W sieci. Jak zabezpieczyć się przed nowymi i znanymi zagrożeniami

Przyglądając się największym problemom z 2018 r., dostrzegliśmy zmiany w strategiach cyberprzestępców i utrzymujące się zagrożenia dla bezpieczeństwa. Przedsiębiorstwa stawały przed licznymi wyzwaniami.
  • Zagrożenia związane z wiadomościami
  • Ransomware
  • Luki w zabezpieczeniach o krytycznym znaczeniu
  • Ataki na IoT
  • Badania Trend Micro
  • Krajobraz zagrożeń
  • PDF do pobrania

W 2018 r. przedsiębiorstwa zalała fala cyberprzestępczości obejmująca zarówno nowe, jak i znane już wcześniej zagrożenia. Badacze odkryli, że niemal wszystkie działające komputery mają poważne wady sprzętowe, problem z ransomware nie został rozwiązany, a kryptowaluty są wydobywane nielegalnie na coraz więcej sposobów. Ponadto odnotowali nowe, skuteczne ataki na słabo zabezpieczone urządzenia domowe połączone z Internetem. W reakcji na coraz większą liczbę systemów operacyjnych i urządzeń cyberprzestępcy zaczęli rezygnować z ataków opartych na zestawach exploitów na rzecz starej, ale ciągle skutecznej taktyki — socjotechniki. Zestawy exploitów i zautomatyzowane metody były efektywne, gdy wielu użytkowników używało oprogramowania z lukami w zabezpieczeniach, jednak w 2018 r. przestępcy częściej woleli wykorzystywać ludzkie słabości. 

Nasze coroczne podsumowanie zabezpieczeń obejmuje analizę tych i innych ważnych kwestii związanych z bezpieczeństwem. Dostarcza także przedsiębiorstwom i użytkownikom cennych informacji, które pomagają im uświadomić sobie zagrożenia i lepiej się na nie przygotować.

. . .

Zagrożenia związane z wiadomościami

Służbowa poczta e-mail służy do przesyłania ważnych wiadomości do i z sieci przedsiębiorstwa, więc jest dla cyberprzestępców atrakcyjnym celem. W związku z powyższym phishing i inne oszustwa socjotechniczne są jednymi z najpoważniejszych problemów, z którymi zmagają się specjaliści ds. cyberbezpieczeństwa. Niechciane wiadomości e-mail, profesjonalnie skonstruowane i sformułowane, z łatwością mogą oszukać odbiorcę, który regularnie otrzymuje podobne e-maile.  

W 2018 r. wzrosła liczba różnego rodzaju zagrożeń związanych z przesyłaniem wiadomości. W szczególności zaobserwowaliśmy 82-procentowy wzrost blokowania dostępu do adresów URL służących do phishingu według unikatowych adresów IP klientów w porównaniu z rokiem ubiegłym. Do phishingu zwykle wykorzystywana jest poczta e-mail, ponieważ taki sposób rozprzestrzeniania zagrożeń jest mniej zależny od platformy niż inne rodzaje ataków, które polegają na przykład na określonych exploitach.

2017
11,340,408
2018
20,617,181

Porównanie rok do roku blokowania dostępu do adresów URL służących do phishingu według unikatowych adresów IP klientów (jedno urządzenie, na którym skorzystano z linku trzy razy, jest liczone tylko raz)

Ostatnio oprócz poczty e-mail do ataków phishingowych używano także czatu, SMS-ów i innych sposobów komunikacji. Większe zróżnicowanie ataków phishingowych i wzrost ich liczby pokazuje, jak cyberprzestępcy dostosowują się do zmieniającej się sytuacji. Większa liczba urządzeń łączących się z Internetem i coraz bogatsza oferta systemów operacyjnych oznaczają, że wykorzystanie jednego, konkretnego systemu nie będzie dla cyberprzestępców tak zyskowne jak w przeszłości. W związku z tym zwrócili się oni ku staremu, ale nadal skutecznemu atakowi.

