Reálná analýza společnosti Cisco odhaluje bezpečnostní rizika práce na dálku

7. 7. 2021. (redaktor: František Doupal, zdroj: Cisco)
Studie společnosti Cisco ukázala, jak vypadají hrozby, které se snaží využít toho, že lidé pracují na dálku. Analýza internetového provozu totiž zaznamenala nárůst počtu kybernetických útoků na vzdálené pracovníky a odhalila nové výzvy. Téměř v 90 % organizací se například vyskytl alespoň jeden uživatel, který se pokusil připojit k phishingové stránce.

Výzkumníci z Cisco Umbrella, která denně zpracovává 620 miliard globálních DNS požadavků, uvedli, že za rok 2020:

  • se téměř v 90 % organizací vyskytl alespoň jeden uživatel, který se pokusil připojit k phishingové stránce, pravděpodobně kliknutím na odkaz v e-mailu. Počet uživatelů přicházejících na phishingové stránky se mezi červnem a zářím zvýšil o 100 %, což souviselo s nárůstem aktivity malwaru Emotet.
  • 51 % organizací narazilo na aktivitu související s ransomwarem.
  • se 70 % organizací nacházel uživatel, kterému se zobrazovaly škodlivé reklamy v prohlížeči.
  • 48 % organizací zaznamenalo aktivitu malwaru, jehož cílem byla krádež citlivých dat.

„Příkladem škodlivé aktivity specifické pro rok 2020 je phishing spojený s tématem Covid-19. Pozorovatelným jevem nedávné doby je adaptace na novou architekturu M1 pro OSX adware. Významný dopad mělo také narušení infrastruktury EMOTET, což vidíme na datech z počátku roku 2021. Technologie vyvíjená v Cisco Cognitive Intelligence R&D centru v Praze využívá informace z podrobnější síťové telemetrie. Máme tak ještě více informací, než jaké jsou vidět v DNS provozu. Ty nám pak pomáhají lépe rozlišovat hrozby od legitimního provozu. Můžeme detekovat například njRAT nebo Sality,“ okomentoval trendy poslední doby Tomáš Macek, research manager R&D centra společnosti Cisco.

Nedovolený kryptomining rostl s hodnotou kryptoměn

Nedovolený kryptomining byl nejfrekventovanější na začátku roku. Jeho znovu narůstající aktivita, kterou lze zaznamenat koncem roku, se překrývá se zvyšující hodnotou kryptoměn. Jak se hodnota kryptoměn zvyšovala, rostla i četnost této aktivity.

Phishing dominoval podzimním měsícům

DNS aktivita související s phishingem byla po celý rok poměrně stabilní, s výjimkou prosince, kdy kolem svátků došlo k nárůstu o 52 %. Pokud jde o počet koncových zařízení navštěvujících phishingové stránky, došlo během srpna a září k výraznému nárůstu.

Trojské koně se vyskytovali převážně na webových stránkách

Trojský kůň na tom byl s aktivitou na začátku roku podobně jako nedovolený kryptomining. Neuvěřitelně vysoký počet koncových zařízení připojujících se k webům, obsahující trojského koně, byl z velké části způsoben hrozbami Ursnif/Gozi a IcedID, o nichž je známo, že spolupracují a následně se podílejí na útocích typu ransomware. Tyto samotné dvě hrozby v lednu tvořily 82 % trojských koní zaznamenaných na koncových zařízeních. Nadprůměrná lednová čísla byla však pravděpodobně spojena s „vánoční kampaní“ útočníků a postupně aktivita trojských koní klesala a stabilizovala se. Od konce července až do září byla více zaznamenávána aktivita trojského koně Emotet. Samotná tato hrozba je zodpovědná za vysoký nárůst škodlivé DNS aktivity a celkově se s Emotetem setkalo 45 % organizací. 

