FortiGuard Labs ostrzega o prawie dwukrotnym wzroście liczby wariantów ataków ransomware w ciągu sześciu miesięcy!

Fortinet, globalny lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberbezpieczeństwa, przedstawił najnowszą wersję stworzonego przez FortiGuard Labs dokumentu poświęconego cyfrowym zagrożeniom na świecie w pierwszej połowie 2022 r. – „Global Threat Landscape Report”.

Poniżej zaprezentowano najważniejsze znajdujące się w nim dane:

  • Istnieje coraz większa liczba wariantów oprogramowania ransomware, udostępnianych głównie w modelu Ransomware-as-a-Service (RaaS).
  • Celem cyberprzestępców pozostają urządzenia końcowe wykorzystywane do zdalnej pracy z dowolnego miejsca, gdyż ułatwiają uzyskanie dostępu do sieci korporacyjnych. Środowiska technik operacyjnych (OT) i informatycznych (IT) także są atrakcyjnymi celami, ponieważ w systemach, w których poddano konwergencji środowiska IT i OT cyberprzestępcy szukają możliwości rozszerzenia skali ataku.
  • Obserwowany jest trend dotyczący nieustannej ewolucji zagrożeń o charakterze destrukcyjnym, czego dowodem jest rozpowszechnienie złośliwego oprogramowania usuwającego dane (wiper) jako jednego z narzędzi atakujących.
  • Cyberprzestępcy stosują coraz więcej technik rozpoznawczych oraz uniemożliwiających wykrycie przez rozwiązania ochronne, aby zwiększyć precyzję uderzenia i destrukcyjność złośliwego kodu w całym łańcuchu cyberataku.

 

Wzrost liczby wariantów oprogramowania ransomware dowodem na ewolucję przestępczych ekosystemów

Ransomware pozostaje najpoważniejszym zagrożeniem, a cyberprzestępcy nadal inwestują znaczne środki w nowe techniki ataków. W ciągu ostatnich sześciu miesięcy FortiGuard Labs zaobserwował łącznie 10.666 wariantów kodu ransomware, w porównaniu z zaledwie 5.400 w poprzednim półroczu (wzrost w ciągu pół roku o prawie 100%). Ransomware-as-Service (RaaS), czyli usługowy model dystrybucji tego rodzaju zagrożenia w darkwebie, także zyskuje popularność wśród cyberprzestępców, co powoduje, że firmy powinny rozważyć skorzystanie z ubezpieczenia od ataku ransomware.

Firmy, niezależnie od branży i wielkości, do uzyskania skutecznej ochrony potrzebują proaktywnego podejścia. Krytyczna stała się konieczność zapewnienia widzialności środowiska IT w czasie rzeczywistym, wprowadzenia zabezpieczeń oraz zdolności do neutralizacji zagrożeń. Pomóc w tym mogą rozwiązania dostępu do sieci w modelu Zero Trust (Zero Trust Network Access, ZTNA) oraz zaawansowanego wykrywania zagrożeń na urządzeniach końcowych i reagowania na nie (Endpoint Detection and Response, EDR). .

 

Trendy dotyczące eksploitów pokazują, że środowiska technik operacyjnych (OT) i urządzenia końcowe nadal są atrakcyjnymi celami

Poddane cyfrowej konwergencji środowiska IT i OT oraz urządzenia końcowe wykorzystywane do pracy z dowolnego miejsca pozostają kluczowymi wektorami ataków, ponieważ cyberprzestępcy nadal szukają możliwości rozszerzenia zakresu ataku. Działanie wielu exploitów wykorzystujących podatności w urządzeniach końcowych polega na uzyskaniu dostępu do systemu IT jako nieautoryzowani użytkownicy, a następnie ich celem jest wykorzystanie ruchu bocznego (lateral movement) do przedostania się w głąb sieci korporacyjnej. Przykładem może być wykorzystywana na masową skalę luka umożliwiająca podszywanie się (CVE 2022-26925), jak też luka umożliwiająca zdalne wykonanie kodu (CVE 2022-26937). Liczba wykrytych zagrożeń wykorzystujących luki w urządzeniach końcowych ujawnia też podejmowane przez cyberprzestępców nieprzerwane działania, w trakcie których próbują oni uzyskać dostęp do systemów IT zarówno poprzez stare, jak i nowe luki.

Ponadto, środowiska OT nie zostały oszczędzone, jeśli chodzi o wykorzystanie obecnych w nich podatności. Wykryto ataki prowadzone na wiele urządzeń i platform, co obrazuje rzeczywistość dotyczącą bezpieczeństwa objętych coraz większą konwergencją systemów IT i OT, jak też demonstruje destrukcyjne cele cyberprzestępców. Zaawansowane mechanizmy ochrony urządzeń końcowych mogą pomóc w łagodzeniu ataków na wczesnym ich etapie oraz skutecznym neutralizowaniu zagrożeń na zainfekowanych urządzeniach. Ponadto usługi zapewniające ochronę przed cyfrowym ryzykiem (Digital Risk Protection Service, DRPS) mogą być wykorzystywane do przeprowadzania oceny skali zagrożeń zewnętrznych, znajdowania i usuwania problemów związanych z bezpieczeństwem oraz pomagania w uzyskaniu kontekstowego wglądu w informacje o obecnych i nadchodzących zagrożeniach.

