Fortinet zaprezentował prognozy zespołu badawczego FortiGuard Labs dotyczące cyfrowych zagrożeń w 2022 roku i kolejnych latach. Wynika z nich, że cyberprzestępcy aby zmaksymalizować prawdopodobieństwskutecznośco ataku szukają możliwości zaatakowania w każdy sposób – poprzez infrastrukturę brzegową, korzystając z sieci 5G, tradycyjnych korporacyjnych i domowych sieci, a także nawet internetu satelitarnego, a więc przesyłania danych w przestrzeni kosmicznej.
Analitycy FortiGuard Labs zaobserwowali wyłaniające się trendy obrazujące strategię cyberprzestępców oraz opracowali zalecenia, które pomogą przygotować się do ochrony przed nadchodzącymi atakami. Poniżej przedstawione są najważniejsze prognozy, zaś bardziej szczegółowe informacje i wnioski dostępne są na blogu.
Rośnie zakres działań rozpoznawczych przed atakiem, aby zmaksymalizować skuteczność ransomware’u
Mechanizmy prowadzenia ataku często są wizualizowane za pomocą wydarzeń przedstawianych po lewej i prawej stronie – zgodnie z metodologią analizy łańcucha ataku przyjętą w dokumencie MITRE ATT&CK. Po lewej stronie obrazowane są wysiłki podejmowane przed atakiem, na które składa się jego planowanie, tworzenie złośliwych narzędzi oraz strategii ich wdrożenia w środowisku ofiary. Po prawej stronie przedstawiana jest łatwiejsza do wyobrażenia faza samego prowadzenia ataku. Analitycy FortiGuard Labs przewidują, że cyberprzestępcy będą poświęcać więcej czasu i wysiłku na etapy rozpoznania i poszukiwania podatności dnia zerowego, aby podczas ataków zastosować nowatorskie techniki i zapewnić sobie jak największą skuteczność. Niestety, wzrośnie również tempo, w jakim ataki będą uruchamiane, ze względu na rozwijający się rynek przestępstw popełnianych jako usługa (Crime-as-a-Service).
- Ransomware stanie się bardziej destrukcyjny – W dalszym ciągu będzie postępowała ekspansja złośliwego oprogramowania, a ransomware w przyszłości pozostanie w centrum uwagi. Atakujący w ten sposób cyberprzestępcy już teraz zwiększają siłę rażenia poprzez połączenie szyfrowania danych ofiary z unieruchomieniem jego infrastruktury za pomocą ataku typu DDoS. Robią to w nadziei, że w wyniku całkowitego przytłoczenia zespoły IT nie będą w stanie w trybie doraźnym podjąć natychmiastowych działań w celu złagodzenia szkód wywołanych przez atak. Dodanie „tykającej bomby zegarowej” w postaci złośliwego oprogramowania typu wiper, które może nie tylko zniszczyć dane, ale również systemy i sprzęt, wywiera dodatkowy nacisk na firmy, aby dokonały opłaty okupu w pilnym trybie. Narzędzia typu wiper zostały już wykorzystane m.in. w ataku na organizatorów Igrzysk Olimpijskich w Tokio. Biorąc pod uwagę poziom zbieżności sposobów prowadzenia cyberataków oraz tworzenia zaawansowanych trwałych zagrożeń (APT), tylko kwestią czasu wydaje się być dodanie do narzędzi ransomware destrukcyjnych funkcji, takich jak oprogramowanie wiper. Może to stanowić duży problem dla nieustannie rozwijanych środowisk brzegowych, infrastruktury krytycznej i łańcuchów dostaw.
- Cyberprzestępcy używają sztucznej inteligencij (AI) do tworzenia idealnych fałszerstw – Sztuczna inteligencja jest już wykorzystywana do obrony na wiele sposobów, np. do wykrywania nietypowych zachowań, które mogą wskazywać na atak, zwykle prowadzony za pomocą botnetów. Ale również cyberprzestępcy wykorzystują AI do neutralizacji działania skomplikowanych algorytmów wykorzystywanych do wykrywania inicjowanej nietypowej aktywności. Zjawisko to będzie ewoluować w przyszłości, ponieważ coraz większym problemem stają się idealne fałszerstwa (deep fake), do tworzenia których wykorzystywana jest sztuczna inteligencja – pomaga ona w naśladowaniu ludzkich działań i może być wykorzystywana do wzmacniania siły ataków socjotechnicznych. Ponadto, tworzenie deep fake’ów zostanie wkrótce uproszczone w wyniku postępującej komercjalizacji zaawansowanych aplikacji. Mogłą one ostatecznie doprowadzić do podszywania się w czasie rzeczywistym pod konkretną osobę za pomocą głosu i wideo, a to ułatwi przejście przez proces uwierzytelniania biometrycznego, co będzie stanowić duże wyzwanie dla traktowanych jako bezpieczne form logowania, np. za pomocą odcisków palców czy rozpoznawania twarzy.