Ransomware a velké rozdíly ve výkupném 

Po většinu roku dominovaly dvě hrozby typu ransomware. Počínaje dubnem se počet počítačů ohrožených ransomwarem Sodinokibi (REvil) významně zvýšil a jeho aktivita nadále rostla až do podzimu. Toto zvýšení bylo natolik zásadní, že se s touto hrozbou setkalo 46 % organizací. Druhá hrozba typu ransomware – Ryuk – byla do značné míry zodpovědná za nárůst aktivity v listopadu a prosinci. Přesto počet koncových zařízení připojujících se k doménám spojeným s Ryukem zůstal po celý rok relativně nízký a konzistentní. Sodinokibi má tendenci zasahovat velké množství koncových zařízení a vyžaduje menší výkupné, zatímco Ryuk kompromituje mnohem méně systémů a požaduje výrazně vyšší platby.

Co sektor, to jiná kybernetická hrozba

Firmy potřebují vědět, s jakými bezpečnostní problémy se s největší pravděpodobností setkají a jaký je jejich potenciální dopad. Například organizace z finančního sektoru mohou zaznamenat větší aktivitu týkající se krádeže citlivých dat. V technologickém sektoru lze převážnou většinu provozu DNS připsat dvěma druhům hrozeb: nedovolenému kryptominingu a phishingu. Kryptomining mohou často zaznamenat i společnosti působící ve výrobním sektoru. K této aktivitě se zde přidává také ransomware, což vypovídá o narůstajícím počtu zločinců, kteří na tyto organizace cílí s výhledem velkého výkupného. Organizace ve zdravotnickém průmyslu zase nejčastěji čelí trojským koním. Většinu těchto aktivit lze připsat Emotetu, což byl v roce 2020 nejčastější typ útoku na zdravotnická zařízení.

Řešením může být cloud

Zabezpečení dodávané v cloudu je rychlé a flexibilní, což umožňuje organizacím snadno se přizpůsobit neustále se měnícímu světu a technikám útoku a zároveň umožňuje bezproblémové připojení k aplikacím odkudkoli, což zaměstnanci nyní očekávají. Vynucením zabezpečení na úrovni DNS mohou organizace automaticky zastavit hrozby dříve, než se dostanou do sítě nebo koncových zařízení.

Štítky: 
Bezpečnost, Cisco systems

Podobné články

Dell rozšířil své bezpečnostní portfolio o nové služby a řešení

21. 3. 2023. (redaktor: František Doupal, zdroj: Dell Technologies)
Společnost Dell Technologies představila nové bezpečnostní služby a řešení, které podnikům pomáhají chránit se před hrozbami, reagovat na útoky a zabezpečit koncová zařízení, systémy a cloudy. Čtěte více

QNAP motivuje uživatele k hledání bezpečnostních zranitelností

21. 3. 2023. (redaktor: František Doupal, zdroj: QNAP)
Společnost QNAP spustila program „odměn za zabezpečení“. Jeho cílem je motivovat bezpečnostní experty a výzkumníky z celého světa, aby se připojili k úsilí o vytvoření bezpečnějších síťových prostředí. Čtěte více

Ochrana s pomocí EDR by neměla být luxusem, ale nutností

20. 3. 2023. (redaktor: František Doupal, zdroj: Zebra systems)
MSP společnosti stále častěji preferují služby postavené na řešení Endpoint Detection and Response (EDR) před nabídkou služeb běžného antiviru. Hlavním důvodem je rostoucí komplexnost kybernetických hrozeb a nutnost použití ucelených nástrojů k jejich eliminaci. Čtěte více

Rok 2023 přináší nové směry útoků i nové typy hrozeb

17. 3. 2023. (redaktor: František Doupal, zdroj: Fortinet)
Počítačová kriminalita přichází na chuť metodám pokročilých perzistentních hrozeb a kyberzločinci hledají způsoby, jak ve velkém využívat nové technologie, aby způsobili ještě větší škody. Nejvíce znepokojujícím trendem, který Fortinet loni pozoroval v celém kybernetickém prostředí a u kterého očekává, že bude pokračovat i v budoucnu, je všudypřítomnost hrozeb. Čtěte více