Najpierw rozmawialiśmy z integratorami. Z ich wypowiedzi („Jak to jest z tym bezpieczeństwem?”, CRN Polska nr 9/2019) wynikało, że klienci coraz lepiej zdają sobie sprawę z powagi sytuacji. Przy czym na wyraźny wzrost świadomości przedsiębiorców na temat konieczności ochrony danych i systemów IT wpływają przede wszystkim dwie sprawy. Po pierwsze, na klientach duże wrażenie robią szeroko nagłośnione przez media cyberataki. Trudno dziś znaleźć kogoś, kto nie słyszał o atakach WannaCry, Petya czy NotPetya, w których wyniku wiele przedsiębiorstw dotknęły ogromne straty finansowe. Po drugie, czynnikiem wpływającym na świadomość zagrożeń i bezpieczeństwo informatyczne są regulacje prawne. Duże znaczenie ma RODO, ale w ostatnim czasie sporo uwagi poświęca się także ustawie o krajowym systemie cyberbezpieczeństwa. W rezultacie na rynku rośnie popyt na odpowiednie produkty i usługi, co z kolei powoduje zwiększenie zapotrzebowania na wysoko wykwalifikowanych specjalistów z tej dziedziny.

A czy wzrost świadomości sprawia, że firmy mogą dzisiaj uważać się za bezpieczniejsze niż jeszcze kilka lat temu? Z debaty z przedstawicielami producentów („Cyberbezpieczeństwo: jak zapewnić klientowi spokój?”, CRN Polska nr 10/2019) wynika, że bardzo zmieniło się podejście do cyberbezpieczeństwa. Jakiś czas temu panowało przekonanie, że po zakupie odpowiednich rozwiązań klient może czuć się dobrze chroniony. Tego argumentu używali wszyscy dostawcy oferujący swoje produkty. Od dobrych kilku lat obserwujemy wyraźną zmianę przekazu. Przy takiej skali zagrożeń, z jaką mamy do czynienia obecnie, żaden producent nie daje dziś gwarancji, że po zakupie jego rozwiązania klient na 100 proc. będzie zabezpieczony.

Wobec skali zmasowanych ataków i precyzji ukierunkowanych działań cyberprzestępców przekaz dziś brzmi: każdy zostanie zaatakowany. A jeśli pytanie, czy dojdzie do włamania, traci sens, trzeba raczej zapytać: kiedy ono nastąpi? Te przedsiębiorstwa, które będą na to lepiej przygotowane, wcześniej się zorientują, że dzieje się coś złego. A rozpoznanie ataku jest dziś znacznie trudniejsze niż kiedyś, bo pojawiły się zupełnie nowe rodzaje zagrożeń, polegające chociażby na wycieku danych lub przejmowaniu mocy obliczeniowej.

Ostatecznie bezpieczna nie może czuć się ani mała firma (która fałszywie zakłada, że nie posiada nic cennego), ani duże przedsiębiorstwo (które uważa, że spore pieniądze wydane na ochronę gwarantują mu święty spokój). O spokój trudno, bo cyberprzestępcy stale doskonalą swoje metody ataków, które są obecnie najszybciej rozwijającą się gałęzią przestępczości – rośnie ich liczba, skala, stopień wyrafinowania i powodowane przez nie straty. Jak szacuje firma Cybersecurity
Ventures, do 2021 r. cyberprzestępczość ma być lepszym interesem niż globalny handel wszystkimi rodzajami narkotyków, przynosząc 6 bln dol. rocznie (w porównaniu z 3 bln w 2015 r.). Na następnych stronach prezentujemy najczęstsze obecnie metody ataku.

 

Najszybciej rosnące cyberzagrożenia: stan na dziś

Od phishingu i cryptojackingu po ukierunkowany ransomware – przedstawiamy najpopularniejsze techniki, przez które cyberataki stają się najbardziej dochodowym z przestępczych biznesów. Jeśli którykolwiek z twoich klientów ma jeszcze co do tego wątpliwości, pokaż mu poniższą listę.

