B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy





Raporty

Kaspersky Security Bulletin 2015. Ewolucja cyberzagro偶e艅 w sektorze korporacyjnym

Po koniec 2014 r. opublikowali艣my prognozy dotycz膮ce ewolucji 艣wiata zagro偶e艅 cyfrowych w 2015 r. Cztery spo艣r贸d naszych dziewi臋ciu przepowiedni by艂y bezpo艣rednio zwi膮zane z zagro偶eniami dla firm. Czas pokaza艂, 偶e nasze prognozy by艂y trafne - trzy spo艣r贸d czterech zagro偶e艅 dotycz膮cych firm ju偶 teraz urzeczywistni艂y si臋:

  • Cyberprzest臋pcy wykorzystuj膮 taktyki APT w atakach ukierunkowanych - sprawdzi艂o si臋
  • Grupy APT ulegaj膮 fragmentacji, dywersyfikuj膮 ataki - sprawdzi艂o si臋
  • Eskalacja atak贸w na bankomaty i terminale PoS - sprawdzi艂o si臋
  • Ataki na wirtualne systemy p艂atno艣ci - nie sprawdzi艂o si臋

Przyjrzyjmy si臋 g艂贸wnym incydentom, jakie mia艂y miejsce w 2015 r., oraz nowym trendom, jakie zaobserwowali艣my w dziedzinie bezpiecze艅stwa informacji w 艣rodowisku biznesowym.

Rok w liczbach

  • W 2015 r. co najmniej jeden atak z wykorzystaniem szkodliwego oprogramowania zosta艂 zablokowany na 58% komputer贸w korporacyjnych. Jest to wzrost o 3 punkty procentowe w stosunku do poprzedniego roku.
  • 29% komputer贸w - tj. niemal co trzeci komputer firmowy - by艂o celem co najmniej jednego ataku WWW.
  • Szkodliwe oprogramowanie wykorzystuj膮ce luki w zabezpieczeniach aplikacji biurowych by艂o wykorzystane trzykrotnie cz臋艣ciej ni偶 w atakach na u偶ytkownik贸w indywidualnych.
  • Wykrywanie szkodliwego oprogramowania w plikach by艂o aktywowane na 26% komputer贸w firmowych (obiekty by艂y wykrywane na komputerach lub no艣nikach wymiennych pod艂膮czonych do komputer贸w: pami臋ci flash, kartach pami臋ci, telefonach, zewn臋trznych dyskach twardych czy dyskach sieciowych).

Ataki ukierunkowane na firmy: APT i cyberprzest臋pcy

W 2015 r. odnotowali艣my wiele atak贸w APT przeprowadzanych na firmy.  Wykorzystywane narz臋dzia i metody by艂y bardzo podobne do tych zaobserwowanych podczas analizy wcze艣niejszych atak贸w APT, jednak za obecnymi atakami stali cyberprzest臋pcy, a nie ugrupowania sponsorowane przez rz膮d. Wykorzystywane metody nie s膮 charakterystyczne dla cyberprzest臋pc贸w, ale g艂贸wny cel ich atak贸w pozosta艂 ten sam: zyski finansowe.   

Kampania Carbanak sta艂a si臋 偶ywym przyk艂adem tego, 偶e celem atak贸w ukierunkowanych klasy APT sta艂y si臋 organizacje finansowe. Kampani臋 t臋 mo偶na okre艣li膰 jako napad na bank w dobrej wierze w erze cyfrowej: cyberprzest臋pcy przenikn臋li do sieci banku, szukaj膮c krytycznego systemu, kt贸ry nast臋pnie wykorzystali do odprowadzenia pieni臋dzy. Po kradzie偶y sporej sumy z banku (od 2,5 miliona do 10 miliona dolar贸w) przeszli do kolejnej ofiary.   

Wi臋kszo艣膰 atakowanych organizacji by艂o zlokalizowanych w Europie Wschodniej. Jednak kampania Carbanak by艂a wymierzona r贸wnie偶 w cele znajduj膮ce si臋 w Stanach Zjednoczonych, Niemczech oraz Chinach. Ucierpia艂o do 100 instytucji finansowych na ca艂ym 艣wiecie, a 艂膮czne straty mog艂y wynosi膰 nawet 1 miliard dolar贸w. 

business_ksb_2015_eng_1_auto.png

Warto pami臋ta膰, 偶e informacje r贸wnie maj膮 du偶膮 warto艣膰, zw艂aszcza gdy mog膮 by膰 wykorzystane podczas zawierania um贸w lub transakcji na gie艂dzie: zar贸wno na gie艂dzie towarowej, papier贸w warto艣ciowych jak i walutowej. Przyk艂adem ataku ukierunkowanego, w kt贸rym polowano na takie informacje, jest Wild Neutron (znany r贸wnie偶 jako Jripbot i Morpho). Ta kampania cyberszpiegowska zosta艂a po raz pierwszy nag艂o艣niona w mediach w 2013 r., gdy jej ofiar膮 pad艂o kilka znanych firm, w tym Apple, Facebook, Twitter oraz Microsoft. Gdy incydenty te zosta艂y szeroko nag艂o艣nione, osoby stoj膮ce za t膮 kampani膮 cyberszpiegowsk膮 wstrzyma艂y swoje dzia艂ania. Jednak oko艂o rok p贸藕niej Kaspersky Lab zauwa偶y艂, 偶e Wild Neutron wznowi艂 swoje operacje.     

