Novinky v ekosystéme kybernetického zločinu * Gangy, ktoré išli ku dnu a ktoré stúpajú * Prečo enormne rastú útoky na siete v tomto roku  

Máte sieť? Máte problém

Kyberbezpečnostná spoločnosť Crowdstrike hlási takmer 50-percentný medziročný nárast kampaní zameraných na prienik do siete. Prispieva k tomu schopnosť kybernetickej kriminality agresívne inovovať a využívať rôzne biznisové modely na maximalizáciu profitu. Priemerný breakout time, čiže pohyb útočníka od prvotného prístupu k dosiahnutiu cieľa útoku v sieti obete, trvá jednu hodinu a 24 minút.

Aktéri hrozieb si osvojili napríklad Cobalt Strike, mimoriadne výkonný a robustný softvér na testovanie prieniku do siete, pričom využívajú legitímne licencie aj pirátske kópie.

Účinnou zbraňou v rukách zločinu sa stávajú Zero-day a CVE zraniteľnosti. Rastie ich počet, zároveň sa skrátil čas od objavenia zraniteľností k distribúcii škodlivých exploitov a pre dotknuté organizácie tak zostáva čoraz menej času reagovať. A k tomu sú stále úspešné aj kampane postavené na neschopnosti zaplátať tieto zraniteľnosti.

Aj v tomto polroku pokračoval trend poklesu škodlivého softvéru pri pokusoch o prienik do siete. Aktivity bez škodlivého softvéru predstavovali až 71 percent detekcií*. Čiastočne to súvisí s tým, že útočníci zneužívajú platné prihlasovacie údaje do sietí a môžu v nich zotrvávať.

Čo robia strážcovia, keď je toho veľa

Ku komplexnému monitorovaniu (minimálne) kritických prvkov a aplikácií IT infraštruktúry preto už dnes patrí aj monitorovanie aktivít používateľov. A ani to už však nestačí. Na to je potrebné nadviazať procesy, ako identifikovať podozrivé aktivity a následne potlačiť falošné incidenty.

Podľa štatistík narástli požiadavky na skúsených ľudí schopných analyzovať potenciálne bezpečnostné incidenty. Na základe skúseností by mali byť schopní zabrániť prienikom alebo maximálne eliminovať ich dosahy. Trh, ktorý predstavuje implementáciu centier bezpečnostných operácií – SOC (Security Operation Center), rástol za ostatné dva roky medziročne o viac ako 11 percent. V najbližších piatich rokoch sa celý trh SOC zdvojnásobí, pričom sú tu zahrnuté interné centrá bezpečnostných operácií aj externe využívané.

Útočné kampane podľa typu hrozby

Od júla 2021 do júla 2022 výskumníci kvalifikovali a pomenovali aktivity tridsiatich šiestich aktérov hrozieb. Zároveň odborníci zaviedli na kategorizáciu hlavných protivníkov pomenovanie podľa príslušnosti k štátu alebo motivácie útočných kampaní. Piatim skupinám prisúdili štátnu afiliáciu – BEAR (Rusko), CHOLLIMA (Severná Kórea), KITTEN (Irán), PANDA (Čína) a WOLF (Turecko). Za dve najvplyvnejšie skupiny vo svojej oblasti označili SPIDER (eCrime) a JACKAL (hacktivisti).

→ V prvom polroku 2022 sa medziročne zvýšil podiel cielených kampaní na siete v súvislosti so štátnymi záujmami. Presne – zo 14 na 18 percent. Cielené kampane predstavujú kybernetickú špionáž, deštruktívne útoky alebo sú to aktivity, ktoré generujú menu na podporu režimu.

→ Kybernetický zločin alebo delikátne formulované – finančne motivovaná trestná činnosť narušiteľa tvorí 43 percent hrozieb. Aj keď početnosť medziročne klesla o tri percentá, financie sú stále najčastejší motív na prienik do siete.

Nikto nie je imúnny

Najfrekventovanejším cieľom pre kampane zamerané na prienik do sietí je technologický sektor. Smeruje tam aj najviac cielených kampaní v súvislosti so štátnymi záujmami, aj najviac útokov kybernetického organizovaného zločinu. Technologické spoločnosti majú totiž rozhodujúcu úlohu v prevádzke organizácií takmer vo všetkých sektoroch, sú primárnymi cieľmi a zároveň slúžia ako vektor útoku v prípade kompromitácie dodávateľských reťazcov.