Ukierunkowane ataki ransomware

Zacznijmy od tego, że liczba ataków ransomware w ostatnim czasie spadła. Zmasowany ostrzał nastawiony na indywidualnych użytkowników oraz kolejne próby wyłudzenia jednorazowo 200–300 dol. za odszyfrowanie dysku nie przyniosły spodziewanych przez przestępców rezultatów. Dlatego zmienili oni strategię, skupiając się na wybranych celach – firmach i instytucjach. Dążąc przy użyciu ransomware do zakłócenia działalności biznesowej ofiary, oczekują, że w razie powodzenia będą mogli zażądać znacznie większego okupu.

Przykładem niech będzie grupa stojąca za SamSam ransomware. Jej ofiarą padło już wiele amerykańskich przedsiębiorstw i instytucji. Przykładowo w zeszłym roku atakowi SamSama nie oparły się systemy IT należące do miasta Atlanta. Zainfekowano m.in. serwisy online, za których pośrednictwem mieszkańcy płacili rachunki za usługi miejskie. Według danych zebranych przez Sophosa przestępcom udało się w ciągu dwóch i pół roku zarobić na swoim procederze prawie 6 mln dol. Na celowniku tej i podobnych grup są m.in. szpitale, kliniki, zakłady produkcyjne i firmy transportowe. Napastnicy szukają podatności w systemach informatycznych swoich ofiar. Nie spieszą się podczas ich penetracji, cierpliwie zdobywając dane uwierzytelniające do jak największej liczby maszyn. Gdy zgromadzą ich wystarczająco dużo, instalują oprogramowanie ransomware i przypuszczają zmasowany atak.

Phishing

To metoda wykorzystywana w wielu rodzajach ataków. Napastnicy coraz staranniej przygotowują swoje fałszywe wiadomości e-mail, by zwiększyć prawdopodobieństwo, że ofiara otworzy korespondencję i wykona określone czynności. Poświęcają coraz więcej czasu na doskonalenie różnych socjotechnik, żeby omijać wdrożone w firmach filtry antyspamowe i inne zabezpieczenia pierwszej linii ochrony. Phishing może zapewniać im natychmiastową monetyzację działań, np. gdy dotyczy fałszywego polecenia przelewu, albo przynosi ransomware (a zainfekowanie ofiary kończy się wymuszeniem okupu za odszyfrowanie danych).
Chociaż korzenie phishingu sięgają początków wykorzystania poczty e-mail, to wraz z upowszechnianiem się chmurowych usług SaaS, które stały się zaufanym kanałem komunikacji, rośnie wykorzystanie tej metody ataku. Aplikacje w chmurze są szczególnie podatne na phishing. Podszywanie się pod kogoś innego staje się łatwiejsze dla atakujących, bo można się do nich zalogować się skądkolwiek. Jeśli napastnikowi uda się zdobyć dane uwierzytelniające, natychmiast uzyskuje dostęp do konta. Ponadto podczas ponownego logowania się użytkownicy SaaS często otrzymują wiadomości z linkami, w których są proszeni o uwierzytelnienie się. Dlatego złośliwa wiadomość z prośbą o dane do logowania może nie wzbudzać ich podejrzeń.

 

Business Email Compromise

Ataki z wykorzystaniem firmowej poczty elektronicznej między czerwcem 2016 r. a lipcem tego roku kosztowały przedsiębiorstwa na całym świecie ponad 26 mld dol. Z raportu FBI wynika, że w skali globalnej od maja 2018 r. do lipca bieżącego roku straty spowodowane tego rodzaju procederem podwoiły się. Z kolei gigant ubezpieczeniowy AIG poinformował, że działania cyberprzestępców wykorzystujących pocztowe konta biznesowe stały się główną przyczyną roszczeń odszkodowawczych z kategorii cyberbezpieczeństwa, pozostawiając w tyle złośliwe oprogramowanie ransomware. Według raportu AIG ataki BEC stanowiły w regionie EMEA niemal jedną czwartą wszystkich zgłoszonych incydentów związanych z cyberzagrożeniami w 2018 r. W ostatnich czasach zaobserwowano, że przestępcy chętnie przenoszą inicjowaną przez pocztę e-mail komunikację ze swoimi ofiarami do komunikatorów – by utrudnić wykrycie podejrzanych działań przez rozwiązania typu antyspam i antymalware. Dodatkowo w trakcie takiej konwersacji na urządzeniu mobilnym ofierze trudniej się zorientować, że coś jest nie w porządku.
Żeby ochronić się przed atakami mającymi przejąć kontrolę nad kontami e-mail, zaleca się stosowanie uwierzytelniania dwuskładnikowego. Gdy atakujący próbuje nakłonić ofiarę do wykonania przelewu, warto też, by po prostu zadzwoniła ona do osoby czy firmy, pod którą podszywa się przestępca, i upewniła się, czy oczekuje się tam takiej operacji.