Nasze badanie wykaza艂o, 偶e kampania ta spowodowa艂a infekcje na komputerach u偶ytkownik贸w w 11 pa艅stwach i terytoriach, a mianowicie w Rosji, we Francji, Szwajcarii, Niemczech, Austrii, na S艂owenii, w Palestynie, Zjednoczonych Emiratach Arabskich, Kazachstanie, Algierii i Stanach Zjednoczonych. W艣r贸d ofiar znalaz艂y si臋 firmy prawnicze, inwestycyjne, firmy zwi膮zane z bitcoinami, przedsi臋biorstwa i grupy biznesowe zajmuj膮ce si臋 transakcjami po艂膮cze艅 i przej臋膰, firmy IT, firmy z bran偶y opieki zdrowotnej, agencje nieruchomo艣ci oraz indywidualni u偶ytkownicy.

Nale偶y zauwa偶y膰, 偶e Wild Neutron wykorzystywa艂 certyfikat s艂u偶膮cy do podpisywania kodu skradziony firmie Acer.

business_ksb_2015_eng_2_auto.png

Skradziony certyfikat Acer w instalatorze Wild Neutron

Trend w kierunku dywersyfikacji atak贸w APT dobrze ilustruje zmiana cel贸w atakowanych przez chi艅skie ugrupowanie cyberprzest臋pcze Winnti. D艂ugo panowa艂 pogl膮d, 偶e Winnti atakowa艂 tylko firmy z bran偶y gier komputerowych. Jednak jesieni膮 2015 r. zacz臋艂y pojawia膰 si臋 dowody na to, 偶e grupa ta przeprowadzi艂a test swoich narz臋dzi i metod i pr贸bowa艂a zarobi膰 pieni膮dze poprzez atakowanie nowych cel贸w. Ich zainteresowanie nie ogranicza si臋 ju偶 do bran偶y rozrywkowej, a w艣r贸d ostatnich cel贸w znalaz艂y si臋 firmy farmaceutyczne oraz telekomunikacyjne. Analiza nowej fali atak贸w Winnti pokaza艂a, 偶e rootkit Winnti zosta艂 podpisany przy u偶yciu skradzionego certyfikatu, kt贸ry nale偶a艂 do oddzia艂u du偶ego konglomeratu japo艅skiego.   

Kolejn膮 cech膮 charakterystyczn膮 2015 r. by艂o zwi臋kszenie zasi臋gu geograficznego zar贸wno atak贸w jak i atakuj膮cych. Na przyk艂ad, gdy eksperci z Kaspersky Lab badali incydent na Bliskim Wschodzie, natkn臋li si臋 na aktywno艣膰 nieznanej wcze艣niej grupy przeprowadzaj膮cej ataki ukierunkowane. Grupa ta, okre艣lana jako Desert Falcons, to pierwsze ugrupowanie arabskie, kt贸re przeprowadza pe艂ne ataki cyberszpiegowskie. W momencie jej wykrycia liczba jej ofiar wynosi艂a oko艂o 300, a w艣r贸d nich znajdowa艂y si臋 organizacje finansowe.

Inna grupa, o nazwie Blue Termite, atakowa艂a organizacje oraz firmy w Japonii:

business_ksb_2015_eng_3_auto.png

Informacje dotycz膮ce atak贸w ukierunkowanych na firmy zosta艂y zaprezentowane w nast臋puj膮cych raportach Kaspersky Lab: Carbanak, Wild Neutron, Winnti, DarkHotel 2015, Desert Falcons, Desert Falcons, Blue Termit, Grabit. Bardziej szczeg贸艂owe wyniki badania s膮 dost臋pne dla u偶ytkownik贸w Kaspersky Intelligence Service.

W wyniku analizy tych atak贸w zidentyfikowano kilka trend贸w w ewolucji atak贸w ukierunkowanych na firmy:

  • Celem atak贸w cyberprzest臋pc贸w by艂y organizacje finansowe, takie jak banki, fundusze oraz firmy zwi膮zane z gie艂dami, w tym gie艂dy kryptowaluty.
  • Ataki s膮 szczeg贸艂owo zaplanowane. Cyberprzest臋pcy analizuj膮 zainteresowania potencjalnych ofiar (pracownik贸w atakowanej firmy) identyfikuj膮c strony, kt贸re mog膮 najprawdopodobniej odwiedzi膰; badaj膮 kontakty atakowanej firmy, sprz臋t i dostawc贸w us艂ug.  
  • Informacje zebrane na etapie przygotowawczym s膮 nast臋pnie wykorzystywane. Osoby atakuj膮ce w艂amuj膮 si臋 do zidentyfikowanych legalnych stron oraz na konta kontakt贸w biznesowych pracownik贸w atakowanej firmy. Takie strony i konta s膮 wykorzystywane przez kilka godzin w celu rozprzestrzeniania szkodliwego kodu, po czym infekcja zostaje zatrzymana. To oznacza, 偶e cyberprzest臋pcy mog膮 powt贸rnie wykorzysta膰 zhakowane zasoby.  
  • Podpisane pliki i legalne oprogramowanie s膮 wykorzystywane do zbierania informacji z zaatakowanej sieci.
  • Ataki ulegaj膮 dywersyfikacji obejmuj膮c ma艂e i 艣rednie firmy.
  • Zwi臋ksza si臋 zasi臋g geograficzny atak贸w na firmy: atak na du偶膮 skal臋 w Japonii, wy艂onienie si臋 nowych grup APT w pa艅stwach arabskich.

Chocia偶 cyberprzest臋pcy przeprowadzaj膮 stosunkowo niewielk膮 liczb臋 atak贸w APT, kierunek ich rozwoju z pewno艣ci膮 b臋dzie mia艂 wp艂yw na metody i podej艣cia stosowane przez innych cyberprzest臋pc贸w podczas atak贸w na firmy.

