Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin: Przegląd 2017 roku

Tagi:

Wprowadzenie

Koniec roku to dobry czas na dokonanie bilansu głównych incydentów dotyczących cyberzagrożeń, jakie miały miejsce na przestrzeni minionych 12 miesięcy. Na refleksję odnośnie wpływu tych zdarzeń na organizacje i osoby fizyczne, i zastanowienie się nad ich znaczeniem dla ogólnej ewolucji krajobrazu zagrożeń.  

Jeśli spojrzymy wstecz na 2017 rok, tym, co najbardziej wyróżnia ten okres jest coraz więcej zacierających się granic: pomiędzy różnymi rodzajami zagrożeń i różnymi rodzajami ugrupowań cyberprzestępczych. Przykładem tego trendu może być głośny atak ExPetr, który miał miejsce w czerwcu. Na pierwszy rzut oka wydawało się, że jest to kolejny program ransomware, później jednak okazało się, że mieliśmy do czynienia z ukierunkowanym, destrukcyjnym programem usuwającym dane (wiper). Kolejnym przykładem jest upublicznienie kodu przez ugrupowanie Shadow Brokers, które przekazało zaawansowane exploity opracowane rzekomo przez NSA do dyspozycji grup cyberprzestępczych, które w innym wypadku nie miałyby dostępu do tak wyrafinowanego kodu. Jeszcze innym przykładem jest pojawienie się zaawansowanych ukierunkowanych kampanii (APT), zorientowanych nie na cyberszpiegostwo, ale na kradzież pieniędzy w celu finansowania innych aktywności, w które zaangażowane jest dane ugrupowanie APT. Jesteśmy ciekawi, w jakim kierunku ewoluuje ten trend w 2018 roku.    