Podľa frekvencie kampaní na druhom mieste nasleduje odvetvie telekomunikácií, ktoré je tradične cieľom ransomvérových skupín a spravodajských aktivít. Medzi významné medziročné zmeny patrí zvýšená aktivita proti zdravotníctvu, maloobchodným sieťam, akademickému sektoru a vládnym organizáciám.

Tam, kde sú peniaze

Za prvý polrok 2022 podľahlo a nahlásilo ransomvérový útok viac ako tisícdvesto organizácií. Útoky sú viacej cielené a výkupné vyššie, keďže model RaaS (Ransomware as a Service) umožňuje pridruženým spoločnostiam kupovať alebo prenajímať ransomvérové nástroje a infraštruktúru. Aktéri hrozieb či záškodníci realizujú útoky s menšou námahou, bez technického zázemia a úsilie sústreďujú do analýz a nástrojov sociálneho inžinierstva.

Na základe údajov, ktoré zhromaždila kyberbezpečnostná spoločnosť Trend Micro, bolo aktívnych šesťdesiatsedem „servisných“ a vydieračských skupín. Podľa počtu úspešných útokov v prvom polroku výskumníci zároveň označili tri najvplyvnejšie ransomvérové skupiny – notoricky známy LockBit, dnes už rozpadnutý Conti a BlackCat na vzostupe.

Rodiny, skupiny, gangy

LockBit bol v prvom polroku detegovaný v 1 843 prípadoch útokov, BlackCat mal 1 397 zásahov, Conti skončil s číslom 1 090. Gang BlackCat je pozoruhodný tým, že má prvý profesionálny ransomvér napísaný v Ruste, čo je zároveň jeho hlavná obchodná devíza. Rust je totiž považovaný za bezpečný programovací jazyk, a keďže je multiplatformový, uľahčuje aktérom hrozieb prispôsobenie malvéru rôznym operačným systémom.

V apríli 2022 sa objavil ransomvérový gang Black Basta. Jeho operačná skupina tvrdí, že od júna stojí za až piatimi desiatkami úspešných útokov. Využíva techniku dvojitého vydierania, keď si stiahne kritické a dôverné údaje pred ich zašifrovaním a vyhráža sa obetiam aj ich zverejnením. Výkupné Black Basta je zakódované do samotného malvéru, čo naznačuje možné použitie jedinečných binárnych súborov pre každú z obetí. Ďalšia významná ransomvérová skupina s názvom Nokoyawa sa objavila v prvej polovici tohto roka a zamerala sa na obete v regióne Južnej Ameriky, konkrétne v Argentíne.

Komoditný malvér?

Aby operátori ransomvéru uspeli, integrujú do útokov malvér. A údaje zo siete Trend Micro Smart Protection Network ukazujú, že Emotet opäť prosperuje. V prvej polovici roku 2022 došlo k neuveriteľnému 977-percentnému nárastu jeho detekcií v porovnaní s rovnakým obdobím minulého roka.Komoditný malvér?

Takže služba MaaS (Malware as a Service) nadobudla ostrejšie biznisové kontúry. V schéme MaaS útočníci masívne používali na jar Emotet ako zavádzač na nasadenie Conti do infikovaných systémov. Teraz ho využívajú aj ďalšie skupiny vrátane Quantum a BlackCat.

Útočníci používaním schém MaaS nielenže zefektívnili útok, ale aj rozšírili dosah. Zamerali sa na jeden z najvýkonnejších operačných systémov v cloudových platformách a na serveroch na celom svete – na Linux. Medziročný rast ransomvérových útokov na systémy Linux v prvej polovici roku 2022 bol 75 percent.

* detekcie indexované bezpečnostnými nástrojmi CrowdStrike (pozri report)

Zdroje

^{Trend Micro 2022 Midyear Cybersecurity Report: Defending the expanding attack surface}

^{CrowdStrike: 2022 Falcon OverWatch Threat Hunting Report}

^{SecurityBrief: Polaris research finds major growth trends in the global SOC market}