Ransomware pro organizace zůstává jednou z největších kybernetických hrozeb

24. 11. 2022. (redaktor: František Doupal, zdroj: Sophos)
Studie Sophos 2023 Threat Report rozebírá, jak se prostředí kybernetických hrozeb dostalo na novou úroveň komerčního využití a pohodlí pro potenciální útočníky, když byly díky rozšíření kybernetické kriminality jako služby odstraněny téměř všechny překážky pro páchání kybernetické kriminality.

Zločinecká tržiště, jako je Genesis, již dlouho umožňují nákup malwaru a služeb použitelných pro malwarové útoky („malware jako služba“), stejně jako prodej ukradených přihlašovacích údajů a dalších dat ve velkém. V posledním desetiletí s rostoucí popularitou ransomwaru vzniklo celé odvětví „ransomware-as-a-service“. V roce 2022 se tento model „as-a-service“ rozšířil a je možné zakoupit téměř všechny části sady nástrojů pro realizaci kyberzločinů – od počáteční infekce až po způsoby, jak se vyhnout odhalení.

„Nejde jen o obvyklé případy, jako je prodej malwaru a sad na realizaci podvodů a phishingu,“ uvedl Sean Gallagher, hlavní výzkumník hrozeb ve společnosti Sophos. „Kyberzločinci z vyšších pater nyní prodávají nástroje a schopnosti, které byly dříve výhradně v rukou některých nejsofistikovanějších útočníků, jako služby jiným subjektům. V loňském roce jsme se například setkali s inzeráty na službu OPSEC-as-a-service, kde prodejci nabízeli útočníkům pomoc při skrývání infekcí Cobalt Strike, a viděli jsme službu scanning-a-service, která poskytuje kupujícím přístup k legitimním komerčním nástrojům, jako je Metasploit, aby mohli najít a následně zneužít zranitelnosti. Komoditizace téměř všech složek kybernetické kriminality ovlivňuje prostředí hrozeb a otevírá příležitosti pro jakýkoli typ útočníka s jakoukoli úrovní dovedností.“

S rozvojem odvětví „as-a-service“ se stále více komoditizují i hackerská tržiště, která fungují jako běžné podniky. Prodejci nástrojů na páchání kyberzločinů inzerují nejen své služby, ale také vystavují nabídky práce, aby získali útočníky s odlišnými dovednostmi. Některá tržiště nyní mají speciální stránky s poptávkami pomoci a nábory zaměstnanců, kde také zájemci o práci zde inzerují své dovednosti a kvalifikace.

„Dřívější ransomwaroví útočníci byli poměrně limitováni v rozsahu činnosti, protože jejich operace byly centralizované a členové skupiny vykonávali každý aspekt útoku. Když se ale ransomware stal nesmírně ziskovým, hledali způsoby, jak svou produkci rozšířit. Začali tedy části svých činností outsourcovat a vytvořili celou infrastrukturu na podporu ransomwaru. Nyní si z úspěchu této infrastruktury vzali příklad další kyberzločinci a následují je,“ řekl Gallagher.

Jak se infrastruktura kyberzločinu rozšiřovala, ransomware se stával velmi populární – a vysoce ziskový. V uplynulém roce ransomwarové skupiny pracovaly na rozšíření své potenciální útočné služby tím, že se zaměřili na jiné platformy než Windows a zároveň začali používat nové jazyky, jako jsou Rust a Go, aby se vyhnuli odhalení. Některé skupiny, zejména Lockbit 3.0, diverzifikovaly své operace a vytvářely „inovativnější“ způsoby vydírání obětí.

„Když hovoříme o rostoucí sofistikovanosti zločineckého podsvětí, vztahuje se to i na svět ransomwaru. Například Lockbit 3.0 nyní nabízí programy odměn za odhalení chyb ve svém malwaru a sdílení nápadů na zlepšení svých činností ze zločinecké komunity. Jiné skupiny přešly na „model předplatného“ za přístup k získaným datům a další je prodávají v aukcích. Ransomware se stal především byznysem,“ doplnil Gallagher.

