Pandemia koronowirusa to wzmożona aktywność cyberprzestępców. Wynika to zarówno z różnych raportów, ale i z moich wielu rozmów, które przeprowadzałem z osobami odpowiedzialnymi za cybersecurity. Ataki hakerskie 2020 – powodów z pewnością jest wiele, ale jednym z nich jest fakt, iż cyberprzestępcy korzystają z nadarzających się okazji. A te – w przypadku pandemii – zostały im niemal podane, jak na tacy. Jedyne co musieli zrobić, to dostosować dotychczasowe techniki…
Ataki hakerskie 2020: To co napisałem powyżej, zdaje się również potwierdzać Cisco, które wypuściło raport na temat aktywności cyberprzestępców w 2020 roku. Wynika między innymi z niego fakt, że zwiększona aktywność hakerów miała oczywiście związek z przejściem na pracę zdalną. A co się z tym wiąże – wykorzystywali gorzej zabezpieczonych użytkowników oraz ich urządzenia do prowadzenia szeroko zakrojonych kampanii cyberprzestępczych. Niestety – zdaniem eskspertów Cisco – w 2021 trudno oczekiwać, że prób ataków będzie mniej. Wzrośnie również skala cyberincydentów o bardziej złożonym charakterze. Dlatego tak ważne jest, by się chronić. Zarówno prywatnie, jak i firmowo. Wiecie, ja ująłbym to tak: skoro niemal każda firma ma przy wejściu alarmy, kamery i dziesięć innych urządzeń, zabezpieczających wejście na teren tych firm, to dlaczego właśnie te kamery są zazwyczaj najsłabszym ogniwem? Furtką, przez którą hakerzy wchodzą, jak pączek w masło?
No i właśnie między innymi z tego powodu, hakerzy w 2020 wykazali się szczególną aktywnością. Okazało się, że tych przysłowiowych furtek było znacznie więcej i wręcz zachęcały, by je uchylić jeszcze bardziej. W każdym razie oto 3 najbardziej popularne rodzaje ataków, które odczuły organizacje niemal na całym świecie. Niestety cały czas nie doszukałem się choćby jednego raportu dedykowanego tylko dla rynku polskiego, a to byłoby mega ciekawe. Przynajmniej dla takich geeków, jak ja. Tak czy siak – oto incydenty, które według ekspertów Cisco (a jak wiadomo – Cisco wie wszystko), najczęściej spotykały poszkodowanych:
Ataki hakerskie 2020: Ataki na zdalne pulpity
Pandemia sprawiła, że znacznie wzrosła popularność zdalnych pulpitów (RDP – Remote Desktop Protocol), czyli technologii, która pozwala na dostęp do komputera (np. biurowego) ze zdalnej lokalizacji. Bez wątpienia stanowi to wygodne rozwiązanie w sytuacji masowego przejścia na pracę zdalną, ale jednocześnie wzbudza wiele obaw w kontekście cyberbezpieczeństwa.
Obawy te dotyczą kradzieży danych uwierzytelniających, ataków typu man-in-the-middle (cyberatak, w którym atakujący umieszcza się na linii komunikacji między dwoma stronami) czy zdalnego wykonania kodu (luka w zabezpieczeniach, którą atakujący może wykorzystać do uruchomienia własnego kodu na komputerze lub serwerze). Każde rozwiązanie RDP, jeśli zostanie przejęte, umożliwia atakującemu dostęp do cyfrowych zasobów organizacji.
Ataki hakerskie 2020: jak się bronić przed atakiem na zdalny pulpit?
Według ekspertów Cisco, firmy korzystające z wirtualnych pulpitów powinny wdrożyć specjalne środki bezpieczeństwa:
- unikać podłączania zdalnych pulpitów bezpośrednio do sieci. Zamiast tego można zapewnić pracownikom dostęp do wszystkich niezbędnych zasobów za pomocą usługi VPN;
- wdrożyć system uwierzytelniania wielopoziomowego – dodatkową warstwę bezpieczeństwa, umożliwiającą potwierdzenie tożsamości użytkowników;
- blokować użytkowników, którzy podjęli wiele nieudanych prób logowania.
Ataki hakerskie 2020: ransomware i „podwójne wymuszenie”
Kolejną szalenie popularną metodą, wykorzystywaną przez cyberprzestępców w trakcie pandemii, okazały się ataki ransomware, które przybrały nowe formy. Przykładowo, pojawiły się liczniki odliczające czas, jaki pozostał użytkownikowi na wpłacenie okupu. Eksperci Cisco zajmujący się cyberbezpieczeństwem zaobserwowali, że coraz częściej zaatakowani użytkownicy otrzymują groźby nie tyle zaszyfrowania, co trwałego usunięcia danych.