Najważniejsze wydarzenia 2017 roku

  • Cyberwydarzeniami, które określiły 2017 rok, były bez wątpienia ataki przy pomocy oprogramowania ransomware: Niesławne ugrupowanie cyberprzestępcze Lazarus uważa się za sprawcę infekcji WannaCry, która rozprzestrzeniała się w błyskawicznym tempie na całym świecie, a liczbę jej ofiar szacuje się na około 700 000. ExPetr był bardziej ukierunkowany, uderzając w firmy, w tym wiele znanych globalnych marek, za pośrednictwem zainfekowanego oprogramowania biznesowego. Maersk, największa na świecie firma w branży kontenerowców i okrętów dostawczych, oszacowała przewidywane straty na skutek „znaczącego zakłócenia działalności” w wyniku ataku na 200-300 mln. dolarów; z kolei FedEx/TNT wycenił utracone przychody na około 300 mln. dolarów.         
  • Gdzie indziej duże ugrupowania cyberszpiegowskie kontynuowały swoje działania, jednak przy użyciu nowych, trudniejszych do wykrycia narzędzi i metod. Informowaliśmy o wielu różnych kampaniach, w tym mającej historyczne znaczenie kampanii Moonlight Maze, która jest prawdopodobnie powiązana z kampanią Turla, jak również o innej, powiązanej z tą ostatnią kampanii APT, określanej nazwą WhiteBear. Odsłoniliśmy również najnowszy zestaw narzędzi ugrupowania o nazwie Lamberts - zaawansowanego ugrupowania cyberprzestępczego, które pod względem złożoności można porównać z Duqu, Equation, Regin czy ProjectSauron - jak również dalsze szczegóły techniczne dotyczące ugrupowania Spring Dragon. W październiku nasze zaawansowane systemy zapobiegania exploitom zidentyfikowały nowego exploita dnia zerowego dla Adobe Flash wykorzystywanego na wolności przeciwko naszym klientom, który był dostarczany za pośrednictwem dokumentu Microsoft Office. Możemy śmiało powiązać ten atak z ugrupowaniem, które określamy jako BlackOasis. Bardziej szczegółowe podsumowanie aktywności APT w 2017 roku zawiera nasze coroczne seminarium sieciowe prezentujące przegląd ataków APT, dostępne w tym miejscu.     
  • W 2017 obserwowaliśmy również powrót ataków ukierunkowanych mających na celu niszczenie danych, zamiast lub oprócz kradzieży danych, takich jak np. Shamoon 2.0 czy StoneDrill. Zidentyfikowaliśmy ponadto ugrupowania cyberprzestępcze, które odnosiły sukcesy, czasami przez wiele lat, stosując proste i słabo przeprowadzane kampanie. Dobrym przykładem  tego zjawiska jest atak EyePyramid, który miał miejsce we Włoszech. Microcin również potwierdził, że cyberprzestępcy mogą osiągnąć swoje zamiary, wykorzystując tanie narzędzia i starannie dobierając swoje cele.       
  • 2017 rok pokazał, w jakim stopniu zaawansowane ugrupowania cyberprzestępcze rozszerzały swoją działalność na zwykłą kradzież w celu finansowania swoich kosztownych operacji. Informowaliśmy o BlueNoroff, podgrupie niesławnej grupy Lazarus, odpowiedzialnej za generowanie nielegalnych zysków. BlueNoroff atakował między innymi instytucje finansowe, kasyna, firmy zajmujące się rozwojem oprogramowania dotyczącego transakcji finansowych oraz działające w branży kryptowaluty. Jedną z najbardziej godnych uwagi kampanii BlueNoroff były ataki na instytucje finansowe w Polsce.     
  • W 2017 r. nadal rosła liczba ataków na bankomaty, a osoby atakujące uderzały w infrastrukturę bankową i systemy płatności przy użyciu wyrafinowanego szkodliwego oprogramowania bezplikowego, jak również bardziej podstawowych metod, jak naklejanie taśmy na kamery przemysłowe czy wiercenie dziur. Niedawno odkryliśmy nowy ukierunkowany atak na instytucje finansowe – głównie banki w Rosji, ale również w Malezji i Armenii. Osoby atakujące odpowiedzialne za trojana Silence zastosowały podobne podejście co Carbanak.        
  • Jeśli chodzi o kampanie wymierzone przeciwko firmom, wydaje się, że ataki na łańcuch dostaw stanowią odpowiednik ataków przy wodopoju (ang. watering hole). Jest to nowe zagrożenie, które pojawiło się w 2017 r. (przykładem jest ExPetr oraz ShadowPad) i prawdopodobnie wzrośnie w 2018 roku.
  • Rok od utworzenia botnetu Mirai w 2016 r. botnet Hajime zdołał zainfekować 300 000 urządzeń połączonych z internetem – a była to zaledwie jedna z wielu kampanii zorientowanych na urządzenia i systemy połączone z internetem. 
  • W 2017 roku miało miejsce wiele zmasowanych incydentów naruszenia bezpieczeństwa danych, w wyniku których łącznie ujawnione zostały miliony rekordów. Ataki te dotyczyły takich organizacji jak Avanti Markets, Election Systems & Software, Dow Jones, America’s Job Link Alliance oraz Equifax. Naruszenie bezpieczeństwa danych firmy Uber, które miało miejsce w październiku 2016 r. i w wyniku którego ujawnione zostały dane 57 milionów klientów i kierowców, wyszło na jaw dopiero w listopadzie 2017 roku.  
  • 2017 rok to również ewolucja krajobrazu mobilnego szkodliwego oprogramowania. Pobrano dziesiątki tysięcy mobilnych aplikacji, które zawierały trojana, sprawiając, że ofiary zostały zalane falą agresywnej reklamy, zaatakowane przez oprogramowanie ransomware lub doświadczyły kradzieży za pośrednictwem systemów płatniczych SMS oraz WAP. Mobilne szkodliwe oprogramowanie stosowało nowe sztuczki w celu uniknięcia wykrycia, obejścia ochrony oraz wykorzystania nowych usług. Podobnie jak w 2016 roku, wiele takich aplikacji było łatwo dostępnych z posiadających dobrą reputację źródeł, takich jak Google Play Store. Wśród trojanów, które były szczególnie szeroko rozpowszechnione w 2017 roku, należy wymienić trojana Ztorg, Svpeng, Dvmap, Asacub oraz Faketoken.    

 

Zakończenie

W 2017 roku wiele rzeczy okazało się czymś zupełnie innym niż wydawało się na początku. Ransomware okazał się wiperem; legalne oprogramowanie biznesowe okazało się bronią; zaawansowane ugrupowania cyberprzestępcze wykorzystywały proste narzędzia, podczas gdy te bardziej wyrafinowane znalazły się w posiadaniu cyberprzestępców usytułowanych niżej w hierarchii. Ten zmieniający się krajobraz cyberzagrożeń stanowi coraz większe wyzwanie dla osób zajmujących się bezpieczeństwem.     

Więcej informacji na temat tych trendów jak również porady, jak pozostać bezpiecznym, można znaleźć w pełnym Przeglądzie roku 2017.