Stare i nowe zagrożenia wciąż dużym wyzwaniem

Zmasowana liczba ataków ransomware

W ostatnim czasie widać wyraźnie wzmożoną i nasilającą się skalę ataków ransomware. Duża część z nich jest skuteczna i wiele przedsiębiorstw w ich wyniku bezpowrotnie traci swoje dane. Coraz częściej przestępcy na celownik biorą nie tylko informacje produkcyjne, ale i kopie zapasowe (backup), żeby zwiększyć skuteczność wymuszenia okupu. Dlatego w przyszłości kluczowe będzie skupianie się na zabezpieczaniu wszystkich danych – nie tylko plików używanych w codziennej pracy, lecz także repozytoriów backupu.

Cyberprzestępcy nieustannie modyfikują również sposób atakowania za pomocą ransomware’u po to, żeby w maksymalnie dużym stopniu zoptymalizować proces niszczenia środowiska ofiary. Ich celem po przedostaniu się do firmowej sieci jest wykradzenie i zaszyfrowanie jak największej ilości danych, zanim zostaną wykryci. Szyfrowanie wymaga jednak czasu, a im dłużej atakujący są w sieci, tym większe ryzyko, że zostaną namierzeni. Dlatego zaczęli stosować nową technikę przerywanego szyfrowania. Na celownik biorą tylko wycinki danych – wystarczająco małe, żeby utrzymywać niskie zużycie procesora i uniknąć namierzenia, ale na tyle duże, aby z plików nie dało się korzystać bez klucza deszyfrującego. Aby zyskać na czasie, zmieniają pory dnia i ilość szyfrowanych zasobów, dzięki czemu ich działania nie są wychwytywane przez zautomatyzowane mechanizmy ochronne. Jednocześnie mogą szybciej uszkadzać pliki ofiary, zwiększając presję na zapłacenie okupu.

Aby zwiększyć swoją skuteczność oraz utrudniać firmom reagowanie, przestępcy łączą też w jednym skoordynowanym ataku kilka technik: spam, phishing, spoofing (podszywanie się pod kogoś w celu zyskania zaufania) i inne socjotechniczne mechanizmy manipulacyjne. W unikaniu wykrycia pomagają ataki bezplikowe, które polegają na infekowaniu urządzeń oprogramowaniem ransomware bez umieszczania na nich jakichkolwiek plików, z wykorzystaniem jedynie znanych, zaufanych narzędzi. W ten sposób często atakowane są instytucje państwowe – przestępcy mogą pozostać niewykryci, jeśli unikają używania nazw procesów lub skrótów plików, które zostały wcześniej przez zespół IT oznaczone jako niebezpieczne.

Sztuczna inteligencja – miecz obosieczny

W ciągu najbliższych pięciu lat cyberprzestępcy prawdopodobnie opracują mechanizmy sztucznej inteligencji zdolne do wyszukiwania luk w zabezpieczeniach, planowania i przeprowadzania ataków, unikania wykrycia przez rozwiązania ochronne oraz pozyskiwania danych z zaatakowanych systemów lub otwartych źródeł informacji – wynika z raportu opracowanego przez WithSecure (dawniej F-Secure Business), Fińską Agencję Transportu i Komunikacji (Traficom) oraz Fińską Narodową Agencję Zaopatrzenia Kryzysowego (NESA). Już teraz korzystają z AI głównie w atakach socjotechnicznych, takich jak podszywanie się pod określone osoby lub firmy, a także do analizy danych – te działania jednak trudno zaobserwować z perspektywy analityka bezpieczeństwa. Zdaniem autorów raportu obecnie cyberataki wykorzystujące AI są rzadkie, jednak wdrażanie innowacyjnych mechanizmów zdolnych do przeciwdziałania takiemu zjawisku konieczne jest już teraz.

Eksperci WithSecure przeprowadzili też serię eksperymentów przy użyciu bohatera ostatnich miesięcy, jeśli chodzi o sztuczną inteligencję, a więc modelu językowego GPT-3. Ich zdaniem tego typu rozwiązania będą stanowić punkt zwrotny w ewolucji cyberzagrożeń, ponieważ umożliwią cyberprzestępcom zwiększanie skuteczności komunikacji z ofiarą stanowiącej część ataku. Eksperymenty obejmowały takie zagadnienia jak phishing i spear-phishing, nękanie, uwierzytelnianie scamu, przywłaszczanie stylu pisanego, celowe tworzenie polaryzujących opinii, wykorzystywanie modeli językowych do tworzenia podpowiedzi złośliwych tekstów oraz fake newsów.

Celem eksperymentu było sprawdzenie, w jaki sposób komunikaty generowane przez GPT mogą być używane w złośliwej lub przestępczej działalności. Eksperci oceniali jak zmiany danych wejściowych wpływają na otrzymywane wyniki. Główny wniosek płynący z tego badania jest taki, że od teraz konieczne jest bardzo sceptyczne podchodzenie do wszelkich otrzymywanych przez internet informacji, ponieważ automatyczna identyfikacja złośliwych lub obraźliwych treści będzie coraz trudniejsza dla dostawców platform ochronnych. Ich twórcy nie uciekną jednak od tego tematu i będą musieli podjąć ten wysiłek, aby nauczyć się zawczasu ostrzegać potencjalne ofiary – także za pomocą sztucznej inteligencji. Oczywiste jest też, że taka funkcja stanie się znaczącym wyróżnikiem konkurencyjnym rozwiązań zabezpieczających.

Niestety, sztuczna inteligencja może sprowadzić o wiele większe problemy niż tylko generowany automatycznie perfekcyjny phishing w różnych językach. Powstaje coraz więcej inteligentnych narzędzi (np. Vall-E), które na podstawie próbek głosu lub zdjęć/filmów są w stanie tworzyć tzw. deepfake’i niemal w czasie rzeczywistym. To oczywiście otwiera puszkę Pandory, bowiem może doprowadzić do niemal paranoicznego braku zaufania nie tylko do treści przekazywanych w mediach społecznościowych, ale także podczas komunikacji werbalnej prowadzonej na przykład z bankiem czy inną instytucją wymagającą uwierzytelnienia. To czarny scenariusz, ale może okazać się, że znów kluczowe dla bezpieczeństwa informacji lub środków finansowych sprawy trzeba będzie załatwiać osobiście. Tu nie pomogą nawet rygorystyczne prawne regulacje, o wprowadzenie których apeluje coraz więcej środowisk, bo osób stojących po „złej stronie mocy” nie będą one obchodziły. Narzędzia służące do potencjalnie złych celów już są dostępne, a dysponujący milionami dolarów cyberprzestępcy będą mieli wystarczający budżet na ich rozbudowywanie.