Zmieniła się również skala ransomware, a ataki na poszczególne urządzenia często są jedynie narzędziem, które pozwala uzyskać dostęp do sieci organizacji. Jak to już nastąpi, atak ransomware jest uruchamiany dopiero po tym, kiedy atakujący wejdą w posiadanie danych firmy, w tym własności intelektualnej czy poufnych informacji handlowych. Specjaliści z Cisco nazywają takie zjawisko „podwójnym wymuszeniem” – z jednej strony atakujący przejmują dane, które mogą wykorzystać i dalej monetyzować, z drugiej wymuszają okup za ich odszyfrowanie czy niewykasowanie, co ma na celu maksymalizację szkód ofiar i zysków atakujących.
Kwitnie również czarny rynek, gdzie sprzedawane są np. dostępy do sieci firmowych. Nieuczciwi użytkownicy mogą zatem lepiej przygotować się do ataku i w jednym momencie rozesłać złośliwe oprogramowanie do większej liczby organizacji.
Ataki hakerskie 2020: jak się bronić przed nowymi formami ransomware?
Co może zrobić biznes, żeby ustrzec się przed nowymi formami ransomware? Eskperci Cisco podkreślają, że najważniejsze jest kompleksowe podejście do kwestii cyberbezpieczeństwa, na które składa się zapobieganie, lokalizowanie zagrożeń i odpowiadanie na nie. Ekosystem cyberbezpieczeństwa powinien obejmować m.in.:
- bezpieczeństwo poczty e-mail;
- zarządzanie aktualizacjami i łatkami;
- monitoring systemów i sieci;
- segmentację sieci;
- backup i przywracanie systemu po awarii;
- polityki i procedury;
- szkolenia;
Ataki hakerskie 2020: wykradane hasła i „credential dumping”
Kradzież danych do logowania stanowi drugą najczęstszą aktywność cyberprzestępców podczas włamań do firmowych systemów bezpieczeństwa. Posługując się wykradzionym loginem i hasłem, mogą oni pozostać niezauważeni w sieci danej organizacji. Podobnie jak w przypadku ransomware, również kradzież danych do logowania służy za punkt wyjścia do dalszych ataków i wykradania kolejnych danych do logowania. Zjawisko to nazywa się „credential dumping”. Cyberprzestępcy nie poprzestają na uzyskaniu dostępu do jednego urządzenia. Często z jego poziomu chcą wejść w posiadanie haseł do innych elementów firmowej infrastruktury IT, przeszukując różne obszary systemów, gdzie tego typu informacje są przechowywane.
Ataki hakerskie 2020: jak się bronić przed „credential dumping”?
Jak się zabezpieczyć przed tym procederem? Eksperci Cisco radzą, aby:
- monitorować dostęp do bazy danych LSASS (Local Security Authority Subsystem Service) i SAM (Storage Area Management);
- monitorować logi w celu wyszukiwania nieplanowanych, podejrzanych aktywności w kontrolerach domen;
- wyszukiwać nieoczekiwane i nieprzydzielone połączenia z adresów IP do kontrolerów domen.
Ataki hakerskie 2020: Dlaczego jest to istotne?
Mimo, że duża część polskich firm z sektora małych i średnich przedsiębiorstw wciąż podchodzi dość lekceważąco do tematu cyberbezpieczeństwa, to życie pokazuje, że przestępcy nie śpią. Po prostu coraz więcej ich przenosi się do sieci. I o ile często do mediów przedostają się tematy związane z tym, że jakiś senior stracił oszczędności swojego życia, bo właśnie udostępnił przestępcom, bądź nawet gorzej – zautoryzował przelew, to w przypadku SME – zbyt często jeszcze o tym się nie mówi. Co nie oznacza, że opisywanych wyżej przypadków w Polsce nie ma. Niestety, będzie ich więcej. Dlatego tak jak napisałem na wstępie, jeśli wierzycie w zasadność alarmów czy kamer w swoich firmach, to uwierzcie, że cyberbezpieczeństwo jest co najmniej dziesięć razy bardziej istotne.
A jak macie wolną chwilę, to podaję Wam link do omawianego raportu. Warto z nim się zapoznać: Defending Against Critical Threats: A 12 month roundup
