IBM Security публикува резултатите от годишния си доклад 2021 X-Force Threat Intelligence Index, който проследява как се променят кибератаките през 2020 г. и как киберпрестъпниците се опитват да се възползват от безпрецедентните социално-икономически, бизнес и политически предизвикателства, породени от пандемията от COVID-19.
През 2020 г. докладът X-Force на IBM Security отчита, че нападателите насочват своите атаки към сферите, на които глобалните усилия за реагиране на COVID-19 разчитат най-силно: болници, медицински и фармацевтични производители, както и енергийни компании, захранващи веригите за доставки по време на карантинната обстановка от COVID-19.
Според новия доклад кибератаките върху здравеопазването, производството и енергетиката са се удвоили спрямо предходната година. Заплахите са насочени към организации, които не могат да си позволят спиране на дейността, тъй като това ще породи рискове за прекъсване на медицински услуги или за жизненоважни вериги за доставки. Производството и енергетиката са най-атакуваните индустрии през 2020 г. – на второ място след финансовия и застрахователния сектор. Причината за това е, че нападателите се възползват от увеличението с почти 50% на уязвимостите в индустриалните системи за контрол (ICS), от които производството и енергията силно зависят.
„Пандемията прекрои изцяло това, което днес се счита за жизненоважна инфраструктура, и нападателите взеха под внимание този факт. Дейността на много организации за първи път се оказа от водещо значение и те бяха изтласкани на първа линия в усилията за реагиране – дали подкрепяйки изследванията свързани с COVID-19, или поддържайки веригите за доставки на ваксини и храни или произвеждайки лични предпазни средства.“, каза Ник Росман, ръководител на глобално звено разузнаване и превенция от заплахи, IBM Security X-Force. „Виктимологията на нападателите се измести хронологично с разгръщането на събитията, породени от пандемията от COVID-19, което отново показва адаптивността, находчивостта и упоритостта на киберпрестъпниците.“
Докладът X-Force Threat Intelligence Index се основава на анализи и наблюдения на над 150 милиарда събития, свързани със сигурността, на ден в повече от 130 държави. В допълнение, данните са събрани и анализирани от множество източници в IBM, включително IBM Security X-Force Threat Intelligence и Incident Response, X-Force Red, IBM Managed Security Services. Докладът за 2021 г. включва и данни, предоставени от Quad9 и Intezer.
Някои от основните изводи в доклада включват:
- Киберпрестъпниците увеличават използването на зловреден софтуер на Linux – 40% увеличение на семействата, свързани със зловреден софтуер на Linux през изминалата година, според Intezer, и 500% увеличение на зловреден софтуер, написан на Go, през първите шест месеца на 2020 г.. Нападателите засилено мигрират към злонамерен софтуер на Linux, който може по-лесно да се изпълнява на различни платформи, включително облачни среди.
- Пандемията увеличава фалшифицирането на най-известните марки – На фона на една година социално дистанциране и работа от вкъщи, фирми, предлагащи инструменти за дистанционна работа като Google, Dropbox и Microsoft, или компании за онлайн пазаруване като Amazon и PayPal, се превърнаха в едни от най-фалшифицираните марки и влизат в топ 10 през 2020 г. YouTube и Facebook, на които потребителите разчитат повече за усвояването на новини през миналата година, също оглавяват класацията. Изненадващо, Adidas влиза в класацията на най-често фалшифицираните марка през 2020 г.. Компанията дебютира на седма позиция, вероятно заради търсенето на линиите маратонки Yeezy и Superstar.
- Рансъмуер групите печелят от успешен бизнес модел – Рансъмуер е причина за почти всяка четвърта атака, на която X-Force реагира през 2020 г., като атаките агресивно се развиват и включват и тактики за двойно изнудване. Използвайки този модел, X-Force смята, че Sodinokibi – най-често наблюдаваната група за рансъмуер през 2020 г. – е имала доста печеливша година. Според изчисленията на X-Force, групата е направила умерена прогноза за над 123 милиона щатски долара през последната година, като приблизително две трети от жертвите са платили откуп, според доклада.
Инвестицията в злонамерен софтуер с отворен код заплашва облачната среда
На фона на пандемията от COVID-19 много бизнеси се насочиха към по-бързо преминаване към облака. Ново проучване на Gartner установи, че почти 70% от организациите, използващи облачни услуги днес, са решили да увеличат разходите си за облачни технологии след началото на пандемията от COVID-19. [1] В момента Linux изпълнява 90% от работните натоварвания в облака, а докладът X-Force, описва детайлно увеличение от 500% на семейства на зловреден софтуер, свързан с Linux през последното десетилетие. Това означава, че съществува опасност облачните среди да се превърнат в основен вектор на кибератаките.
Според IBM, с повишаването на употребата на зловреден софтуер с отворен код, нападателите вероятно търсят начини да подобрят маржовете си на печалба – вероятно намаляване на разходите, увеличаване на ефективността и създаване на възможности за по-печеливши атаки. Докладът изтъква някои опасни групи като APT28, APT29 и Carbanak, които се обръщат към злонамерен софтуер с отворен код, посочвайки, че тази тенденция ще бъде съществена за увеличението на атаките срещу облака през следващата година.
