reklamową Google AdSense w celu dystrybucji.    

Ponadto, niektóre trojany znalazły nowe sposoby na obejście funkcji bezpieczeństwa systemu Android – obejmujące w szczególności nakładanie się na ekran i konieczność żądania zezwolenia przed otwarciem nowej aplikacji – zmuszając użytkownika do przekazania praw dostępu, których potrzebuje trojan.  

Mobilne oprogramowanie ransomware również ewoluowało w kierunku wykorzystywania nakładania się na ekran, blokując urządzenie zamiast szyfrować dane, ponieważ zwykle sporządzana jest ich kopia zapasowa.  

Aby dowiedzieć się więcej na ten temat, należy pobrać pełny roczny Przegląd 2016 roku, który jest dostępny w tym miejscu (j. ang.).  

Szczegółowe Statystyki dotyczące 2016 roku można uzyskać po zarejestrowaniu się w celu pobrania raportu pt. Statystyki w tym miejscu (j. ang.).

KSB_big_numbers_en_1_auto.jpg

Jak to wpływa na biznes?

Krajobraz zagrożeń w 2016 roku wskazuje na coraz większą potrzebę analizy danych dotyczących bezpieczeństwa

W raporcie Kaspersky Security Bulletin 2016 wskazano na pojawienie się złożonych i destrukcyjnych zagrożeń cyberbezpieczeństwa, które w wielu przypadkach mają znaczny wpływ na firmy. O tym wpływie pisaliśmy również w naszych Raportach dotyczących zagrożeń dla korporacyjnego bezpieczeństwa IT (1, 2 (j. ang.)), opartych na badaniu przeprowadzonym w 2016 roku i obejmującym ponad 4000 firm na całym świecie.

W badaniu zapytano firmy, między innymi, o najistotniejszy miernik wykrywania i reagowania na incydenty: czas.

Czas wykrycia incydentu jest istotny

Niepublikowane wcześniej wyniki badania pokazują, że aby wykryć incydent naruszenia bezpieczeństwa IT zwykle potrzeba kilku dni – 28,7% firm przyznało, że właśnie tyle zajmuje im średnio zidentyfikowanie naruszenia bezpieczeństwa.    

ksb_summary_en_2_auto.png

Czas wymagany do wykrycia incydentu naruszenia bezpieczeństwa IT

Tylko 8,2% firm zdołało wykryć incydenty naruszenia bezpieczeństwa niemal natychmiast, natomiast 19,1% potrzebowało kilku tygodni, aby wykryć poważny incydent. Gdy zapytaliśmy, w jaki sposób ostatecznie wykryły długotrwałe włamanie, otrzymaliśmy interesujące odpowiedzi.     

Nie tylko zapobieganie

ksb_summary_en_3_auto.png

Średni czas wymagany do wykrycia incydentu naruszenia bezpieczeństwa z uwzględnieniem wszystkich incydentów w ciągu ostatnich 12 miesięcy

Na powyższym wykresie połączyliśmy średni czas wykrycia incydentu naruszenia bezpieczeństwa z uzyskanymi odpowiedziami odnośnie sposobu wykrycia incydentu przez firmy. Okazuje się, że firmy, które mają trudności z szybkim wykryciem incydentu, ostatecznie identyfikują go w wyniku jednego lub kilku z następujących zdarzeń: zewnętrznego lub wewnętrznego audytu bezpieczeństwa lub, niestety, informacji od osoby trzeciej.  

Okazuje się, że dla takich firm jakikolwiek audyt bezpieczeństwa jest najlepszym środkiem „stosowanym w ostateczności” w celu zidentyfikowania incydentu. Czy jednak powinno to być działanie ostateczne?   

Pod tym względem nasz raport wskazuje na oczywistą rozbieżność między teorią a praktyką. Chociaż 65% firm przyznaje, że audyt bezpieczeństwa stanowi skuteczną metodę, w ciągu ostatnich 12 miesięcy przeprowadziła go niecała połowa zbadanych firm (48%). Ponadto, 52% firm wychodzi z założenia, że ich bezpieczeństwo IT zostanie kiedyś złamane, chociaż 48% nie jest gotowych na przyjęcie tego faktu. W skrócie: wiele firm ma trudności z przyjęciem ustrukturyzowanej strategii wykrywania i reagowania.       

Cena opóźnienia

Można bezpiecznie założyć, że im dłużej trwa wykrywanie incydentu naruszenia bezpieczeństwa, tym wyższe koszty łagodzenia i większe potencjalne szkody. Wyniki badania ukazują szokującą prawdę - niewykrycie ataku w ciągu kilku dni może podwoić, lub zwielokrotnić, koszty.   

ksb_summary_en_4_auto.png

Koszt przywrócenia sprawności a czas wymagany do wykrycia incydentu naruszenia bezpieczeństwa w przypadku przedsiębiorstw

W przypadku przedsiębiorstw, koszt ataku, który pozostał niewykryty przez tydzień lub dłużej, jest 2,77 raza wyższy niż koszt ataku, który został wykryty niemal od razu. Małe i średnie przedsiębiorstwa płacą ostatecznie 3,8 raza więcej, aby odzyskać sprawność po incydencie, który został wykryty zbyt późno.   

Nie ma wątpliwości, że sprawniejsze wykrywanie znacznie redukuje koszty ponoszone przez firmy. Jednak wdrożenie strategii wykrywania incydentów i reagowania na nie to nie to samo, co zapewnienie odpowiedniej prewencji. W przypadku tego drugiego mamy do wyboru kilka rozwiązań korporacyjnych o ugruntowanej pozycji. Z kolei pierwszy przypadek wymaga analizy zagrożeń, dogłębnej znajomości krajobrazu zagrożeń oraz specjalisty ds. bezpieczeństwa, który potrafi zastosować taką wiedzę do unikatowych cech firmy. Z naszego specjalnego raportu dotyczącego korporacyjnych zagrożeń dla bezpieczeństwa IT wynika, że firmy, które mają problemy z przyciągnięciem ekspertów w zakresie bezpieczeństwa, w efekcie płacą dwukrotnie więcej za odzyskanie sprawności w wyniku incydentu.     

Rozwiązanie firmy Kaspersky Lab: przekształcenie analizy w ochronę

W 2016 roku Kaspersky Lab znacznie rozszerzył swoje portfolio o nowe produkty, takie jak platforma Kaspersky Anti-Targeted Attack oraz usługi bezpieczeństwa, np. Testy penetracyjne oraz Źródła danych dotyczących zagrożeń, aby pomóc klientom spełnić potrzeby w zakresie skuteczniejszego wykrywania i reagowania na incydenty. Planujemy oferować analizę zagrożeń przy użyciu wszelkich niezbędnych metod: technologii służącej do wykrywania zagrożeń ukierunkowanych, usługi analizy i reagowania na incydenty naruszenia bezpieczeństwa oraz analizy, która pomaga przeprowadzić odpowiednie dochodzenie w sprawie incydentu.    

https://youtu.be/9myhQw1exTE

Zdajemy sobie sprawę, że w przypadku wielu firm, wyjście poza prewencję stanowi wyzwanie. Jednak nawet jeden atak ukierunkowany, który zostanie wcześnie wykryty i szybko złagodzony, jest wart inwestycji – i zwiększa szanse, że kolejny atak na infrastrukturę firmy zostanie w porę udaremniony.