Komercionalizace kybernetické kriminality vedla v roce 2022 k nárůstu téměř všech typů kybernetických útoků. Výsledkem byl nevídaný rozvoj malwarové ekonomiky, v němž není žádná společnost imunní.
Společnost Sophos, světový lídr v oblasti inovací a poskytování kybernetické bezpečnosti jako služby, zveřejnila zprávu „Sophos 2023 Threat Report“. Díky kombinaci telemetrie, dat z reakcí na incidenty a dalšího shromažďování informací o hrozbách zpráva představuje současné prostředí hrozeb a trendy, které se objevují v oblasti škodlivých aktivit.
V reportu se dozvíte, jaké je současné prostředí kybernetických hrozeb, na které ransomware útoky si dát největší pozor, či seznam nástrojů, taktik a postupů, který útočníci používají k provádění hrozeb.
Události, které ovlivnily kyberbezpečnost v roce 2022
Válka na Ukrajině měla globální dopady na prostředí kybernetických hrozeb. Bezprostředně po invazi došlo k explozi finančně motivovaných podvodů, zejména mezi pobočkami ransomwaru.
Zločinci nadále využívají legitimní spustitelné soubory a využívají binární soubory LOLBins k různým typům útoků, včetně ransomwaru. V některých případech útočníci nasazují zranitelné systémové ovladače v rámci útoků typu BYOD („Bring your own device“ – tzn. osobní zařízení, která si nosí uživatelé do pracovního prostředí), aby se pokusili vypnout funkce pro detekci a reakci na koncové body a vyhnout se tak detekci.
Mobilní zařízení jsou nyní v centru nových typů kybernetické kriminality. Útočníci stále používají falešné aplikace k doručování malwarových injektorů, spywaru a malwaru spojeného s bankovnictvím. Na popularitě získávají i novější formy kybernetických podvodů cílené na mobilní zařízení.
Znehodnocení Monera, jedné z nejoblíbenějších kryptoměn pro kryptominery, vedlo k poklesu kryptominingu. Kryptomining se však nadále šíří prostřednictvím automatizovaných „botů“ v systémech Windows i Linux.
Co očekávat v prostředí kybernetické bezpečnosti v roce 2023
Komercializace kybernetické kriminality
Ačkoli ransomware jako služba (RaaS) není novým fenoménem, rozšíření modelu formou služby (as-a-service; aaS) umožňuje zakoupit téměř všechny součásti kybernetické kriminality. Komercializace a pohodlí pro potenciální útočníky tak odstranila téměř všechny překážky pro vstup na trh.
V roce 2022 jsme byli svědky širšího přijetí modelu aaS v prostoru kybernetické kriminality. Na digitálních tržištích se možno zakoupit prakticky všechny nástroje pro kybernetické útoky.
S rozvojem aaS dochází také ke stále větší komodifikaci kybernetických tržišť. Prodejci kybernetické kriminality nejen inzerují své služby, ale také vypisují nabídky práce, aby získali útočníky s odlišnými dovednostmi. Některá tržiště nyní mají speciální stránky s nabídkami pomoci a nábory zaměstnanců, zatímco zájemci o práci zveřejňují shrnutí svých dovedností a kvalifikace.
Rozvíjející se ekonomika podsvětí nejenže motivovala růst ransomwaru a odvětví aaS, ale také zvýšila poptávku po krádežích pověření. S rozšířením webových služeb lze různé typy pověření, zejména cookies, využít mnoha způsoby k získání hlubšího zázemí v sítích. Jedním z nejjednodušších způsobů, jak se stát kyberzločincem, tak i nadále zůstávají krádeže pověření.
Rostoucí poptávka po infostealech
Infostealery a malware pro krádež informací, jako jsou keyloggery a trojské koně pro vzdálený přístup (RAT), vždy hrály klíčovou roli v prostředí kybernetických hrozeb. Nárůst poptávky po ukradených pověřeních však na krádeže informací upozornil ještě více. Přestože útočníci v minulosti spoléhali na virtuální privátní sítě (VPN) a protokoly vzdálené plochy (RDP), aby získali přístup k síti, ukradená pověření poskytují více vstupních bodů a mohou být použita k bočnímu pohybu. Útočník může například využít ukradená pověření k tomu, aby obešel autentizační opatření.
Široce dostupné jsou také profesionální útočné nástroje – doplněné o „prolomené“ nebo obejité licence. Nástroj Cobalt Strike, určený bezpečnostním profesionálům k napodobování pokročilých útočníků, je nyní vidět ve většině případů ransomwaru. Brute Ratel, další pokročilý nástroj pro zneužití inzerovaný jako náhrada Cobalt Strike, je nyní také široce dostupný a dosud byl zaznamenán v několika incidentech ransomwaru.
Útoky mimo operační systém Windows
Jak se infrastruktura kyberzločinu rozšiřovala, ransomware skutečně zůstával velmi populární – a vysoce ziskový. V uplynulém roce provozovatelé ransomwaru pracovali na rozšíření své potenciální útočné služby tím, že se zaměřili na jiné platformy než Windows. Stále častěji tak dochází k útokům na systémy založené na Linuxu, platformy MacOS, a dokonce i na mobilní aplikace. Současně s nárůstem mobilních útoků se rozvinuly kruhy finančních podvodníků, přičemž některé z nich se rozšířily do celého světa. Tyto kampaně organizovaného zločinu zahrnují specializované zločince, jako jsou tvůrci falešných sociálních profilů a podvodní vývojáři webových stránek a aplikací, kteří provádějí taktiky sociálního inženýrství. Zaměřují se zejména na způsoby, jak pomocí falešných aplikací oklamat oběti a přimět je k odhalení jejich mobilních peněženek s kryptoměnami nebo je přimět k přímému převodu finančních prostředků, včetně zneužití schémat ad-hoc nasazení aplikací v systému iOS od společnosti Apple.
Využívání binárních souborů
V minulosti aktéři hrozeb používali binární soubory „living-off-the-land“ (LOLBins) k maskování škodlivé činnosti po zneužití. V poslední době však podvodníci našli nové způsoby, jak tyto binární soubory využívat. Pomáhají jim tak provádět systémové příkazy, obcházet přednastavené bezpečnostní funkce a pohybovat se bočně v sítích pomocí nativních součástí systému Windows.
Nejčastějším LOLBinem, který jsme v roce 2022 zaznamenali, byl příkazový shell systému Windows (cmd.exe). Ten většina backdoorů a shellů používá ke spouštění malwaru.
Útočníci často používali skriptovací platformy systému Windows, jako jsou mshta.exe a wscipt.exe, ke stahování a spouštění škodlivého obsahu, spouštění volání API systému Windows a shromažďování dat. Aktéři hrozeb neustále nacházejí nové způsoby, jak využívat LOLbiny a vyhýbat se bezpečnostním opatřením. V roce 2023 je proto nezbytné tuto aktivitu monitorovat a využívat řešení strojového učení, která snižují složitost problému.
Chcete-li se dozvědět více, stáhněte si zprávu Sophos 2023 Threat Report, kde se blíže seznámíte s trendy a událostmi, které nadále formují prostředí kybernetických hrozeb.