Dane statystyczne

Dane statystyczne dotycz膮ce u偶ytkownik贸w korporacyjnych (w tym rozk艂ad geograficzny atak贸w i rankingi wykrytych obiekt贸w) zwykle s膮 zbie偶ne ze statystykami dotycz膮cymi u偶ytkownik贸w indywidualnych. Nie powinno to dziwi膰, poniewa偶 u偶ytkownicy biznesowi nie istniej膮 w odizolowanym 艣rodowisku, a ich komputery s膮 celem cyberprzest臋pc贸w, kt贸rzy rozprzestrzeniaj膮 szkodliwe oprogramowanie niezale偶nie od charakteru celu. Tego rodzaju ataki oraz szkodliwe oprogramowanie stanowi膮 wi臋kszo艣膰, podczas gdy ataki ukierunkowane na u偶ytkownik贸w biznesowych wywieraj膮 niewielki wp艂yw na og贸lne statystyki.

W 2015 r. na 58% komputerach u偶ytkownik贸w korporacyjnych zablokowano co najmniej jeden atak przy u偶yciu szkodliwego oprogramowania, co stanowi wzrost o 3 punkty procentowe w stosunku do poprzedniego roku.

Zagro偶enia online (ataki WWW)

W 2015 r. niemal co trzeci (29%) komputer w 艣rodowisku biznesowym by艂 celem co najmniej jednego ataku WWW.

TOP 10 szkodliwych program贸w internetowych

Ranking ten zawiera jedynie szkodliwe programy bez uwzgl臋dniania oprogramowania adware. Jakkolwiek nachalne i denerwuj膮ce dla u偶ytkownik贸w, oprogramowanie wy艣wietlaj膮ce reklamy nie powoduje szk贸d dla komputera.

 

Nazwa*

% unikatowych zaatakowanych u偶ytkownik贸w**

1

Malicious URL

57%

2

Trojan.Script.Generic

24,7%

3

Trojan.Script.Iframer

16,0%

4

Exploit.Script.Blocker

4,1%

5

Trojan-Downloader.Win32.Generic

2,5%

6

Trojan.Win32.Generic

2,3%

7

Trojan-Downloader.JS.Iframe.diq

2,0%

8

Exploit.Script.Generic

1,2%

9

Packed.Multi.MultiPacked.gen

1,0%

10

Trojan-Downloader.Script.Generic

0,9%

*Statystyki te stanowi膮 werdykty wykrywania modu艂u ochrony przed zagro偶eniami WWW. Informacje zosta艂y dostarczone przez u偶ytkownik贸w produkt贸w firmy Kaspersky Lab, kt贸rzy zgodzili si臋 udost臋pni膰 swoje lokalne dane statystyczne.

** Odsetek procentowy wszystkich atak贸w WWW na komputery unikatowych u偶ytkownik贸w.

Ranking Top 10 tworz膮 niemal wy艂膮cznie werdykty przypisane szkodliwym obiektom, kt贸re s膮 wykorzystywane w atakach drive-by - downloadery trojan贸w i exploity.

 

Rozk艂ad geograficzny atak贸w WWW


business_ksb_2015_eng_4_auto.png

Rozk艂ad geograficzny atak贸w WWW w 2015 r.

(odsetek zaatakowanych u偶ytkownik贸w korporacyjnych w poszczeg贸lnych pa艅stwach)

 

Zagro偶enia lokalne

Wykrywanie szkodliwego oprogramowania w plikach zosta艂o aktywowane na 26% komputerach u偶ytkownik贸w korporacyjnych. Wykryte obiekty by艂y zlokalizowane na komputerach lub no艣nikach wymiennych pod艂膮czonych do komputer贸w, takich jak pami臋膰 flash, karty pami臋ci, telefony, zewn臋trzne dyski twarde i dyski sieciowe.  

TOP 10 szkodliwych program贸w wykrytych na komputerach u偶ytkownik贸w

Ranking ten zawiera wy艂膮cznie szkodliwe programy bez uwzgl臋dnienia oprogramowania adware. Jakkolwiek nachalne i irytuj膮ce dla u偶ytkownik贸w, oprogramowanie wy艣wietlaj膮ce reklamy nie powoduje szk贸d na komputerze. 

 

Nazwa*

% unikatowych zaatakowanych u偶ytkownik贸w **

1

DangerousObject.Multi.Generic

23,1%

2

Trojan.Win32.Generic

18,8%

3

Trojan.WinLNK.StartPage.gena

7,2%

4

Trojan.Win32.AutoRun.gen

4,8%

5

Worm.VBS.Dinihou.r

4,6%

6

Net-Worm.Win32.Kido.ih

4,0%

7

Virus.Win32.Sality.gen

4,0%

8

Trojan.Script.Generic

2,9%

9

DangerousPattern.Multi.Generic

2,7%

10

Worm.Win32.Debris.a

2,6%

* Statystyki te s膮 tworzone na podstawie werdykt贸w wykrywania szkodliwego oprogramowania generowanych przez modu艂y skanowania "podczas dost臋pu" i "na 偶膮danie" na komputerach u偶ytkownik贸w produkt贸w Kaspersky Lab, kt贸rzy zgodzili si臋 udost臋pni膰 swoje dane statystyczne. 

** Odsetek indywidualnych u偶ytkownik贸w, na kt贸rych komputerach modu艂 antywirusowy wykry艂 te obiekty, jako odsetek wszystkich zaatakowanych u偶ytkownik贸w.

