Znamy wielokierunkowy atak na firmy zajmujące się diagnostyką medyczną. W każdym wypadku zastosowano podobne narzędzia hakerskie. W efekcie z części tych firm powyciekły dane.
Kampanie ransomware trwają krótko ‒ do miesiąca. Potem przestępcy zacierają ślady i po jakimś czasie próbują zaatakować ponownie. Śledzenie aktywności przestępców utrudnia zjawisko tak zwanej afiliacji: grupy przestępcze udostępniają swoje narzędzia i techniki osobom trzecim, które nie są bezpośrednio związane z działalnością oszustów.
Po co im taki pośrednik?
Dla powiększenia rynku. To są takie swoiste „działy sprzedaży” grup przestępczych. Kto się sprawdza, może liczyć na techniczne i operacyjne wsparcie oraz sutą prowizję. Warto dodać, że w takim modelu przestępcą jest także afiliant.
Nasze sakramentalne pytanie: co się zmienia i jakie widać trendy, jeżeli chodzi o ataki cyberprzestępców na firmy?
Widać wzrost wolumenów w atakach DDoS. Innym trendem jest wzrost liczby tzw. krótkich ataków, których celem jest zablokowanie serwisów WWW ważnej instytucji. Ponadto skraca się czas przygotowywania i realizacji kampanii.
Jeżeli chodzi o typ ataków, to w 70 proc. celem jest człowiek (w tym administratorzy systemów) i ewentualny błąd jaki może on popełnić, otwierając drogę przestępcom. W 30 proc. zawodzi technologia, czyli zazwyczaj luki w systemach i narzędziach informatycznych (dlatego audyty bezpieczeństwa zaczynamy od skanowania tzw. podatności, czyli potencjalnych luk).
Z Danii znany jest przypadek podatności wykrytej w popularnym urządzeniu sieciowym szeroko wykorzystywanym przez tamtejszą branżę energetyczną. Pomimo ostrzeżenia wydanego przez duński CERT, 22 firmy energetyczne nie zaktualizowały oprogramowania urządzeń i padły ofiarą hakerów.
Jeden ze znanych dostawców firewalli wykrył podatność w swoim urządzeniu i udostępnił odpowiednią łatę. Po miesiącu wciąż jeszcze 76 proc. użytkowników nie zaktualizowało tego firmware’u. Niestety, łaty do podatności implementowane są zwykle w ciągu trzech miesięcy od udostępnienia przez dostawcę oprogramowania. Na to czyhają przestępcy.
W darknecie dostępne są nieznane podatności. Dla cyberprzestępców to jest rodzaj inwestycji: kupują informacje o podatności, jak najszybciej (zanim ktoś zauważy lukę i ją załata) szykują kampanię, atakują ‒ powiedzmy ‒ milion firm z czego w 100 przypadkach im się powiedzie, a z tych 100 przypadków 30 podmiotów zapłaci okup.
W domowych urządzeniach oprogramowanie często jest aktualizowane automatycznie. To nie jest standardem w rozwiązaniach dla firm?
Dla indywidualnych użytkowników automatyczna aktualizacja, to obowiązek. W rozwiązaniach dla firm działa to trochę inaczej. Profesjonalne działy IT pobierają aktualizacje, ale przed implementacją weryfikują źródło, pobrany kod i efekty aktualizacji w środowisku testowym. Coś przecież zawsze może pójść nie tak z kompatybilnością sprzętową i położyć działanie systemu (bez ingerencji hakerów). Dlatego w firmach aktualizacje zwykle trwają dłużej. I też zresztą mogą stanowić furtkę dla cyberprzestępców. Wspominane wcześniej systemy Solar Winds zostały spenetrowane w ten sposób, że przestępcy przejęli serwer aktualizacji aplikacji. Dzisiaj właśnie tą drogą często atakuje się systemy informatyczne.
Z tego jednak wynika ogromna złożoność problemu cyberodporności w organizacji. Tylko część rzeczy jest zero-jedynkowa: dobrze albo źle. Jak z aktualizacjami: są potrzebne, ale ich implementacja wymaga czasu.