28%
2017-2018

Inną formą ataków, do których wykorzystuje się systemy przesyłania wiadomości, były w 2018 r. fałszywe biznesowe wiadomości e-mail (BEC). W typowym ataku BEC przestępca inicjuje lub przechwytuje komunikację, aby oszukać pracownika przedsiębiorstwa, który ma uprawnienia do wydania lub przesłania funduszy.


  • Dyrektor generalny

  • Dyrektor zarządzający/dyrektor

  • Prezes

  • Dyrektor generalny/kierownik

  • Prezes zarządu

  • Inne

Stanowiska najczęściej wykorzystywane do podszywania się

O ile ogólna liczba ataków typu BEC była niska, o tyle udana próba mogła doprowadzić do dużych strat finansowych w firmach będących ich celem. Z kolei ataki phishingowe były skierowane przeciwko dużej liczbie potencjalnych ofiar, ponieważ oszukanie nawet małego procenta użytkowników przyniosłoby atakującym zysk.

. . .

Ransomware

Ogólnie zagrożenia związane z ransomware zmniejszyły się o 91 procent od 2017 do 2018 r., a liczba odkrytych rodzin ransomware w tym samym okresie również spadła. Ten ostry i ciągły spadek stanowił kontynuację trendu odnotowanego w naszym podsumowaniu półrocznym. Można to przypisać lepszym rozwiązaniom do ochrony przed ransomware, rosnącej świadomości tego zagrożenia i w pewnym zakresie wiedzy, iż negocjowanie z przestępcami nie przyniesie efektów.

2017
631,128,278
2018
55,470,005

Zagrożenia związane z ransomware

2017
327
2018
222

Nowe rodziny ransomware

W związku z tym, że zysk, który chcieli osiągnąć atakujący, przeważał wysiłek związany z organizacją ataków, oprogramowanie ransomware nadal było używane. Liczba przypadków wykrycia WannaCry — rodziny, która spowodowała słynną epidemię ransomware w maju 2017 r. — nie zmieniła się znacząco (616 399) i usunęła w cień ataki wszystkich innych rodzin ransomware.

W 2018 r. liczba przypadków wykrycia wydobywania kryptowalut wzrosła do ponad 1,3 mln, co oznacza 237-procentowy wzrost w porównaniu z rokiem poprzednim. 

1,350,951
2018
400,873
2017

Przypadki wykrycia wydobywania kryptowalut

Przez cały rok nie tylko odnotowaliśmy więcej przypadków wykrycia, ale też obserwowaliśmy „gorączkę złota” związaną z metodami ataków ukierunkowanych na wydobywanie kryptowalut: związane były z platformami reklamowymi, reklamami wyskakującymi, miały postać złośliwych rozszerzeń do przeglądarek, ataków na telefony komórkowe, botnetów, były łączone w pakiety z legalnym oprogramowaniem, w zestawy exploitów i przekazywane jako zmodyfikowane ransomware

819%
w zagrożeniach bezplikowych
sierpień 2017–grudzień 2018

Oprócz tego odnotowaliśmy falę jednej z metod ataku używanej do omijania tradycyjnych metod dodawania do czarnej listy, a mianowicie zagrożeń bezplikowych. Te konkretne zagrożenia starają się ominąć konwencjonalne rozwiązania i zwykle można je wykryć tylko przy użyciu innych środków, takich jak monitorowanie ruchu, wskaźniki behawioralne lub piaskownica (tzw. „sandboxing”).

. . .

Luki w zabezpieczeniach o krytycznym znaczeniu

Ten rok w dziedzinie bezpieczeństwa rozpoczął się od przełomowego ujawnienia Meltdown i Spectre — luk w zabezpieczeniach na poziomie procesora, które wynikały z błędów spekulatywnego wykonywania instrukcji CPU. Nowe klasy błędów dotyczyły różnych mikroprocesorów i stały się źródłem nowych ataków z wykorzystaniem luk w procesorach, a także wielu trudności z minimalizowaniem zagrożeń. Do końca roku nie przedstawiono żadnego prostego rozwiązania tego problemu.