Pierwsze miejsce zajmuj膮 r贸偶ne szkodliwe programy wykryte z pomoc膮 technologii opartych na chmurze, kt贸rym przypisano werdykt: "DangerousObject.Multi.Generic". Technologie oparte na chmurze maj膮 zastosowanie wtedy, gdy antywirusowe bazy danych nie zawieraj膮 jeszcze sygnatur lub heurystyki w celu wykrycia szkodliwego programu, za to informacje o takim obiekcie znajduj膮 si臋 ju偶 w opartej na chmurze antywirusowej bazie danych firmy. Gdy b臋d膮ca klientem firma nie mo偶e wys艂a膰 statystyk do chmury, wykorzystywany jest zamiast tego Kaspersky Private Security Network, co oznacza, 偶e komputery z sieci maj膮 zapewnion膮 ochron臋 z chmury.

Wi臋kszo艣膰 pozosta艂ych pozycji w rankingu zajmuje samodzielnie rozprzestrzeniaj膮ce si臋 szkodliwe oprogramowanie oraz ich komponenty.

Rozk艂ad geograficzny lokalnych zagro偶e艅

business_ksb_2015_eng_5_auto.png

Rozk艂ad geograficzny wykry膰 zagro偶e艅 lokalnych w 2015 r.

(odsetek zaatakowanych u偶ytkownik贸w korporacyjnych w poszczeg贸lnych pa艅stwach)

 

Cechy atak贸w na firmy

Og贸lne statystyki dotycz膮ce u偶ytkownik贸w korporacyjnych nie odzwierciedlaj膮 okre艣lonych atrybut贸w atak贸w przeprowadzanych na firmy; na statystyki wi臋kszy wp艂yw ma prawdopodobie艅stwo infekcji komputera w pa艅stwie lub popularno艣膰 danego szkodliwego programu w艣r贸d cyberprzest臋pc贸w.

Jednak bardziej szczeg贸艂owa analiza pokazuje cechy charakterystyczne atak贸w na u偶ytkownik贸w korporacyjnych:

  • exploity dla luk w zabezpieczeniach wykrytych w aplikacjach biurowych s膮 wykorzystywane trzy razy cz臋艣ciej ni偶 w atakach na u偶ytkownik贸w indywidualnych;
  • wykorzystywanie szkodliwych plik贸w podpisanych przy u偶yciu wa偶nych certyfikat贸w cyfrowych;
  • wykorzystywanie legalnych program贸w w atakach, dzi臋ki czemu osoby atakuj膮ce mog膮 d艂u偶ej pozosta膰 niewykryte.

Zaobserwowali艣my r贸wnie偶 szybki wzrost liczby komputer贸w u偶ytkownik贸w korporacyjnych zaatakowanych przez programy szyfruj膮ce.

W tym kontek艣cie wi臋kszo艣膰 przypadk贸w nie stanowi atak贸w APT: "standardowi" cyberprzest臋pcy koncentruj膮 si臋 po prostu na u偶ytkownikach korporacyjnych, czasem na konkretnej firmie, kt贸ra ich interesuje. 

Wykorzystywanie exploit贸w w atakach na firmy

Ranking podatnych na ataki aplikacji tworzony jest na podstawie informacji dotycz膮cych exploit贸w zablokowanych przez produkty firmy Kaspersky Lab i wykorzystywanych przez cyberprzest臋pc贸w, zar贸wno w atakach WWW jak i za po艣rednictwem poczty e-mail, oraz danych dotycz膮cych pr贸b zhakowania lokalnych aplikacji, w tym tych znajduj膮cych si臋 na urz膮dzeniach mobilnych.

business_ksb_2015_eng_6_auto.png

Rozk艂ad exploit贸w wykorzystywanych w atakach cyberprzest臋pczych wed艂ug typu zaatakowanej aplikacji
(u偶ytkownicy korporacyjni, 2015 r.)

business_ksb_2015_eng_7_auto.png

Rozk艂ad exploit贸w wykorzystywanych w atakach cyberprzest臋pczych wed艂ug typu zaatakowanej aplikacji
(u偶ytkownicy indywidualni, 2015 r.)

 

Je艣li por贸wnamy wykorzystywanie exploit贸w przez cyberprzest臋pc贸w w celu atakowania u偶ytkownik贸w korporacyjnych i indywidualnych, pierwsz膮 r贸偶nic膮, jaka rzuca si臋 w oczy, jest to, 偶e exploity dla luk w oprogramowaniu biurowym s膮 wykorzystywane znacznie cz臋艣ciej w atakach przeprowadzanych na firmy. S膮 one wykorzystywane jedynie w 4% atak贸w na u偶ytkownik贸w indywidualnych, natomiast je艣li chodzi o ataki na u偶ytkownik贸w korporacyjnych, stanowi膮 12% exploit贸w wykrytych w ci膮gu ca艂ego roku.  

Przegl膮darki internetowe stanowi膮 aplikacje, kt贸re s膮 najcz臋艣ciej atakowane przez exploity w atakach zar贸wno na u偶ytkownik贸w indywidualnych jak i korporacyjnych. Przegl膮daj膮c te statystyki nale偶y zwr贸ci膰 uwag臋 na to, 偶e technologie firmy Kaspersky Lab wykrywaj膮 exploity na r贸偶nych etapach. Wykrywanie stron, z kt贸rych rozprzestrzeniane s膮 exploity, zaliczane jest do kategorii "Przegl膮darki". Zauwa偶yli艣my, 偶e najcz臋艣ciej s膮 to exploity dla luk w aplikacji Adobe Flash Player.    

business_ksb_2015_eng_8_auto.png

Wykrywanie exploit贸w wykorzystywanych w atakach cyberprzest臋pczych wed艂ug rodzaju zaatakowanej aplikacji w roku 2014 i 2015

Udzia艂 exploit贸w Javy i PDF zmniejszy艂 si臋 znacznie w stosunku do 2014 r.: odpowiednio o 14 i 8 punkt贸w procentowych. Exploity Javy straci艂y nieco na swojej popularno艣ci, mimo 偶e w badanym roku znaleziono kilka luk zero-day. Wzr贸s艂 udzia艂 atak贸w przeprowadzonych z wykorzystaniem luk w oprogramowaniu biurowym (+8 punkt贸w procentowych), przegl膮darkach (+9) punkt贸w procentowych, oprogramowaniu Adobe Flash Player (+9 punkt贸w procentowych) oraz oprogramowaniu na system Android (+3 punkt贸w procentowych). 

