Gangi ransomware rozdają karty
Cyberprzestępcy przeszli do ofensywy, a nierzadko można odnieść wrażenie, że wykazują się większą kreatywnością i determinacją niż przedstawiciele „jasnej strony mocy”.
Godnym uwagi zjawiskiem jest rozprzestrzenianie się quishingu.
Wąż w kieszeni
Choć phishing stosowany jest od kilkunastu lat, nadal jest bardzo skuteczny. Dzieje się tak z kilku powodów, a jednym z nich jest spryt napastników stosujących wymyślne sztuczki, aby przechytrzyć CISO, administratorów sieci czy kierowników działu IT. Nie byłoby to możliwe, gdyby nie środki, jakie pozyskują dzięki okupom od ofiary. Największe gangi działają według modelu Ransomware as a Service (RaaS), w którym operatorzy dostarczają złośliwe oprogramowanie podmiotom stowarzyszonym, a w zamian otrzymują część płatnego okupu. W większości przypadków wykonujący czarną robotę „partnerzy” zachowują ok. 70 proc. zysków, zaś współpracujący z BlackCat nawet do 90 proc.
Po drugiej stronie barykady znajdują się nie do końca świadomi czyhających na nich zagrożeń przedsiębiorcy, z których część ma przysłowiowego węża w kieszeni. W tym kontekście znamienny jest pewien raport, zaprezentowany przez firmę konsultingową NCC Group, specjalizującą się w bezpieczeństwie IT. Dokument bazuje na spostrzeżeniach menedżerów IT związanych z klubami piłkarskimi z Wysp Brytyjskich. Jego autorzy nie zostawiają suchej nitki na właścicielach klubów z Premier League. W niewielu z nich istnieje etat dla CISO, a zarządcy nie zamierzają inwestować w tego rodzaju specjalistów. Jak powszechnie wiadomo, największe tuzy tej ligi wydają setki milionów na graczy, żałując, jak widać, na średnią roczną pensję CISO wynoszącą 112 tys. funtów brytyjskich.
Phishing bazuje na wywołaniu strachu bądź silnych emocji. Z tego względu Julie Haney, Computer Scientist and Human-Centered Cybersecurity Researcher w National Institute of Standards and Technology, staje w obronie przeciętnych użytkowników. Jej zdaniem eksperci ds. cyberbezpieczeństwa, podkreślając, że najsłabszym ogniwem jest człowiek, tworzą dysfunkcyjną relację „my kontra oni”. Liczne badania pokazują, że ludzie tak naprawdę nie są naiwni, ale przytłoczeni obowiązkami i źle wyposażeni, przy czym niekoniecznie z własnej winy.
Cyberbezpieczeństwo i backup: razem czy osobno?
Oczywiście specjaliści wciąż poszukują złotego środka pozwalającego zastopować cyberprzestępców. Obok wprowadzania nowych narzędzi ochrony, jak XDR, pojawiają się nowe koncepcje. Jedną z nich jest głębsza integracja systemów do backupu i cyberbezpieczeństwa. Zwłaszcza, że walka z gangami ransomware wymaga ciągłego zwiększania nakładów finansowych zarówno na produkty, jak i specjalistów ds. bezpieczeństwa. Połączenie zasobów, a także pracowników wydaje się sensownym rozwiązaniem.
– Oferta dostawców systemów do backupu i DR ewoluuje w kierunku bardziej zaawansowanych i elastycznych rozwiązań, z jednej strony umożliwiających tworzenie kopii zapasowych, których nie można modyfikować i usuwać, zaś z drugiej szybko przywracać dane. Integrowanie systemów bezpieczeństwa IT z rozwiązaniami do backupu i DR staje się coraz ważniejsze. Pozwala lepiej zarządzać incydentami i ochroną przed utratą danych – tłumaczy Paweł Mączka, CTO Storware’u.