Ataki wykorzystujące RDP

Protokół pulpitu zdalnego (Remote Desktop Protocol) jest popularnym narzędziem do pracy z usługami terminalowymi w systemach Windows. Cyberprzestępcy od lat próbują wykorzystywać RDP jako furtkę do komputera ofiary, by następnie móc penetrować cały system informatyczny firmy i siać spustoszenie. Stare techniki ewoluują i są obecnie łączone w coraz bardziej wyrafinowane ataki, wykorzystujące najczęściej brak aktualizacji bezpieczeństwa. Niestety, w wielu firmach od ryzyka ataku na RDP bardziej priorytetowa jest korzyśćze zdalnego dostępu do komputerów w wielu miejscach.

Dlatego wykorzystanie nienależycie chronionych przez użytkownika połączeń pulpitu zdalnego jest jednym z najpopularniejszych sposobów cyberprzestępców na dostanie się do firmowej sieci. Umożliwia bezpośrednie wykonanie kodu w zdalnych systemach lub uzyskanie dostępu do komputerów i innych punktów końcowych. W rezultacie włamania napastnicy potrafią użyć skompromitowaną sieć do najróżniejszych celów – od wydobywania kryptowaluty po ukierunkowane ataki. W coraz większym stopniu RDP staje się furtką do ataków ransomware. Jak wynika z danych Coveware, firmy zajmującej się bezpieczeństwem, w pierwszym kwartale 2019 r. aż 63,5 proc. infekcji ransomware rozprzestrzeniało się przez RDP, phishing zaś znajdował się na drugim miejscu (30 proc).

 

Formjacking

Do formjackingu (jednego z typów ataków na strony internetowe) dochodzi wtedy, gdy przestępcy włamują się do wystawionych na świat zewnętrzny serwerów webowych i instalują JavaScript albo inny kod, by zbierać informacje o kartach kredytowych oraz inne poufne dane wprowadzane przez użytkowników. Ponieważ złośliwy kod jest trudny do wykrycia (może to być tylko jedna dodana linia), nierzadko działa na źle zabezpieczonych stronach internetowych przez wiele miesięcy.
Celem formjackingu nie są tylko numery kart kredytowych, lecz także inne wprowadzane przez użytkowników na stronach internetowych informacje, które cyberprzestępcy mogą sprzedać (takie jak PESEL czy numery telefonów). Nierzadko złośliwy kod pojawia się na serwerze wraz z instalowanym dodatkowym oprogramowaniem (np. chatbotem), a przestępcy zyskują wtedy dostęp do wszystkich serwisów, na których taki chatbot został uruchomiony.
Formjacking jest skuteczny, nawet jeśli komunikacja jest szyfrowana przy użyciu protokołu HTTPS – cyberprzestępcy mogą gromadzić poufne dane, ponieważ instalują złośliwy kod wprost na serwerze webowym ofiary. W 2018 r. liczba tego rodzaju ataków wyraźnie się zwiększyła i będzie nadal wzrastać, bo nie wymagają one od przestępców dużych umiejętności, a na sprzedaży kradzionych w ten sposób danych łatwo się zarabia.