Badania incydent贸w naruszenia bezpiecze艅stwa wykaza艂y, 偶e nawet w atakach ukierunkowanych na korporacje cyberprzest臋pcy cz臋sto wykorzystuj膮 exploity dla znanych luk. Wynika to z opiesza艂o艣ci 艣rodowisk korporacyjnych w instalowaniu odpowiednich 艂at bezpiecze艅stwa. Udzia艂 exploit贸w, kt贸re wykorzystuj膮 luki w zabezpieczeniach aplikacji pod Androida, zwi臋kszy艂 si臋 do 70%, co sugeruje, 偶e cyberprzest臋pcy coraz bardziej interesuj膮 si臋 danymi korporacyjnymi przechowywanymi na urz膮dzeniach mobilnych pracownik贸w. 

Ransomware

Trojany szyfruj膮ce d艂ugo uwa偶ane by艂y za zagro偶enie jedynie dla u偶ytkownik贸w indywidualnych. Obecnie jednak cyberprzest臋pcy wykorzystuj膮cy oprogramowanie ransomware coraz cz臋艣ciej wybieraj膮 na swoje cele korporacje.

W 2015 r. rozwi膮zania firmy Kaspersky Lab wykry艂y ransomware na ponad 50 000 komputerach w sieciach korporacyjnych, czyli dwukrotnie wi臋cej ni偶 w 2014 r. Trzeba pami臋ta膰, 偶e rzeczywista liczba incydent贸w jest kilkakrotnie wy偶sza: statystyki odzwierciedlaj膮 tylko wyniki wykry膰 opartych na sygnaturach i heurystyce, podczas gdy w wi臋kszo艣ci przypadk贸w produkty firmy Kaspersky Lab wykrywaj膮 trojny szyfruj膮ce w oparciu o modele rozpoznawania zachowania. 

business_ksb_2015_eng_9_auto.png

Liczba unikatowych u偶ytkownik贸w korporacyjnych zaatakowanych przez trojany szyfruj膮ce w 2014 i 2015 r.

Wzrost zainteresowania firmami zaobserwowany w艣r贸d cyberprzest臋pc贸w wykorzystuj膮cych oprogramowanie ransomware wynika z dw贸ch czynnik贸w. Po pierwsze, okup, jaki mog膮 uzyska膰 od organizacji jest znacznie wy偶szy w por贸wnaniu z indywidualnymi u偶ytkownikami. Po drugie, istnieje wi臋ksza szansa, 偶e okup zostanie zap艂acony: niekt贸re firmy nie s膮 po prostu w stanie kontynuowa膰 swoich dzia艂a艅, je艣li ich informacje zosta艂y zaszyfrowane i s膮 niedost臋pne na krytycznych komputerach i/lub serwerach.

Jednym z najbardziej interesuj膮cych wydarze艅 w 2015 r. w tej dziedzinie by艂o pojawienie si臋 pierwszego szkodliwego oprogramowania szyfruj膮cego dla Linuksa (produkty firmy Kaspersky Lab wykrywaj膮 go pod werdyktem "Trojan-Ransom.Linux.Cryptor"), kt贸ry atakowa艂 strony internetowe, w tym sklepy online. Cyberprzest臋pcy wykorzystali luki w zabezpieczeniach aplikacji sieciowych w celu uzyskania dost臋pu do stron internetowych, a nast臋pnie wrzucili szkodliwy program na strony szyfruj膮ce dane serwerowe. W wi臋kszo艣ci przypadk贸w, spowodowa艂o to zdj臋cie strony z sieci. Za przywr贸cenie strony cyberprzest臋pcy 偶膮dali okupu w wysoko艣ci jednego bitcoina. Szacuje si臋, 偶e zainfekowanych zosta艂o oko艂o 2 000 stron internetowych. Zwa偶ywszy na popularno艣膰 serwer贸w uniksowych w 艣rodowisku biznesowym, nale偶y przyj膮膰, 偶e w przysz艂ym roku pojawi si臋 wi臋cej atak贸w przy u偶yciu ransomware na platformy inne ni偶 Windows.    

TOP 10 rodzin trojan贸w szyfruj膮cych

Rodzina

% zaatakowanych u偶ytkownik贸w*

1

Scatter

21

2

Onion

16

3

Cryakl

15

4

Snocry

11

5

Cryptodef

8

6

Rakhni

7

7

Crypmod

6

8

Shade

5

9

Mor

3

10

Crypren

2

 

*Odsetek u偶ytkownik贸w zaatakowanych przy u偶yciu szkodliwych program贸w z danej rodziny jako odsetek wszystkich zaatakowanych u偶ytkownik贸w.

Praktycznie wszystkie rodziny oprogramowania ransomware z listy Top 10 偶膮daj膮 okupu w bitcoinach.

