Nozomi Networks - Cyber zagrożenia w pierwszej połowie 2020 r.
W krajobrazie zagrożeń OT/IoT w pierwszej połowie 2020 r. odnotowano wzrost zagrożeń dla sieci OT i IoT, w szczególności ataków IoT botnet, ransomware i COVID-19. Te typy ataków są zgodne z globalnymi trendami informatycznymi i społeczno-gospodarczymi. Szybki wzrost liczby urządzeń IoT, globalna pandemia COVID-19 oraz rosnący wzrost i wyrafinowanie cyberprzestępców to kluczowe czynniki. Ten wpis na blogu zawiera przegląd najbardziej aktywnych zagrożeń zaobserwowanych w ciągu ostatnich kilku miesięcy przez ekspertów z Nozomi Networks, a także wgląd w taktyki i techniki oraz zalecenia dotyczące ochrony krytycznych sieci.
Które zagrożenia masowo wzrosły w pierwszej połowie roku?
Zagrożenia związane ze złośliwym oprogramowaniem IoT rosną i będą stanowić główną część krajobrazu zagrożeń w przewidywalnej przyszłości. Do tego bezprecedensowego wzrostu przyczynia się kilka czynników:
- Wykładniczy wzrost liczby urządzeń IoT.
- Niezabezpieczone wykorzystanie urządzeń IoT, które są bezpośrednio dostępne przez Internet.
- Brak aktualizacji zabezpieczeń dla urządzeń IoT, co pozostawia urządzenia podatne na częste ataki ze strony wielu aktorów zagrożeń.
- Brak wglądu w postawę bezpieczeństwa urządzeń IoT.
Jednym z najciekawszych botnetów jest Dark Nexus, który został odkryty w kwietniu 2020 roku. Operatorzy Dark Nexus często wydają nowe aktualizacje, podobnie jak w przypadku oprogramowania komercyjnego. Ponadto, operatorzy Dark Nexus sprzedają swoje usługi łagodzenia DDoS otwarcie w internecie. Z perspektywy technicznej Dark Nexus wyróżnia się na tle konkurencyjnych botnetów wyrafinowanym mechanizmem, który profiluje procesy uruchomione na zainfekowanym urządzeniu. Celem tego mechanizmu jest identyfikacja procesów, które mogłyby utrudnić sprawne wykonanie złośliwego oprogramowania. Chociaż Dark Nexus początkowo zainfekował tylko kilka tysięcy urządzeń, liczba ta może szybko wzrosnąć. Dlatego też należy pilnie pamiętać o Dark Nexus.
Czy ransomware nadal ma znaczenie?
Ataki ransomware wymierzone w różne pionowe branże są nadal powszechne. To, co się zmieniło, to cele. Gangi ransomware przeniosły swoją uwagę na większe, bardziej krytyczne cele z głębszymi kieszeniami, w tym między innymi producentów, firmy energetyczne i lokalne gminy. Operatorzy oprogramowania ransomware zazwyczaj szyfrują pliki i żądają od ofiar zapłaty okupu. Teraz eksfiltrują również dane korporacyjne i grożą ich publikacją w Internecie, aby wywrzeć jeszcze większą presję.
Jak pandemia COVID-19 jest wykorzystywana do cyberprzestępczości?
Globalna pandemia COVID-19 zapewnia cyberprzestępcom jeszcze więcej wektorów i możliwości wykorzystania. Powierzchnia ataku dla większości firm znacznie wzrosła wraz z szybkim przejściem na politykę "home office". Niektóre firmy posiadają infrastrukturę umożliwiającą pracę zdalną, taką jak VPN i laptopy robocze. Jednak wiele innych firm nie jest na to przygotowanych i musi szybko znaleźć rozwiązania, co otworzyło drzwi dla zagrożeń bezpieczeństwa. Ponadto klimat strachu i niepewności wywołany przez COVID-19 sprawia, że pracownicy są bardziej podatni na ataki socjotechniczne. Cyberprzestępcy wykorzystywali głównie e-maile phishingowe w pierwszej fazie ataku, aby oszukać użytkowników do ujawnienia informacji osobistych lub uruchomienia szkodliwego oprogramowania.
Jednym z przykładów jest rodzina złośliwego oprogramowania Chinoxy Backdoor. Osadza ono dokument z informacjami wspierającymi COVID-19 w pliku .rtf, który wykorzystuje CVE-2017-11882. Exploit jest wykorzystywany do zrzucenia na maszynę złośliwych binarek, które wykorzystują HTTP na porcie 443 do komunikacji C&C. Kiedy cyberprzestępcy uzyskują dostęp do systemów i kradną dane sieciowe, zawsze pozostawiają po sobie ślad. To dobra wiadomość, ponieważ ten ślad można zidentyfikować, o ile firmy mają jasny wgląd w to, co dzieje się w ich sieciach OT/IoT.
Jakie są inne wyzwania w zakresie bezpieczeństwa IT?
Podatności odkryte w systemach ICS dają atakującym możliwość manipulowania danymi, co może wpływać na procesy fizyczne i być niezwykle niebezpieczne dla produkcji przemysłowej. Dlatego ważne jest, aby przy ocenie ryzyka bezpieczeństwa brać pod uwagę trendy zagrożeń podatności. Liczba podatności wykrytych przez ICS-CERT w pierwszej połowie 2020 roku znacznie wzrosła w porównaniu z rokiem 2019. Rozsądnym podejściem dla przemysłu jest zmniejszenie ekspozycji poprzez zajęcie się podatnościami, które są łatwe do złagodzenia w pierwszej kolejności. Z czasem coraz więcej podatności może zostać złagodzonych. Nieprawidłowa walidacja danych wejściowych oraz podatności typu buffer overflow znajdują się na szczycie listy podatności na rok 2020 pod względem liczby. Podczas gdy pierwsza z nich należy do kategorii podatności łatwych do zniwelowania, druga jest trudniejsza do naprawienia. Przepełnienia bufora wymagają aktualizacji firmware'u przez producentów, wymiany starych urządzeń i innych działań naprawczych. Niestety, w najbliższych latach ta grupa będzie prawdopodobnie nadal stanowić znaczny odsetek wykrywanych podatności.
Jakie cyberzagrożenia są spodziewane w drugiej połowie roku?
Spodziewamy się, że ataki ze strony botnetów IoT, oprogramowania ransomware i złośliwego oprogramowania COVID-19 będą nadal rosły, choć w drugiej połowie roku ulegną korekcie. W obliczu rosnących i stale zmieniających się zagrożeń ważne jest zapewnienie wysokiej odporności cybernetycznej i zdolności szybkiego reagowania. Naruszenia bezpieczeństwa związane z ludźmi, procesami i technologią mogą mieć duży wpływ, zwłaszcza na IT i OT w organizacjach z coraz bardziej połączonymi systemami IT, OT i IoT. Jednak dzięki odpowiedniej technologii i skupieniu się na najlepszych praktykach można zwiększyć widoczność i odporność operacyjną.
Tłumaczenie z języka angielskiego z DeepL
Oryginał autorstwa Alessandro Di Pinto, szefa działu badań nad bezpieczeństwem w Nozomi Networks.
Korekta i edycja przez Victora Rossnera