Kolejnym problemem, który po raz pierwszy pojawił się w 2018 r., było odkrycie mającej krytyczne znaczenie luki w zabezpieczeniach oprogramowania open source do orkiestracji w chmurze — Kubernetes. Na szczęście ten konkretny problem szybko rozwiązano.

Większość luk w zabezpieczeniach jest odnajdywana, a następnie ujawniana w sposób odpowiedzialny przez badaczy i dostawców, tak aby nie mogły zostać użyte do szeroko zakrojonych ataków. Publiczne ujawnienie luki w zabezpieczeniach oznacza, że dowiedzą się o niej również cyberprzestępcy, więc konieczne jest utworzenie poprawki jeszcze przed przekazaniem informacji. Przestępcy aktywnie wykorzystują luki w zabezpieczeniach, aby tworzyć exploity operacyjne.

Ostatnio nie odnotowano żadnego szeroko zakrojonego ataku typu zero-day z wykorzystaniem exploitów, a w przeszłości dochodziło do nich co najmniej dwa lub trzy razy w roku. Zasięg ataków wykrytych w 2018 r. był ograniczony. Cyberprzestępcy wykorzystywali również luki w zabezpieczeniach, do których wydano już poprawki, zakładając, że wielu użytkowników nie zastosowało dostępnych rozwiązań wystarczająco szybko lub w ogóle. 

* Przesuń kursor nad element, aby wyświetlić datę ataku

* Dotknij elementu, aby wyświetlić datę ataku

Luka w zabezpieczeniach Drupala służąca do wydobywania kryptowalut

CVE-2018-7602
DATA POPRAWKI:
25 kwietnia 2018 r.

DATA ATAKU:
5 godzin po wydaniu poprawki

Luki w zabezpieczeniach Apache CouchDB służące do wydobywania kryptowalut

CVE-2017-12635,
CVE-2017-12636
DATA POPRAWKI:
14 listopada 2017 r.

DATA ATAKU:
15 lutego 2018 r.
3 miesiące później

Luka w zabezpieczeniach Oracle WebLogic WLS-WSAT służąca do wydobywania kryptowalut

CVE-2017-10271
DATA POPRAWKI:
16 października 2017 r.

DATA ATAKU:
26 lutego 2018 r.
4 miesiące później

Luka w zabezpieczeniach, która umożliwia trwały rooting telefonów z systemem Android używanych w AndroRat

CVE-2015-1805
DATA POPRAWKI:
16 marca 2016 r.

DATA ATAKU:
13 lutego 2018 r.
23 miesiące później

Godne uwagi ataki z 2018 r. z zastosowaniem exploitów ukierunkowanych na znane i poprawione luki w zabezpieczeniach

Znaczny odsetek luk w zabezpieczeniach znalezionych w 2018 r. dotyczył oprogramowania używanego w systemach kontroli przemysłowej (ICS). Większość z tych luk znajdowała się w interfejsach człowiek-maszyna (HMI) do systemów ICS i środowiskach systemów sterowania i pozyskiwania danych (SCADA). HMI to centrum monitorowania, implementacji stanów różnych procesów w obiektach i zarządzania nimi. Wykorzystanie mającej krytyczne znaczenie luki w zabezpieczeniach HMI może dać atakującemu możliwość wywierania wpływu na działanie fizycznych komponentów obiektu przedsiębiorstwa. 

. . .

Ataki na IoT

Ataki oparte na routerach nadal utrzymują się na tym samym poziomie, mimo reperkusji wobec twórców zagrożeń Mirai i Satori. W 2018 r. odkryliśmy, że zmodyfikowany kod Mirai jest nadal używany w atakach na routery. Oprócz tego VPNFilter — kolejna forma złośliwego oprogramowania infekującego routery — został zmodyfikowany poprzez dodanie nowych funkcji, obejmujących podsłuchiwanie ruchu sieciowego i przetrwanie restartu, co spowodowało wykorzystanie routerów do inicjowania ataków DDoS. Dodatkowo routery były używane do wydobywania kryptowalut i pharmingu, co stanowiło kontynuację trendu wzrostu funkcjonalności, który odnotowaliśmy w naszym podsumowaniu półrocznym.