Na pierwszym miejscu znajduj膮 si臋 trojany z rodziny Scatter. Szkodniki te szyfruj膮 pliki na dysku twardym i pozostawiaj膮 zaszyfrowane pliki z rozszerzeniem vault. Trojany Scatter to wielomodu艂owe, wielofunkcyjne szkodliwe programy oparte na skrypcie. Rodzina ta szybko ewoluowa艂a w ci膮gu kr贸tkiego czasu, rozwijaj膮c opr贸cz szyfrowania plik贸w nowe zdolno艣ci robaka pocztowego i trojana PSW.

Drugie miejsce zajmuje rodzina program贸w szyfruj膮cych o nazwie Onion, znana z tego, 偶e jej serwery kontroli s膮 zlokalizowane w sieci Tor. Na trzecim miejscu znajduj膮 si臋 programy szyfruj膮ce z rodziny Cryakl, kt贸re zosta艂y napisane w j臋zyku Delphi i pojawi艂y si臋 ju偶 w kwietniu 2014 r.

W niekt贸rych przypadkach, istnieje mo偶liwo艣膰 przywr贸cenia danych zaszyfrowanych przez takie programy ransomware, zwykle gdy wyst臋puj膮 jakie艣 b艂臋dy w ich algorytmach. Jednak obecnie nie jest mo偶liwe odszyfrowanie danych, kt贸re zosta艂y zaszyfrowane przez najnowsze wersje szkodliwych program贸w z listy Top 10.

Firmy musz膮 zrozumie膰, 偶e infekcja tego rodzaju szkodliwym oprogramowaniem mo偶e zak艂贸ci膰 operacje biznesowe, je艣li na skutek szyfrowania utracone zostan膮 krytyczne dane biznesowe lub zablokowane zostanie dzia艂anie krytycznego serwera. Takie ataki mog膮 prowadzi膰 do ogromnych strat w por贸wnaniu ze stratami spowodowanymi przez ataki z wykorzystaniem szkodliwego oprogramowania Wiper, kt贸re zniszczy艂o dane w sieciach korporacyjnych.   

Aby zapobiec temu zagro偶eniu, nale偶y podj膮膰 szereg dzia艂a艅:

  • zastosowa膰 ochron臋 przed exploitami;
  • dopilnowa膰, aby do produktu bezpiecze艅stwa zosta艂y w艂膮czone metody wykrywania behawioralnego (w produktach firmy Kaspersky Lab zadanie to jest wykonywane w komponencie Kontrola systemu);
  • skonfigurowa膰 procedur臋 wykonywania kopii zapasowej danych.

Ataki na terminale PoS

Bezpiecze艅stwo terminali PoS (point-of-sale) stanowi kolejn膮 pal膮c膮 kwesti臋 dla firm, szczeg贸lnie dla tych zaanga偶owanych w dzia艂alno艣膰 handlow膮. Dowolny komputer, do kt贸rego zosta艂o pod艂膮czone specjalne urz膮dzenie odczytu kart i kt贸ry posiada zainstalowane odpowiednie oprogramowanie, mo偶e by膰 wykorzystywany jako terminal PoS. Cyberprzest臋pcy poluj膮 na takie komputery, aby zainfekowa膰 je szkodliwymi programami umo偶liwiaj膮cymi kradzie偶 danych dotycz膮cych kart bankowych wykorzystywanych do p艂acenia przy terminalach.      

Produkty bezpiecze艅stwa firmy Kaspersky Lab zablokowa艂y ponad 11 500 takich atak贸w na ca艂ym 艣wiecie. Nasza kolekcja zawiera 10 rodzin szkodliwego oprogramowania, kt贸rego celem jest kradzie偶 danych z terminali PoS. Siedem z nich pojawi艂o si臋 w tym roku. Mimo niewielkiej liczby pr贸b atak贸w nie nale偶y lekcewa偶y膰 ryzyka, poniewa偶 tylko jeden skuteczny atak mo偶e doprowadzi膰 do ujawnienia szczeg贸艂贸w dziesi膮tek tysi臋cy kart kredytowych. Tak du偶a liczba potencjalnych ofiar jest mo偶liwa ze wzgl臋du na to, 偶e w艂a艣ciciele firm i administratorzy systemu nie traktuj膮 terminali PoS jako urz膮dze艅 wymagaj膮cych ochrony. W efekcie, zainfekowany terminal mo偶e pozosta膰 niezauwa偶ony przez dugi czas, podczas kt贸rego szkodliwy program b臋dzie wysy艂a艂 do cyberprzest臋pc贸w szczeg贸艂y dotycz膮ce kart kredytowych przechodz膮ce przez terminal.     

Problem ten jest szczeg贸lnie istotny w krajach, w kt贸rych nie s膮 wykorzystywane karty z czipami EMV. Stosowanie takiej technologii powinno znacznie utrudni膰 uzyskiwanie danych niezb臋dnych do sklonowania kart bankowych, chocia偶 proces implementacji mo偶e zaj膮膰 sporo czasu. Istniej膮 jednocze艣nie pewne minimalne dzia艂ania, jakie nale偶y podj膮膰 w celu zapewnienia ochrony urz膮dzeniom PoS. Na szcz臋艣cie, w przypadku tych urz膮dze艅 do艣膰 艂atwo mo偶na skonfigurowa膰 polityk臋 bezpiecze艅stwa "domy艣lnego blokowania", kt贸ra blokuje nieznane programy przed domy艣lnym uruchomieniem.    

Spodziewamy si臋, 偶e w przysz艂o艣ci cyberprzest臋pcy zaczn膮 atakowa膰 mobilne urz膮dzenia PoS dzia艂aj膮ce pod kontrol膮 systemu Android.

