Pandemia to wciąż szczyt sezonu dla cyberprzestępców, którzy korzystając z nieświadomości społeczeństwa przeprowadzają ataki. Według najnowszej analizy zagrożeń przeprowadzonej przez G DATA CyberDefense, liczba ta wzrosła o 85 procent w drugiej połowie roku. W zeszłym roku co minutę cyberprzestępcy wypuścili 76 nowych wersji złośliwego oprogramowania. Luki w zabezpieczeniach, takie jak Shitrix i Sunburst, również działały na korzyść atakujących.
W ubiegłym roku zagrożenie ze strony cyberprzestępców stale rosło. Obecna analiza zagrożeń przeprowadzona przez G DATA CyberDefense pokazuje, że liczba udaremnionych prób ataków wzrosła o ponad 85 procent w ciągu sześciu miesięcy, porównując pierwszą połowę 2020 roku z drugą. Podczas gdy liczba udaremnionych ataków wzrosła prawie dwukrotnie od drugiego do trzeciego kwartału, liczba ataków nieznacznie spadła w czwartym kwartale.
,,Uważamy, że w zeszłym roku z powodu pośpiesznej przeprowadzki do home office wiele firm padło ofiarą ataków - ale jeszcze nie wyszło to na jaw. Cyberprzestępcy nadal bezlitośnie wykorzystują wszelkie słabości w bezpieczeństwie IT. Krytyczne luki w zabezpieczeniach, brakujące aktualizacje lub nieostrożni pracownicy są zwykle przyczyną udanego ataku. Obecna niepewność ludzi znacznie przyspiesza ten rozwój." - Tim Berghoff, security evangelist G DATA
Znane wirusy w nowej odsłonie
Uderzające jest to, że cyberprzestępcy polegają na wypróbowanym i przetestowanym złośliwym oprogramowaniu, z którego część pozostaje używana od kilku lat, ale stale jest rozwijana. Poniższy rysunek pokazuje, jak wielkie jest obecnie zagrożenie: ponad 16,1 miliona różnych próbek złośliwego oprogramowania zostało odkrytych przez ekspertów ds. cyberochrony z G DATA. To wzrost o 228,6 proc. w porównaniu z rokiem poprzednim. Średnio 44 135 nowych próbek złośliwego oprogramowania zagraża systemom IT każdego dnia. Oznacza to, że co minutę cyberprzestępcy publikowali 76 nowych wersji szkodliwego oprogramowania.
Po raz pierwszy Emotet, uniwersalna broń cyberprzestępczości, jest liderem nie tylko pod względem niebezpieczeństwa, ale także liczby rozproszonych próbek, z łączną liczbą 888 793 różnych wersji w 2020 roku. W całym poprzednim roku było tylko 70 833 próbek - oznacza to wzrost o 1154,8 proc. Emotet był w dużej mierze nieaktywny w pierwszej połowie roku, więc w tym okresie pojawiło się tylko 27 804 nowych próbek. Oznacza to, że w drugiej połowie roku pojawiło się ponad 860 000 wersji. Aby dodać poczucie skali - przestępcy co minutę wypuszczali trzy nowe warianty. Emotet działa jako wytrych do drzwi i zapewnia cyberprzestępcom dostęp do sieci IT. Złośliwe oprogramowanie automatycznie pobiera docelowy złośliwy kod, taki jak Trickbot i Ryuk w celu szpiegowania danych dostępowych i szyfrowania systemu.
