Rok 2017: co było, a co będzie

Grudniowe podsumowanie roku to w pewnym sensie święta tradycja. Wobec tego zaczynamy! Ransomware Zeszły rok, czyli 2016, okrzyknęliśmy „rokiem ransomware”. Mieliśmy wtedy do czynienia z wieloma kryptorami i blokerami, a

Grudniowe podsumowanie roku to w pewnym sensie święta tradycja. Wobec tego zaczynamy!

Ransomware

Zeszły rok, czyli 2016, okrzyknęliśmy „rokiem ransomware”. Mieliśmy wtedy do czynienia z wieloma kryptorami i blokerami, a skala infekcji była naprawdę przerażająca. Jednak okazało się, że tytuł „roku ransomware” należy tak naprawdę do 2017 r. Epidemie takie jak WannaCryExPetr czy BadRabbit przebiły wszystko, co do tej pory widzieliśmy. Jeśli chodzi o zasięg, WannaCry można porównać tylko do robaka Conficker, który w latach 2008–2009 pojawił się w każdym zakątku naszej planety i przeszedł do historii jako jedna z największych epidemii naszych czasów.

Nasi eksperci uważają, że 2018 r. nie będzie kolejnym rokiem ransomware. Na szczycie listy najpopularniejszych zagrożeń znajdą się ukryte koparki kryptowalut, które już wykazują zwiększoną aktywność. Ale o tym później.

Ataki na organizacje finansowe

W 2017 r. byliśmy świadkami wielu ataków na organizacje finansowe, które od wielu lat stanowią ulubiony cel hakerów. W październiku nasi eksperci wykryli w tzw. darkwebie nowy, łatwo dostępny szkodliwy program o nazwie Cutlet Maker, który atakuje bankomaty. Za zaledwie kilka tysięcy dolarów niedoświadczony haker może przypuścić atak na bankomaty — w pakiecie oprócz szkodliwego programu znajduje się instrukcja i niemal wszystko, czego potrzeba. Niektórzy atakujący mieli pecha i zostali złapani na gorącym uczynku, lecz twórcy szkodliwego programu szybko i łatwo się wzbogacili.

Innym kontynuowanym trendem w tym obszarze są ataki przeprowadzane od wewnątrz struktury bankowej. W październiku odkryliśmy nowe ugrupowanie cyberprzestępcze o nazwie Silence, które atakowało organizacje finansowe. Ofiarami były przeważnie rosyjskie banki, a grupa wydaje się być rosyjskojęzyczna. Można powiedzieć, że jest ona następcą grupy Carbanak, która w 2015 roku przeprowadziła głośny atak ukierunkowany na banki.

Ataki ukierunkowane

Silence to jedna z wielu kampanii ataków ukierunkowanych, czyli APT (ang. advanced persistent threats). W całym 2017 roku zaobserwowaliśmy około 100 grup hakerskich, które aktywnie działały na tym obszarze — to dwa razy więcej niż w 2016 roku. Co więcej, tylko dziesięć z nich, w tym Silence, było zainteresowane działalnością komercyjną — pozostałe uprawiały cyberszpiegostwo i poszukiwały danych wewnątrz agencji państwowych oraz firm naftowo-gazowych. Przewidzieliśmy to pod koniec zeszłego roku: ugrupowania hakerskie zaczęły działać aktywniej w interesie pewnych podmiotów politycznych i ekonomicznych.

W tym roku dostrzegliśmy, że nowym wektorem ataków ukierunkowanych stali się dostawcy oprogramowania, których produkty są wykorzystywane przez duże firmy. W efekcie przestępcy zamiast łamać zabezpieczenia systemów firmowych skupiali się na używanych przez nie programach.

Dobrym przykładem może tu być głośny atak przeprowadzony przez grupę Axiom na producenta programu CCleaner, będącego popularnym narzędziem do czyszczenia rejestru systemu Windows. Hakerzy wstrzyknęli szkodliwy kod do aktualizacji programu, która została pobrana przez około 2 miliony użytkowników na całym świecie. Ofiarą była specjalnie wybrana grupa około 20 dużych firm. Po przedostaniu się szkodliwej aktualizacji do systemów atakujący mieli dostęp do sieci firmowej.