W 2018 r. zarejestrowano dwa przykłady ataków:


  1. Cryptojacking

    Atakujący wykorzystali poprawiony błąd w zabezpieczeniach routerów MikroTik w Brazylii i wstrzyknęli złośliwy skrypt Coinhive, aby wydobywać Monero.


  2. Złośliwe przekierowywanie

    Zestaw exploitów Novidade mógł zmienić ustawienia systemu DNS, aby niczego niepodejrzewający użytkownik mógł zostać przekierowany do fałszywych stron kontrolowanych przez atakującego.

Coraz więcej inteligentnych urządzeń łączy się z Internetem rzeczy (IoT), więc coraz liczniejsi użytkownicy stają się „administratorami inteligentnych sieci domowych”. Muszą oni dbać o to, aby ich routery nie stały się punktem wejścia dla atakujących. W związku z tym, że routery pełnią funkcję centrum zarządzania połączeniami z innymi urządzeniami, które wymagają dostępu do Internetu, muszą być dobrze zabezpieczone.

. . .

Badania Trend Micro


Rozwiązania „machine learning”

  • Ochrona prewencyjna. Uzyskiwanie dokładniejszych informacji o zagrożeniach sieciowych dzięki „machine learning”
  • Generowanie przykładów mylących: doskonalenie systemów „machine learning” na potrzeby zabezpieczeń
  • Odkrywanie nieznanych zagrożeń dzięki „machine learning” w formacie czytelnym dla człowieka

Szpitale, elektrownie i wodociągi korzystające z sieci

  • Narażona na atak infrastruktura o znaczeniu krytycznym: branże wodociągowa i energetyczna
  • Delikatna architektura danych przemysłowego Internetu rzeczy
  • Ochrona szpitali korzystających z sieci. Badanie dotyczące narażonych na ataki systemów medycznych i ryzyka związanego z łańcuchem dostaw

Cyberprzestępczość — dochodzenia i aresztowania

  • Powstanie i upadek Scan4You
  • Ewolucja cyberprzestępczości i cyberzabezpieczeń

. . .

Krajobraz zagrożeń

48387151118

Łączna liczba zablokowanych zagrożeń w 2018 roku

Zablokowane składniki zagrożeńI połowa 2018 r.II połowa 2018 r.Łącznie w 2018 r.
Zagrożenia w poczcie e-mail16,997,711,54724,521,948,29741,519,659,844
Złośliwe pliki2,956,153,1122,867,738,6535,823,891,765
Złośliwe adresy URL534,534,550509,064,9591,043,599,509
Łączna liczba zagrożeń20,488,399,20927,898,751,90948,387,151,118

Porównanie półroczne zablokowanych zagrożeń związanych z pocztą e-mail, plikami i adresami URL


RokRodzina WannaCryInne rodziny ransomware
2017321,814244,716
2018616,399126,518

Porównanie rok do roku przypadków wykrycia WannaCry w zestawieniu z łączną liczbą przypadków wykrycia innych rodzajów ransomware



Miesięczne porównanie przypadków wykrycia zagrożeń bezplikowych


  •  
  • 147%
  • 33%
  • 35%
  • 38%
  • 94%
  • 27%

Porównanie rok do roku luk w zabezpieczeniach stwierdzonych u wybranych dostawców oprogramowania

Aby uzyskać więcej informacji o najważniejszych problemach z cyberbezpieczeństwem w 2018 r., pobierz nasze coroczne podsumowanie zabezpieczeń.

. . .

POBIERZ PEŁEN RAPORT

. . .
HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.