Rozvíjející se ekonomika podsvětí nejenže podnítila růst ransomwaru a odvětví „as-a-service“, ale také zvýšila poptávku po krádežích přihlašovacích údajů. S rozšířením webových služeb lze různé typy přihlašovacích údajů a dat, zejména cookies, využít mnoha způsoby k získání lepší pozice při útocích na sítě, a to i při obcházení vícefaktorového ověřování. Krádeže přístupových údajů také zůstávají jedním z nejjednodušších způsobů, jak začínající zločinci mohou získat přístup na hackerská tržiště a začít svou „kariéru“.

Sophos analyzoval také následující trendy:

  • Na prostředí kybernetických hrozeb měla globální dopady válka na Ukrajině. Bezprostředně po invazi došlo k explozi finančně motivovaných podvodů, zatímco nacionalismus vedl k roztříštění kriminálních aliancí mezi Ukrajinci a Rusy, zejména mezi pobočkami ransomwarových skupin.
  • Zločinci nadále využívají legitimní spustitelné soubory a jinak neškodné binární soubory (LOLBins) k různým typům útoků, včetně těch ransomwarových. V některých případech útočníci nasazují legitimní, ale zranitelné systémové ovladače pro útoky typu „bring your own driver“, aby se pokusili vypnout řešení na detekci a reakci v koncových bodech a vyhnuli se tak odhalení.
  • V centru nových typů kybernetické kriminality jsou nyní mobilní zařízení. Nejenže útočníci stále využívají falešné aplikace k šíření malwarových injektorů, spywaru a malwaru spojeného s bankovnictvím, ale na popularitě získávají i novější formy kybernetických podvodů, jako jsou například schémata typu „porcování prasete“. A tato trestná činnost se již netýká pouze uživatelů systému Android, ale také majitelů telefonů s iOS.
  • Znehodnocení Monery, jedné z nejoblíbenějších kryptoměn pro kryptominery, vedlo k poklesu jednoho z nejstarších a nejoblíbenějších typů kryptozločinů – kryptominingu. Těžební malware se ale nadále šíří prostřednictvím automatizovaných „botů“ v systémech Windows i Linux.

Chcete-li se dozvědět více o měnícím se prostředí hrozeb v roce 2022 a o tom, co to bude v roce 2023 znamenat pro bezpečnostní týmy, přečtěte si studii Sophos 2023 Threat Report.

Štítky: 

Podobné články

Bezpečnost v roce 2023: Jak to vidí dodavatelé

7. 2. 2023. (redaktor: František Doupal, zdroj: DCD Publishing)
Počítače a další přístroje, které jsou neustále připojené k internetu, pronikají do všech aspektů našich životů. A v mnoha ohledech je bezesporu dělají lepšími a příjemnějšími. Úměrně tomu však rostou i rizika, kterým musíme na každém kroku čelit. Spolu s dodavateli bezpečnostních technologií jsme proto připravili souhrn rad a postřehů, které vám, jak věříme, pomohou se v aktuálním světě ICT bezpečnosti zorientovat a úspěšně v něm pomáhat svým zákazníkům. Čtěte více

Edge computing v roce 2023

6. 2. 2023. (redaktor: František Doupal, zdroj: Red Hat)
Odborníci společnosti Red Hat se zamysleli nad vývojem v oblasti edge computingu. Obrovské příležitosti přinese podle prognózy edge computing poskytovatelům služeb, o slovo se ale přihlásí i hybridní aplikační cloudy pro okraj sítě a prosadí se zde i umělá inteligence. Čtěte více

České firmy čelí vlně falešných e-mailů

2. 2. 2023. (redaktor: František Doupal, zdroj: GFI Software)
Podle průzkumu GFI Software provedeného v lednu 2023 mezi partnery v ČR a SR je aktuálně hlavním vektorem kyberútoků elektronická pošta, především kvůli rozšířenosti phishingových a falešných e-mailů. Čtěte více

Které výhody automatizace nejvíce využívají lokální prodejci?

30. 1. 2023. (redaktor: František Doupal, zdroj: Zebra systems)
Podle průzkumu společnosti Zebra systems již 39 % jejích prodejců nabízí služby typu MSP či MSSP (managed security service provider). Jednou z hlavních motivací přechodu na řízené služby je automatizace rutinních činností, která jim přináší hlavně vyšší úroveň poskytované bezpečnosti, vyšší produktivitu a rychlejší reakci na bezpečnostní incidenty. Čtěte více