- Więcej ataków na systemy w łańcuchu dostaw, którymi dotychczas było mniejsze zainteresowanie – W wielu sieciach systemy back-end pracują pod kontrolą Linuksa, który jeszcze do niedawna nie był głównym celem cyberprzestępców. Jednak ostatnio wykryto nowy złośliwy kod ukierunkowany na moduł Microsoft WSL (Windows Subsystem for Linux), który stanowi warstwę umożliwiającą natywne uruchamianie binarnych plików wykonywalnych Linuksa w systemach Windows 10, Windows 11 i Windows Server 2019. Ponadto, istnieje już złośliwe oprogramowanie botnetowe dla Linuksa, a to jeszcze bardziej rozszerza powierzchnię ataku, która tym samym sięga już do rdzenia sieci i zwiększa listę zagrożeń, przed którymi należy się bronić. Ma to konsekwencje dla urządzeń technik operacyjnych (OT) i całych łańcuchów dostaw, które działają na platformach Linux.
Cyberprzestępcy celują wszędzie – w Twój portfel, dom i kosmos
Istnieje o wiele więcej wyzwań dla administratorów niż te związane tylko z rosnącą liczbą ataków lub nieustannie rozwijanymi technikami stosowanymi przez cyberprzestępców. Eksplorowane są nowe, możliwe do wykorzystania obszary. Zwiększa to poziom trudności obrony, bowiem w tym samym czasie firmy na całym świecie, w związku z popularyzacją modelu pracy z dowolnego miejsca, zdalnego nauczania i rozwojem usług chmurowych, nieustannie rozbudowują brzeg swoich sieci. Pojawiają się też wyzwania w gospodarstwach domowych – nauka i granie przez internet stały się powszechnymi czynnościami. Wzrost liczby szybkich łączy, dostępnych wszędzie i przez cały czas, ułatwia cyberprzestępcom przeprowadzenie ataku. Będą oni przeznaczać znaczne środki na ten cel, zaś środowiska pracy zdalnej i infrastruktura brzegowa stają się ich „ulubionymi”, zajmując dotychczasowe miejsce tradycyjnej sieci.
- Cyberprzestępczość wchodzi w przestrzeń kosmiczną – Analitycy FortiGuard Labs spodziewają się, że w ciągu najbliższego roku, wraz z rozwojem satelitarnego dostępu do internetu, pojawią się pierwsze zagrożenia typu proof-of-concept, udowadniające, że ich celem może być także ten model łączności. Najbardziej zagrożone będą firmy, które polegają na komunikacji przez satelity wspierającej działania wymagające niskich opóźnień, takich jak gry online lub dostarczanie usług o znaczeniu krytycznym do znajdujących się w odległych lokalizacjach biur terenowych, systemów obsługi infrastruktury (np. rurociągi), statki obsługujące rejsy wycieczkowe czy biura linii lotniczych. Zwiększy to również liczbę systemów, które potencjalnie mogą zostać zaatakowane, ponieważ firmy za pomocą sieci satelitarnych podłączają do swoich sieci urządzenia znajdujące się wcześniej poza nią, np. rozwiązania technik operacyjnych (OT). W miarę wzrostu popularności sieci satelitarnych także one będą aktywnie wykorzystywane do rozsyłania ransomware’u.
- Konieczna ochrona cyfrowych portfeli – Ingerowanie w proces wykonywania przelewów bankowych staje się coraz trudniejsze dla cyberprzestępców, ponieważ instytucje finansowe szyfrują wszystkie transakcje i wymagają wieloskładnikowego uwierzytelniania (MFA). Z drugiej strony, cyfrowe portfele czasami mogą być mniej bezpieczne niż regularna bankowość. Co prawda, portfele osób prywatnych mogą nie zapewniać znaczących zysków, ale atrakcyjność tej formy zmieni się, gdy do transkacji online zaczną wykorzystywać je przedsiębiorstwa. W związku z tym istnieje prawdopodobieństwo, że coraz więcej złośliwego oprogramowania będzie projektowanego specjalnie w celu pozyskiwania danych uwierzytelniających do cyfrowych portfeli i kradzieży ich zawartości.