Zako艅czenie

Dane pochodz膮ce z produkt贸w firmy Kaspersky Lab pokazuj膮, 偶e narz臋dzia wykorzystywane do atakowania firm r贸偶ni膮 si臋 od tych stosowanych przeciwko u偶ytkownikom indywidualnym. W atakach na u偶ytkownik贸w korporacyjnych exploity wykorzystuj膮ce luki w zabezpieczeniach aplikacji biurowych s膮 wykorzystywane znacznie cz臋艣ciej, szkodliwe pliki s膮 cz臋sto podpisane przy u偶yciu wa偶nych certyfikat贸w cyfrowych, a cyberprzest臋pcy pr贸buj膮 wykorzystywa膰 do swoich cel贸w legalne oprogramowanie, tak aby d艂u偶ej unikn膮膰 wykrycia. Zauwa偶yli艣my r贸wnie偶 du偶y wzrost liczby komputer贸w u偶ytkownik贸w korporacyjnych atakowanych przez oprogramowanie ransomware. Odnosi si臋 to r贸wnie偶 do incydent贸w niezaklasyfikowanych jako ataki APT, w kt贸rych cyberprzest臋pcy koncentruj膮 si臋 jedynie na u偶ytkownikach korporacyjnych, a czasem na pracownikach okre艣lonych firm.

Wykorzystywanie przez ugrupowania cyberprzest臋pcze metod APT oraz program贸w do atakowania firm wynosi ich na nowy poziom i sprawia, 偶e s膮 znacznie bardziej niebezpieczne. Cyberprzest臋pcy zacz臋li wykorzystywa膰 te metody g艂贸wnie w celu kradzie偶y ogromnych sum pieni臋dzy z bank贸w. Mog膮 stosowa膰 te same metody w celu kradzie偶y pieni臋dzy firmy z kont bankowych poprzez uzyskiwanie dost臋pu do jej sieci korporacyjnej.

Podczas przeprowadzania swoich atak贸w cyberprzest臋pcy wykorzystuj膮 znane luki w zabezpieczeniach - wynika to z tego, 偶e wiele organizacji jest bardzo opiesza艂ych je艣li chodzi o stosowanie aktualizacji oprogramowania na komputerach firmowych. Ponadto, cyberprzest臋pcy wykorzystuj膮 podpisane szkodliwe pliki oraz legalne narz臋dzia w celu tworzenia kana艂贸w wyprowadzania informacji: narz臋dzia te obejmuj膮 popularne oprogramowanie zdalnej administracji, klienty SSH, oprogramowanie do przywracania hase艂 itd.

Cyberprzest臋pcy coraz cz臋艣ciej atakuj膮 serwery korporacyjne. Opr贸cz kradzie偶y danych zaobserwowano r贸wnie偶 przypadki wykorzystywania zaatakowanych serwer贸w w celu przeprowadzania atak贸w DDoS lub szyfrowania znajduj膮cych si臋 na tych serwerach danych, aby nast臋pnie 偶膮da膰 okupu. Ostatnie wydarzenia pokaza艂y, 偶e odnosi si臋 to zar贸wno do serwer贸w z systemem Windows jak i Linux.  

Wiele spo艣r贸d zaatakowanych organizacji otrzyma艂o 偶膮danie zap艂acenia okupu w zamian za zatrzymanie trwaj膮cego ataku DDoS, odblokowanie zaszyfrowanych danych czy nieujawnienie skradzionych informacji. Gdy organizacja otrzymuje takie 偶膮dania, pierwsz膮 rzecz膮, jak膮 powinna zrobi膰, jest skontaktowanie si臋 z organami 艣ci膮gania oraz specjalistami ds. bezpiecze艅stwa komputerowego. Pomimo zap艂acenia okupu cyberprzest臋pcy mog膮 nie dotrzyma膰 swojej obietnicy, tak jak mia艂o to miejsce w przypadku ataku ProtonMail DDoS attack kt贸ry trwa艂 jeszcze po zap艂aceniu okupu. 

Prognozy

Rosn膮ca liczba atak贸w na organizacje finansowe, oszustwa finansowe na rynkach walutowych

W nadchodz膮cym roku spodziewamy si臋 wzrostu liczby atak贸w przeprowadzanych na organizacje finansowe jak r贸wnie偶 r贸偶nicy w jako艣ci tych atak贸w. Opr贸cz przelewania pieni臋dzy na w艂asne konta i zamieniania ich na got贸wk臋, cyberprzest臋pcy mog膮 r贸wnie偶 stosowa膰 nowe techniki. Mog膮 one obejmowa膰 manipulacje danymi na platformach handlowych, gdzie prowadzony jest handel zar贸wno tradycyjnymi jak i nowymi instrumentami finansowymi, takimi jak kryptowaluty.   

Ataki na infrastruktur臋

Nawet je艣li trudno przenikn膮膰 do organizacji, obecnie do艣膰 powszechne jest przechowywanie przez organizacje swoich cennych danych na serwerach zlokalizowanych w centrach danych zamiast w infrastrukturze znajduj膮cej si臋 w obr臋bie organizacji. Pr贸by uzyskania nieautoryzowanego dost臋pu do takich komponent贸w infrastruktury firmowej, kt贸re s膮 utrzymywane przez podmioty zewn臋trzne, stan膮 si臋 istotnym wektorem atak贸w w 2016 roku.  

Wykorzystywanie luk w zabezpieczeniach Internetu Rzeczy w celu przenikni臋cia sieci korporacyjnych

Urz膮dzenia w ramach Internetu Rzeczy mo偶na znale藕膰 w niemal ka偶dej sieci korporacyjnej. Badanie przeprowadzone w 2015 r. pokaza艂o, 偶e z urz膮dzeniami tymi wi膮偶e si臋 wiele problem贸w bezpiecze艅stwa, kt贸re mog膮 wykorzysta膰 cyberprzest臋pcy, poniewa偶 stanowi膮 one wygodny punkt zaczepienia na pocz膮tkowym etapie penetracji sieci korporacyjnej. 