Докладът също така предполага, че нападателите се възползват от разширяемата процесорна мощ, която предоставя облачната среда, прехвърляйки високите такси за използване на облака върху жертвите. Изводът се основава и на факта, че Intezer е отчел над 13% нов, незабелязан досега код в Linux, криптиращ злонамерен софтуер през 2020 г.
Очевидно нападателите са „хвърлили око“ на облака и X-Force препоръчва на организациите да обмислят подход с нулево доверие към стратегията си за сигурност. Бизнесът също трябва да направи поверителните изчисления основна част от инфраструктурата на сигурността си, за да помогне за защитата на най-чувствителната информация. Чрез криптиране на използваните данни организациите могат да намалят риска от кибератака, дори ако нападателите са в състояние да получат достъп до техните чувствителни данни.
Киберпрестъпници „дегизирани“ като известна марка
Докладът за 2021 г. подчертава, че киберпрестъпниците най-често избират да се скрият зад марки, на които потребителите се доверяват. Считана за една от най-влиятелните марки в света, Adidas изглежда привлекателна за киберпрестъпниците. Целта им е да използват потребителското търсене, за да насочат хората, които търсят маратонки към злонамерени уебсайтове, създадени да изглеждат като легитимни сайтове. След като потребителят посети тези легитимно изглеждащи домейни, киберпрестъпниците ще се стремят или да извършат онлайн измами с плащания, да крадат финансова информация на потребителите, да събират идентификационни данни на потребителите, или да заразят устройствата на жертвите със злонамерен софтуер.
Докладът показва, че по-голямата част от фалшифицирането на Adidas е свързано с линиите маратонки Yeezy и Superstar. Според данните, само линията Yeezy събира 1,3 милиарда долара през 2019 г. и е една от най-продаваните маратонки на гиганта в спортните облекла. Вероятно, с очакването на новата серия маратонки в началото на 2020 г., нападателите са се възползвали от търсенето на потребителите, за да реализират собствена печалба.
Рансъмуерът доминира през 2020 г. като най-често срещаната атака
Според доклада през 2020 г. светът е преживял повече рансъмуер в сравнение с 2019 г. Близо 60% от рансъмуер атаките, на които X-Force е реагирал, са използвали стратегия за двойно изнудване, при която нападателите криптират и крадат данни, след което заплашват да публикуват тези данни за обществен достояние, ако не бъде платен откуп. Всъщност, през 2020 г. 36% от пробивите в данни, които X-Force проследява, идват от атаки на рансъмуер, които също включват предполагаема кражба на данните. Това предполага, че пробивите в данните и атаките на рансъмуер започват да се припокриват.
Най-активната група за рансъмуер през 2020 г., е Sodinokibi (известна също като REvil). Нейните атаки представляват 22% от всички рансъмуер нападения, които X-Force наблюдава. X-Force изчислява, че Sodinokibi е откраднала приблизително 21,6 терабайта данни от жертвите си, че почти две трети от жертвите на Sodinokibi са платили откуп и на приблизително 43% данните са изтекли. Според X-Force това е довело до над 123 милиона долара приход за групата за изминалата година.
Освен Sodinokibi, най-успешните групи за рансъмуер през 2020 г. са фокусирани върху кражба и изтичане на данни, както и създаване на картели за „рансъмуер като услуга“. Те възлагат ключови аспекти от своите операции на киберпрестъпници, които са специализирани в различни аспекти на атака. В отговор на тези по-агресивни атаки на рансъмуер, X-Force препоръчва на организациите да ограничат достъпа до чувствителни данни и да защитят привилегировани акаунти с привилегировано управление на достъпа (privileged access management, PAM) и управление на самоличността и достъпа (identity and access management, IAM).
Други основни изводи от доклада включват:
- Уязвимостите са най-често срещаният вектор на инфекция и изпреварват фишинга в класацията – Докладът за 2021 г. разкрива, че най-успешният начин на достъп до средите на жертвите през миналата година е сканирането и експлоатацията за уязвимости (35%), надминавайки фишинга (31%) за първи път от години.
- Европа усеща най-много тежестта на атаките през 2020 г. – Отчитайки 31% от атаките, на които X-Force реагира през 2020 г., съставителите на доклада смятат, че Европа е преживяла повече атаки от всеки друг регион, като те са основно рансъмуер. Европа се сблъсква с повече атаки с вътрешна заплаха от всеки друг регион – двойно повече, отколкото Северна Америка и Азия взети заедно.
Докладът съдържа данни, събрани от IBM през 2020 г. и предоставя анализирана информация за глобалния пейзаж на заплахите. Целта му е и да информира специалистите по сигурността за заплахите, които са от съществено значение за техните организации. Можете да изтеглите копие на X-Force Threat Intelligence Index 2021от тук: https://www.ibm.biz/threatindex2021