 

Nadal rozwijane są szkodliwe narzędzia umożliwiające niszczenie danych

Wciąż obserwowany jest trend dotyczący nieustannej ewolucji destrukcyjnych zagrożeń, takich jak złośliwe oprogramowanie usuwające dane (wiper). Wojna w Ukrainie przyczyniła się do znacznego wzrostu ilości tego typu zagrożeń, których celem jest przede wszystkim infrastruktura krytyczna.

FortiGuard Labs zidentyfikował co najmniej siedem poważnych nowych wariantów wiperów w pierwszej połowie 2022 r., które zostały wykorzystane w różnych kampaniach przeciwko podmiotom rządowym, wojskowym i prywatnym. Liczba ta jest znacząca, ponieważ jest zbliżona do łącznej liczby wariantów wiperów, które zostały publicznie wykryte od 2012 roku. Dodatkowo, zaobserwowano je w różnych lokalizacjach geograficznych – oprócz Ukrainy zostały wykryte też w 24 innych krajach. Aby zminimalizować wpływ tego typu ataków, pomocne mogą być rozwiązania do wykrywania zagrożeń w sieci i reagowania na nie (Network Detection and Response, NDR), wyposażone w mechanizm samouczącej się sztucznej inteligencji, która pozwala lepiej wykrywać włamania. Również kopie zapasowe (backup) powinny być przechowywane poza siedzibą firmy i w trybie offline.

 

Unikanie wykrycia pozostaje główną taktyką ataków w skali globalnej

Badanie strategii cyberprzestępców ujawniło postępującą ewolucję technik i taktyk ataków. FortiGuard Labs przeanalizował funkcjonalność złośliwego oprogramowania wykrytego w ciągu ostatnich sześciu miesięcy, aby prześledzić najbardziej popularne metody jego działania. Wśród ośmiu najczęściej spotykanych taktyk i technik skoncentrowanych na urządzeniach końcowych, unikanie wykrycia było najczęściej stosowaną metodą przez twórców złośliwego oprogramowania. Często wykorzystują oni do tego celu mechanizm wykonywania kodu binarnego za pośrednictwem innego, zaufanego pliku wykonywalnego, z reguły należącego do systemu operacyjnego (binary proxy execution).

Ukrywanie złych intencji jest priorytetem dla cyberprzestępców. Dlatego też w celu przeprowadzenia ataku próbują omijać mechanizmy obronne poprzez maskowanie złośliwego kodu i próbę jego ukrycia w zaufanym procesie, który ma legalny certyfikat. Ale istnieje też druga popularna technika, polegająca na wstrzykiwaniu procesów – cyberprzestępcy wstrzykują kod do przestrzeni adresowej innego procesu w celu uniknięcia wykrycia i zwiększenia stopnia jego niewidzialności. Tylko firmy wyposażone w narzędzia będące świadome tych technik będą lepiej przygotowane do obrony. Zintegrowane platformy cyberbezpieczeństwa, opierające się na sztucznej inteligencji i uczeniu maszynowym, z zaawansowanymi funkcjami wykrywania zagrożeń i reagowania na nie, umożliwiają skuteczną ochronę na wszystkich brzegach sieci hybrydowych.

 

Bezpieczeństwo bazujące na sztucznej inteligencji w całej rozległej przestrzeni ataku

Informacje o zagrożeniach pomagają firmom lepiej zrozumieć cele i taktyki stosowane przez cyberprzestępców, mogą więc one lepiej dostosować systemy obronne do własnych potrzeb i proaktywnego reagowania na szybko zmieniające się techniki ataków. Świadomość zagrożeń ma kluczowe znaczenie dla ustalenia priorytetów strategii łatania w celu lepszego zabezpieczenia środowisk.

Zdobyta podczas szkoleń wiedza na temat cyberbezpieczeństwa jest również ważna ze względu na zmiany w krajobrazie zagrożeń, aby pracownicy i zespoły bezpieczeństwa mogli być na bieżąco. Firmy potrzebują ochrony działającej z prędkością maszynową, aby nadążyć za ilością, wyrafinowaniem i tempem obecnych cyfrowych zagrożeń. Strategie zapobiegania, wykrywania i reagowania, bazujące na sztucznej inteligencji i uczeniu maszynowym, a także na architekturze typu mesh, umożliwiają znacznie ściślejszą integrację, większą automatyzację, a także szybszą, skoordynowaną i skuteczną reakcję na zagrożenia w całej rozległej sieci.

 

Cyberprzestępcy nieustannie rozwijają swoje schematy działań, aby utrudnić obronę przed nimi i zapewnić skalowalność stworzonych przestępczych sieci partnerskich. W ramach przyjętych strategii stosują agresywne operacje, takie jak wymuszenia lub kasowanie danych, a także koncentrują się na taktyce działań rozpoznawczych przed atakiem, aby zapewnić większy poziom zwrotu z inwestycji w tworzenie zagrożeń. Aby móc zwalczać tak zaawansowane i wyrafinowane ataki, firmy potrzebują korzystać ze zintegrowanych rozwiązań ochronnych, które pobierają informacje o zagrożeniach w czasie rzeczywistym, wykrywają wzorce złośliwego działania, a także korelują ogromne ilości danych w celu wykrycia anomalii i automatycznego zainicjowania skoordynowanej reakcji w sieciach hybrydowych. – Derek Manky, Chief Security Strategist & VP Global Threat Intelligence, FortiGuard Labs.

 

IT Champions 2022 – Prestiżowe nagrody branżowe, wydawnictwa IT Reseller zostały wręczone! Na gali gościła czołówka branży IT!