Szybka ewolucja technik wykorzystywanych przez cyberprzestępców, znaczne zwiększenie natężenia ataków oraz nowa kategoria zagrożeń DeOS (Destruction Of Service) to najważniejsze prognozy zaprezentowane w najnowszym raporcie Cisco 2017 Midyear Cybersecurity Report (MCR).
Nowa kategoria cyberzagrożeń
Niedawne przypadki szybko rozprzestrzeniających się złośliwych kodów znanych pod nazwą WannaCry i Nyetya zwiastują pojawienie się nowego typu ataków, określanych przez Cisco jako DeOS (Destruction Of Service). Nowe ataki będą zacznie bardziej destrukcyjne niż klasyczna odmiana ransomware, powodując, że firmy zostaną kompletnie pozbawione możliwości odtworzenia danych i przywrócenia systemu IT do normalnego działania. DeOS uniemożliwia odtworzenia systemu IT po udanym ataku na infrastrukturę. Wykorzystuje mechanizmy pozwalające na uszkodzenie systemów do backupu i obsługujących je sieci. Wraz z rosnącą popularnością internetu rzeczy (IoT) i realizowaniem przez firmy operacji w trybie online zwiększa się potencjalny obszar ataków, umożliwiając ich eskalację na niespotykaną dotąd skalę.
Obserwacja bieżącej aktywności botnetów wykorzystujących urządzenia IoT wskazuje na przygotowania przez cyberprzestępców rozbudowanej infrastruktury, która potencjalnie będzie mogła zablokować działanie całej globalnej sieci internetowej. W obliczu tego zagrożenia, krytycznego znaczenia nabiera możliwość pomiarów efektywności istniejących systemów zabezpieczeń. Cisco śledzi postępy w redukcji czasu TTD (Time To Detection) upływającego od momentu kompromitacji systemu do momentu wykrycia zagrożenia. Jego skrócenie pozwala na ograniczenie zasięgu propagacji szkodliwych kodów i zmniejszenie szkód powodowanych przez atak. Od listopada 2015 roku, Cisco skróciło średni czas TTD z 39 godzin do około 3,5 godziny. Wartości te są oparte na analizie danych telemetrycznych dostarczanych przez produkty bezpieczeństwa Cisco zainstalowane na całym świecie.
Aktualny krajobraz zagrożeń
Specjaliści Cisco ds. bezpieczeństwa obserwowali ewolucję zagrożeń w pierwszej połowie 2017 roku. Zebrane dane pozwoliły określić jak zmieniają się sposoby rozpowszechniania malware oraz jakie techniki pozwalają ukryć szkodliwe kody przed wykryciem. Cyberprzestępcy coraz częściej próbują zachęcić potencjalne ofiary do uruchamiania malware przez kliknięcie w link lub otwarcie zainfekowanego załącznika. Rozwijają też techniki umieszczania szkodliwych kodów bezpośrednio w pamięci RAM, co jest trudniejsze do wykrycia przez oprogramowanie zabezpieczające przed zagrożeniami. Coraz częściej wykorzystują oni również zdecentralizowaną, anonimową infrastrukturę, taką jak usługi dostępne w sieci Tor, by ukryć serwery C&C (Command & Contol) kontrolujące aktywność szkodliwego oprogramowania.
Zarejestrowano istotny spadek liczby pojawiających się w sieci nowych eksploitów, ale jednocześnie zaobserwowano wzrost liczby ataków wykorzystujących tradycyjne, od dawna znane techniki:
– Znaczący wzrost ilości spamu spowodowany jest powrotem sprawdzonych metod masowej dystrybucji malware przy wykorzystaniu np. wiadomości email. Analitycy Cisco przewidują, że ilość spamu ze szkodliwymi załącznikami będzie dalej wzrastać, podczas gdy liczba nowych eksploitów będzie się zmieniać.
– Oprogramowanie spyware i adware, często określane przez specjalistów ds. bezpieczeństwa jako powodujące więcej kłopotów niż rzeczywistej szkody, to element malware, który wciąż się pojawia, stanowiąc zagrożenie dla firm. Przeprowadzone przez Cisco 4-miesięczne badania 300 firm wykazały, że 20% z nich było infekowanych przez trzy główne rodziny szkodliwych kodów. W środowiskach korporacyjnych spyware może służyć do wykradania prywatnych i firmowych informacji osłabiając istniejące mechanizmy zabezpieczania urządzeń i zwiększając zagrożenie kolejnymi infekcjami.
– Ewolucja ransomware, na przykład wzrost popularności usług określanych jako RaaS (Ransomware-as-a-Service), ułatwia cyberprzestępcom przeprowadzanie ataków niezależnie od ich wiedzy i umiejętności technicznych. Informacje o atakach ransomware wciąż trafiają na nagłówki gazet a według szacunków wartość wypłaconych okupów przekroczyła w 2016 roku 1 miliard USD. Należy jednak pamiętać o firmach, które poniosły olbrzymie straty w wyniku ransomware, choć informacje o tym nie zostały upublicznione. Kompromitacja systemów biznesowej poczty email (BEC -Business Email Compromise) czyli ataki wykorzystujące techniki inżynierii społecznej do przygotowania oszukańczych wiadomości email, które mają skłonić do przesłania pieniędzy na konta należące do cyberprzestępców, stały się lukratywnym biznesem. Według organizacji Internet Crime Complaint Center w okresie od października 2013 do grudnia 2016 roku globalne straty związane z atakami BEC osiągnęły wartość 5,3 mld USD.