Bardziej rygorystyczne standardy bezpiecze艅stwa, wsp贸艂praca z organami 艣cigania

W odpowiedzi na wzrost liczby incydent贸w komputerowych w 艣rodowisku biznesowym oraz zmiany w og贸lnym krajobrazie cyberzagro偶e艅 organy regulacyjne opracuj膮 nowe standardy bezpiecze艅stwa oraz uaktualni膮 te ju偶 istniej膮ce. Organizacje zainteresowane integralno艣ci膮 i bezpiecze艅stwem swoich cennych rzeczy cyfrowych b臋d膮 aktywniej wsp贸艂pracowa膰 z organami 艣cigania lub zostan膮 sk艂onione do tego wspomnianymi wy偶ej standardami. Mo偶e to prowadzi膰 do po艂膮czenia wysi艂k贸w w celu schwytania cyberprzest臋pc贸w, dlatego w 2016 roku  mo偶emy spodziewa膰 si臋 nowych aresztowa艅.   

Jakie dzia艂ania nale偶y podj膮膰?

W 2015 r. cyberprzest臋pcy zacz臋li aktywnie wykorzystywa膰 metody atak贸w APT w celu przenikni臋cia do sieci firmowych. Mowa tu o rekonesansie, kt贸rego celem jest zidentyfikowanie s艂abych punkt贸w w infrastrukturze korporacyjnej oraz gromadzenie informacji na temat pracownik贸w. Obserwuje si臋 r贸wnie偶 wykorzystywanie spear phishingu oraz tzw. atak贸w przy wodopoju, aktywne wykorzystywanie exploit贸w w celu wykonania kodu oraz uzyskania praw administratora, wykorzystywanie legalnego oprogramowania wraz z trojanami do zdalnej administracji, badanie zaatakowanej sieci oraz wykorzystywanie do szkodliwych cel贸w oprogramowania do przywracania hase艂. Wszystko to wymaga rozwoju metod oraz technik maj膮cych na celu ochron臋 sieci korporacyjnych.   

Je艣li chodzi o konkretne zalecenia, na pocz膮tek nale偶y zapozna膰 si臋 z 35 najwa偶niejszymi strategiami 艂agodzenia cyberw艂ama艅, opracowanymi przez Australian Signals Directorate (ASD). Na podstawie wszechstronnej, szczeg贸艂owej analizy lokalnych atak贸w i zagro偶e艅 ASD stwierdzi艂, 偶e co najmniej 85% ukierunkowanych cyberw艂ama艅 mo偶na z艂agodzi膰 przy u偶yciu czterech podstawowych strategii. Trzy z nich dotycz膮 wyspecjalizowanych rozwi膮za艅 bezpiecze艅stwa. W艣r贸d produkt贸w Kaspersky Lab znajduj膮 si臋 rozwi膮zania technologiczne odnosz膮ce si臋 do trzech pierwszych g艂贸wnych strategii.   

Poni偶ej znajduje si臋 lista czterech podstawowych strategii, kt贸re umo偶liwiaj膮 zmniejszenie mo偶liwo艣ci przeprowadzenia skutecznego ataku ukierunkowanego:

  • Wykorzystanie bia艂ej listy, aby zapobiec uruchomieniu szkodliwego oprogramowania oraz niezatwierdzonych program贸w
  • Za艂atanie aplikacji Java, s艂u偶膮cych do przegl膮dania PDF-贸w, Flash, przegl膮darek internetowych oraz aplikacji Microsoft Office
  • Za艂atanie luk w zabezpieczeniach systemu operacyjnego
  • Ograniczenie przywilej贸w administratora wzgl臋dem system贸w operacyjnych i aplikacji, w oparciu o obowi膮zki u偶ytkownika.

Szczeg贸艂owe informacje dotycz膮ce strategii 艂agodzenia ASD zawiera artyku艂 o 艂agodzeniu zagro偶e艅 (w j. angielskim) dost臋pny w serwisie Securelist.

Innym istotnym czynnikiem jest wykorzystanie danych dotycz膮cych najnowszych zagro偶e艅, tj. us艂ug analizy zagro偶e艅 (Kaspersky Lab oferuje np. w艂asne us艂ugi Kaspersky Intelligence Service). Szybka konfiguracja oraz sprawdzenie sieci korporacyjnej przy pomocy tych danych pomo偶e zapewni膰 ochron臋 przed atakami lub wykrycie ataku na wczesnym etapie.

Podstawowe zasady zapewnienia bezpiecze艅stwa w sieciach korporacyjnych pozostaj膮 niezmienione:

  • Szkolenie personelu. Utrzymywanie bezpiecze艅stwa informacji jest nie tylko zadaniem korporacyjnego dzia艂u bezpiecze艅stwa, ale r贸wnie偶 obowi膮zkiem ka偶dego pracownika.
  • Organizacja procedur bezpiecze艅stwa. Firmowy system bezpiecze艅stwa musi zapewni膰 odpowiedni膮 reakcj臋 na ewoluuj膮ce zagro偶enia.
  • Wykorzystywanie nowych technologii i metod. Ka偶da dodatkowa warstwa ochrony pomaga zmniejszy膰 ryzyko w艂amania.

 

殴ród艂o: Kaspersky Lab


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Kontakt | Polityka plik贸w cookie
Copyright © 2023 WirusPC.pl