Rozwój cyberprzestępczości jest bardzo dynamiczny. Potwierdza to fakt, że sześć na dziesięć najczęściej wykrywanych szkodliwych programów nie pojawiło się wcześniej na tej liście. Daleko za Emotetem są QBot i Urelas. Qbot używa obecnie schematu ataku, który wcześniej był znany tylko z Emotet. Atakujący wysyłają fałszywą odpowiedź na istniejący, prawdziwy wątek e-mail. Dla odbiorcy ten fałszywy e-mail jest bardzo trudny do odróżnienia od prawdziwej wiadomości, więc ofiary chętniej otwierają załącznik e-maila lub klikają link w nim zawarty. Pierwotnie trojan bankowy, zmodyfikowany o dodatkowe elementy wykradające dane logowania użytkowników. Zatem Qbot to kolejna wielofunkcyjna broń dla cyberprzestępców. Na trzecim miejscu w rankingu Top 10 szkodliwego oprogramowania znajduje się program do pobierania Urelas, którego atakujący używają do pobierania kolejnych szkodliwych programów po infiltracji systemu.
Król nie żyje - niech żyje... kto?
Możemy się spodziewać w 2021 roku wzmożenia aktywności w obszarze dystrybucji złośliwego oprogramowania. Pod koniec stycznia odbył się skoordynowany na skalę międzynarodową nalot na operatorów Emoteta, który przez lata był nazywany „królem złośliwego oprogramowania”. Duża część infrastruktury stojącej za Emotetem została wyłączona - część z tego jest zasługą wsparcia technicznego G DATA. To prawdopodobnie pozostawi lukę na podziemnym rynku, przynajmniej w perspektywie średnioterminowej, którą będą próbować wypełnić inne grupy przestępców.
Dziury z poważnymi konsekwencjami
Nie tylko dobrze zakamuflowane złośliwe oprogramowanie otwiera przed napastnikami drzwi do prywatnych komputerów lub sieci korporacyjnych. Jak co roku, liczne luki w zabezpieczeniach aplikacji i systemów operacyjnych również ułatwiają atakującym infiltrację systemów IT. Jako przykłady wymieniono dwa z największych - Shitrix i Sunburst. Shitrix był jedną z najbardziej niebezpiecznych luk w ostatnich latach. Umożliwiał zdalne wykonywanie kodu w Citrix ADC i dlatego został sklasyfikowany jako krytyczna podatność. W samych Niemczech zagrożonych było ponad 5000 przedsiębiorstw, w tym operatorów infrastruktury krytycznej, takich jak szpitale, dostawcy energii i organy publiczne.
Pod koniec roku instytucje rządowe i firmy prywatne odkryły, że ich sieci zostały spenetrowane. Źródłem tego włamania okazało się oprogramowanie do zarządzania siecią firmy Solarwinds. Przez kilka miesięcy przestępcy składali poszczególne komponenty w oprogramowanie szpiegowskie, które zostało ściśle zintegrowane z procesem rozwoju systemu zarządzania siecią - a wszystko to odbywało się niezauważalnie. Zainfekowane aktualizacje oprogramowania nie wywołały żadnych sygnałów ostrzegawczych i zostały zainstalowane w wielu firmach na całym świecie. Ataki koncentrowały się głównie w USA, ale były też podatne systemy w Niemczech.
,,Walka z cyberprzestępcami wymaga od firm i prywatnych użytkowników podjęcia zdecydowanych działań ”- mówi Tim Berghoff. „Wynika to z faktu, że cyberprzestępcy wykorzystują obecny nacisk na cyfryzację również do własnych celów i zwiększają wysiłki w zakresie ataków. Robiąc to, zaczynają również polegać na automatyzacji ataków w celu infiltracji sieci. Każdy, kto nie inwestuje teraz w bezpieczeństwo IT, beztrosko straci korzyści płynące z cyfryzacji." - Tim Berghoff, security evangelist G DATA
Firmy muszą być przygotowane na coraz bardziej wyrafinowane ataki, ponieważ wykorzystując model malware-as-a-service, przestępcy mogą przeprowadzać złożone ataki, które są trudne do odparcia. Potrzebna jest nie tylko aktualna ochrona punktów końcowych, ale także uważni pracownicy, którzy potrafią zdusić próby ataku w zarodku, zachowując się ostrożniej.
Na podstawie informacji firmy G Data