Cryptojacking

Cryptojacking to nieuprawnione wykorzystanie cudzego komputera do wydobywania kryptowaluty (cryptominingu). Swój cel cyberprzestępcy najczęściej osiągają, nakłaniając ofiarę do kliknięcia linku w wiadomości e-mail (w efekcie czego na komputerze jest instalowane złośliwe oprogramowanie) albo korzystając z witryn lub reklam online zainfekowanych kodem JavaScript, który jest automatycznie uruchamiany w przeglądarce zaatakowanego. Zdaniem ekspertów cryptojacking znajduje się na wczesnym etapie swojego rozwoju – będzie ewoluować i się rozpowszechniać. Staje się coraz popularniejszy wśród hakerów z prostego powodu – przynosi spore pieniądze przy małym ryzyku. Nie wymaga nawet dużej wiedzy technicznej. Podobno zestawy do samodzielnego uruchomienia cryptojackingu można nabyć w darknecie za jedyne 30 dol. O tym, że cryptojacking może obejmować zupełnie nowe obszary, świadczy to, że ataki zmierzające do wykorzystania mocy obliczeniowych ofiar do wydobywania kryptowalut nie ograniczają się już tylko do serwerów i komputerów PC. Ostatnio celem cyberprzestępców stają się także smartfony i tablety z systemem Android. Ochrona przed cryptojackingiem obejmuje m.in. szkolenia na temat zagrożeń związanych z phishingiem, którego celem jest instalowanie złośliwego kodu na komputerach użytkowników. Polega też na użyciu rozwiązań ochrony punktów końcowych obejmujących mechanizmy zabezpieczające przed tego rodzaju atakiem.

 

Rosnące wykorzystanie IoT i botnety

Urządzenia podłączane do Internetu rzeczy, takie jak kamery IP, różnego rodzaju czujniki, a także sprzęt typu smart home, często nie są właściwie zabezpieczone. Stwarza to cyberprzestępcom okazję do ataku i prób wykorzystania przejętej nad „rzeczami” kontroli. Nawet jeśli urządzenia IoT mają jakąś formę zabezpieczeń, to w wielu z nich narzędzia te nie są poprawnie skonfigurowane po zainstalowaniu lub podłączeniu do sieci. Często wręcz się o tym zapomina, co czyni je łatwym celem dla napastników. Najważniejszą sprawą dla projektantów urządzeń IoT jest bowiem wygoda ich użycia i możliwość podłączania w trybie plug and play. Dlatego domyślnie ustawione i powszechnie znane hasła dostępowe w przypadku kamery IP czy inteligentnej żarówki nie są potem zmieniane.
W ataku na IoT – gdy wykorzystuje się te dobrze znane poświadczenia lub metodą brute force łamie się słabe zabezpieczenia – chodzi najczęściej o przejęcie kontroli nad systemem. Przykładem jest tworzony z setek tysięcy kamer IP i innych urządzeń botnet Mirai, który może być wykorzystywany do przeprowadzania ataków DDoS na ogromną skalę. Mirai po raz pierwszy pojawił się w 2016 r., a jego oryginalny kod źródłowy został opublikowany w internecie. W rezultacie istnieje obecnie co najmniej kilkanaście różnych wariantów tego botnetu, a na ataki są narażone korzystające z urządzeń IoT firmy lub chociażby gminy wdrażające strategię smart city.

Księgowy na celowniku

Jeśli komuś się wydaje, że celem cyberprzestępców są jedynie banki i duże instytucje finansowe, to bardzo się myli. Nawet w mniejszych firmach specjalista od księgowości ma dostęp do całej masy wrażliwych informacji, bardzo cennych dla napastników. Włamując się na jego konto, cyberprzestępcy mogą uzyskać bezpośredni dostęp do rachunków bankowych i danych finansowych klientów. Ponieważ wiele firm księgowych, które obsługują sektor MŚP, nie inwestuje w odpowiednie środki bezpieczeństwa, stają się one łatwym celem cyberataków.
Księgowi są atakowani przy użyciu phishingu, który nie jest już prymitywny ani niedbale preparowany jak dawniej. Wręcz przeciwnie – może być to starannie przygotowany e-mail udający wiadomość od osoby reprezentującą firmę, z którą dane przedsiębiorstwo pozostaje w relacjach biznesowych (metoda ta została nazwana „spear phishing”). Z prośbą o przeprowadzenie transakcji, z linkiem lub załącznikiem. Przy użyciu linku jest zazwyczaj wstrzykiwany złośliwy kod do przeglądarki, który następnie szuka niezabezpieczonych danych finansowych. Z kolei wykradzione dane uwierzytelniające umożliwiają cyberprzestępcom transfer pieniędzy na swoje konta.