Nie brakuje jednak przeciwników takiej opcji, którzy zamiast wielofunkcyjnych kombajnów preferują wyspecjalizowany sprzęt lub oprogramowanie. Drugim argumentem przeciw unifikacji jest porzekadło, że jeśli coś jest do wszystkiego, to jest do niczego.
Zdaniem specjalisty
Jedna z koncepcji ochrony, a więc „defense in depth”, polega na budowaniu ekosystemu bezpieczeństwa składającego się z warstw. Każda z nich stanowi przeszkodę dla cyberprzestępców, a dodatkowo zapewnia pewnego rodzaju redundancję w sytuacji, gdy zawiedzie mechanizm kontroli lub gdy zostanie wykorzystana podatność któregoś z komponentów. Oprócz oczywistych filarów, jakimi są narzędzia chroniące poszczególne warstwy, nie należy zapominać o politykach i procedurach, które muszą być jasne i zrozumiałe dla wszystkich użytkowników. Dodatkowo organizacje powinny położyć nacisk na świadomość użytkowników. To właśnie ludzie stają się frontem obrony przed atakami cybernetycznymi. Ważne jest, aby wiedzieli, jak rozpoznać i unikać zagrożeń, a co za tym idzie, powinniśmy w sposób ciągły podnosić ich kompetencje w zakresie bezpieczeństwa i higieny IT.
Phishing niezmiennie odnosi sukcesy, a według naszych badań aż 30 procent wszystkich ataków ransomware rozpoczyna się od otwarcia złośliwej wiadomości mejlowej. Istnieją dwa główne wyjaśnienia takiego stanu rzeczy. Pierwszym jest czynnik ludzki i w tym kontekście należy podkreślić, że nie wszyscy są świadomi istnienia tego problemu oraz skali działania inżynierii społecznej. Drugim wytłumaczeniem jest sztuczna inteligencja. Wiadomości phishingowe powstałe przy użyciu narzędzi, takich jak ChatGPT, wyglądają niezwykle wiarygodnie. Nawet specjaliści ds. cyberbezpieczeństwa miewają trudności w ich identyfikacji. Niezgrabne, pełne błędów teksty są już przeszłością. Zastępuje je przemyślana i nierzadko personalizowana treść.
Jednym z głównych czynników determinujących skuteczność ataków phishingowych jest ciągłe doskonalenie technik przez cyberprzestępców. Kampanie phishingowe ze scenariuszem „uniwersalnym”, takim jak wygranie smartfonu na „loterii” są już dzisiaj rzadkością ze względu na niską skuteczność. Bardziej niebezpieczny jest tak zwany spear phishing, czyli atak spersonalizowany pod konkretne przedsiębiorstwo. Częstym schematem tego typu ataków jest próba podszycia się pod osobę wysoko postawioną w firmie. Coraz częściej zauważa się wykorzystanie ataków z udziałem deepfake’ów, co pomaga uwiarygodnić przestępcę w oczach ofiary. Istotnym elementem, który składa się na skuteczność ataków phishingowych jest ludzka natura.
Podobne artykuły
Ochrona na szóstkę z ESET PROTECT Elite
Dla dużej firmy dysponującej ogromną ilością wrażliwych danych, zmiana systemu chroniącego przed cyberzagrożeniami to poważne wyzwanie.
NIS2 jako szansa na biznes
W październiku tego roku upływa termin przyjęcia przez wszystkie państwa członkowskie Unii Europejskiej dyrektywy NIS2. Czy dostawcy mogą liczyć na wzrost sprzedaży usług i rozwiązań cybersecurity?
Channel Manager staje się zaufanym doradcą partnera
Obecnie rolą Channel Managera jest zapewnienie partnerom kompleksowego wsparcia nie tylko w zakresie portfolio produktowego, ale też w prowadzeniu działalności biznesowej. Przy czym kluczowym elementem zarządzania kanałem sprzedaży jest efektywna komunikacja z uczestnikami rynku.