- Esport również jest celem ataków – Esport to zorganizowane, wieloosobowe zawody w grach wideo, często z udziałem profesjonalnych graczy i drużyn. Jest to prężnie rozwijająca się branża, której przychód w tym roku może przekroczyć miliard dolarów. Dlatego stanowi atrakcyjny cel dla cyberprzestępców, którzy stosują ataki DDoS, oprogramowanie ransomware, ingerują w transakcje bankowe, kradną pieniądze i przeprowadzają manipulacje socjotechniczne. Z łatwością korzystają z tego, że gracze wymagają stałej łączności, często realizowanej za pomocą niewystarczająco zabezpieczonych domowych sieci lub w miejscach z otwartymi publicznymi sieciami Wi-Fi. Ze względu na interaktywny charakter gier, ich użytkownicy również są celem manipulacji i ataków socjotechnicznych. Biorąc pod uwagę tempo wzrostu oraz rosnące zainteresowanie esportem i grami online, mogą stać się one znaczącymi celami ataków w 2022 roku.
Życie na brzegu
Rosnąca liczba urządzeń Internetu Rzeczy (IoT) i urządzeń OT, a także wyposażonego w mechanizmy sztucznej inteligencji sprzętu podłączonego do sieci 5G, umożliwia tworzenie aplikacji przeprowadzających wiele rodzajów operacji w czasie rzeczywistym. To zaś przyczynia się do zwiększenia zasięgu rozległej infrastruktury brzegowej, w której będzie pojawiać się coraz więcej rodzajów zagrożeń. Cyberprzestępcy będą wykorzystywali w maksymalny sposób rosnącą ilość mocy obliczeniowej i wszelkie potencjalne luki w zabezpieczeniach obejmujących inteligentną infrastrukturę brzegową, aby tworzyć zaawansowane zagrożenia, destrukcyjne na niespotykaną dotąd skalę. A ponieważ urządzenia brzegowe stają się coraz potężniejsze i mają coraz więcej możliwości, wykorzystanie ich jako celów ataku może zapewnić cyberprzestępcom dostatnie życie. Przyczyni się do tego także postępująca konwergencja sieci IT i OT.
- Wygodne życie cyberprzestępców dzięki infrastrukturze brzegowej – Podczas ataków na infrastrukturę brzegową wykorzystywane będą zainstalowane w zagrożonych środowiskach wiarygodne zestawy narzędzi, dzięki którym sam proces ataku oraz eksfiltracja danych będą wyglądały jak normalna aktywność systemu i pozostaną niezauważone. Podczas ataku Hafnium na serwery Microsoft Exchange zastosowana została ta technika w celu zakamuflowania złośliwego kodu w kontrolerach domeny. Taktyka ukrywania ataków, określana mianem „Living off the land” jest skuteczna , ponieważ wykorzystuje legalne narzędzia do prowadzenia przestępczych działań. Ich połączenie z trojanami typu Edge-Access Trojan (EAT) będzie oznaczało, że to głównie urządzenia brzegowe – coraz mocniejsze, bardziej funkcjonalne i spełniające ważne zadania w przedsiębiorstwie – staną się nowym celem ataków. Złośliwe oprogramowanie na brzegu sieci będzie monitorować działania w tym fragmencie infrastruktury, wykradać dane, włamywać się do krytycznych systemów i aplikacji oraz wymuszać okupy, unikając jednocześnie wykrycia przez rozwiązania skupiające się na rdzeniu sieci.
Dark Web sprawia, że ataki na infrastrukturę krytyczną stają się skalowalne – Cyberprzestępcy nauczyli się, że mogą zarabiać udostępniając swoje złośliwe narzędzia w modelu usługowym. Zamiast konkurować z innymi grupami przestępczymi, oferującymi podobne narzędzia, skupiają się na rozszerzeniu swojego portfolio o ataki zagrażające infrastrukturze krytycznej oraz konwergentnym rozwiązaniom OT/IT na brzegu sieci. Wymuszanie okupu za przywrócenie dostępu do takich systemów i infrastruktury stało się lukratywnym źródłem dochodu. Może mieć jednak również tragiczne konsekwencje, poprzez wpływ na życie i bezpieczeństwo ludzi. Ponieważ coraz więcej sieci jest połączonych ze sobą, praktycznie każdy ich punkt może być potencjalnym celem ataku w celu uzyskania dostępu do całej sieci IT w przedsiębiorstwie. Zazwyczaj ataki na systemy OT były domeną bardziej wyspecjalizowanych grup cyberprzestępców, ale dziś są osiągalne po prostu jako usługa w dark webie, co czyni je dostępnymi dla znacznie szerszej grupy.
Źródło i prawa