Kryptowaluty i wykopywanie

W mijającym roku cena waluty Bitcoin odnotowała 15-krotny wzrost, a Ethereum aż 48-krotny. W tym roku kryptowaluty wywarły niepodważalny wpływ na światową gospodarkę i zmieniły rynek inwestycji typu venture: kapitał zgromadzony przez startupy w ramach dystrybucji części środków osobom, które zdecydowały się je wesprzeć (Initial Coin Offering, ICO), osiągnął w 2017 r. kwotę 3,5 miliarda dolarów, tymczasem bardziej tradycyjna forma pierwszej oferty publicznej (Initial Public Offering, IPO) zebrała zaledwie 1 miliard dolarów.

Jak się spodziewaliśmy, spowodowało to pojawienie się nowych zagrożeń i luk. Drzwi zostały otwarte dla szerokiej gamy ataków, od phishingu i włamań po podmianę numerów portfeli waluty Bitcoin w schowku. Co więcej, zanotowaliśmy nową odmianę tzw. spamu nigeryjskiego, w którym ludziom oferowano tokeny w zamian za udostępnienie swojego adresu portfela (daj swój adres, a Twoje pieniądze zostaną skradzione). Nawiasem mówiąc, przestępcy skradli 300 milionów dolarów, czyli niemal 10 razy więcej niż kwota zebrana przez ICO w 2017 r.

Jednak to nie wszystko. Ta nowa rzeczywistość daje nowe możliwości wzbogacania się. Jedną z nich jest ukryte wykopywanie kryptowaluty, głównie z wykorzystaniem przeglądarki. Strony są infekowane przy użyciu skryptu, który umożliwia zaangażowanie komputerów należących do osób odwiedzających daną stronę do wykopywania kryptowaluty — oczywiście bez ich wiedzy.

Skoro już wiemy, co się dzieje w świecie cyberbezpeczeństwa, zastanówmy się, co może nas czekać w nadchodzącym roku.

Prognozy dla 2018 r.

  • Coraz więcej ataków na producentów oprogramowania. Przypadek programu CCleaner i M.E.Doc (firma tworząca oprogramowanie, której serwer aktualizacji został użyty do dystrybucji zagrożenia ExPetr) wyraźnie pokazał, że skuteczny atak na twórcę jednego programu może narazić wszystkich jego użytkowników.
  • Zautomatyzowane ataki na bankomaty i hakowanie produktów, które nie wymagają konfiguracji. Do tej pory widzieliśmy rozwiązania służące do hakowania bankomatów, które w zasadzie były pamięcią flash. Chociaż nie są one zbyt skuteczne w przypadku bankomatów będących pod stałym nadzorem, nie można zakładać, że to zniechęci atakujących. Najprawdopodobniej powstaną więc nowe metody hakowania, także zdalne.
  • Ataki na nowe urządzenia przeprowadzane na głębszym poziomie systemu operacyjnego. Wektor ataków ukierunkowanych ulega zmianie: zamiast tradycyjnych komputerów na celowniku coraz częściej znajdują się smartfony czy urządzenia należące do Internetu Rzeczy. Aby uniknąć wykrycia przez systemy kontroli bezpieczeństwa, atakujący próbują działać na niższym poziomie wewnątrz systemu operacyjnego, np. na poziomie UEFI — jest to oprogramowanie układowe procesora, które uruchamia się przed systemem operacyjnym.
  • Więcej ataków ukierunkowanych z użyciem ransomware. Hakerzy opanowali już precyzyjne ataki na duże firmy, ostrożnie dobierając czas ich realizacji — na przykład ExPetr zaszyfrował pliki na kilka dni przed terminem złożenia rozliczenia podatkowego, co miało zmusić firmę do szybkiej zapłaty. Prawdopodobnie będziemy słyszeć o kolejnych takich historiach.
  • Oszustwa związane z kryptowalutą i ataki na wirtualny majątek w łańcuchu bloków. Atakowanie kont kryptowalutowych oraz nielegalne wykopywanie na koszt osób prywatnych i firm stanowią dla przestępców bardziej dochodowe zajęcia niż atakowanie tradycyjnych systemów bankowych czy banków internetowych. Oprócz coraz popularniejszego ukradkowego wykopywania kryptowalut, realizowanego w różnych formach, możemy być świadkami nowych rodzajów ataków na kryptoportfele, a także wykorzystywania luk w łańcuchu bloków.

Za jakiś czas przekonamy się, które z tych prognoz się sprawdzą. A teraz możemy spokojnie cieszyć się wspaniałym sezonem świątecznym!

Porady