Motywy i metody działania cyberprzestępców są zróżnicowane. Niektórzy dokładnie wiedzą kogo chcą zaatakować, jakiego rodzaju narzędzia powinni użyć oraz na jakiego rodzaju korzyści mogą liczyć. Starannie dobierają ofiary – organizacje lub użytkowników i niejednokrotnie tworzą złośliwe oprogramowanie „szyte na miarę”. Inni chcą zaatakować możliwie jak największą liczbę osób. Ich celem jest szeroka dystrybucja złośliwego oprgoramowania i splendor wśród innych cyberprzestępców. Eksperci Cisco przeanalizowali cyberincydenty, które miały miejsce w ubiegłym roku i przygotowali zestawienie technik oraz metod najczęściej wykorzystywanych przez cyberprzestępców.
Na skróty:
Główne sposoby działania cyberprzestępców w 2019 roku to:
- Ataki na DNS
- Remote Access Trojans (RATs)
- Ukrywanie ataków w szyfrowanym ruchu sieciowym
- Media społecznościowe jako platforma do komunikacji dla cyberprzestępców
Żółw morski wypływa na szerokie wody – ataki na DNS
Jedną z najczęściej wykorzystywanych przez cyberprzestępców metod były ataki na System Nazw Domenowych (ang. Domain Name System). Za każdym razem gdy użytkownik wpisuje nazwę określonej domeny, DNS przeformatowuje go na zrozumiały dla maszyny adres IP składający się z ciągu cyfr.
Jaki może być przykładowy scenariusz ataku? Załóżmy, że pracownik przychodzi do biura i przed rozpoczęciem pracy postanawia umilić sobie poranną kawę lekturą newsów w Internecie, klikając na którąś z zakładek w przeglądarce. Nie jest świadomy, że system przekierowuje go na inną, podobnie wyglądającą stroną zawierającą złośliwe oprogramowanie, które może być wykorzystane do pozyskania loginów i haseł wpisywanych na często odwiedzanych stronach internetowych, kradzieży tożsamości i poufnych informacji czy nawet szantażu. Ataki na DNS są niezwykle trudne do wykrycia, gdyż użytkownicy mogą nawet nie zdawać sobie sprawy, że korzystają z zainfekowanej strony www. Przykładem kampanii mającej na celu ataki na DNS jest Sea Turtle. Była ona skierowana przeciwko organizacjom zarządzającym domenami najwyższego poziomu TLD (ang. top-level domains). Mimo, że zespół ekspertów ds. cyberbezpieczeństwa Cisco Talos ujawinił działanie „morskiego żółwia”, zdaniem specjalistów Cisco, w roku 2020 możemy spodziewać się kolejnych ataków.
Szczury (RATs) wykradające dane i kontrolujące komputery ofiar
RATs (ang. Remote Access Trojans) są trojanami umożliwiającymi zdalny dostęp do urządzeń. Służą cyberprzestępcom do uzyskiwania informacji i kontrolowania komputerów swoich ofiar. Oznacza to, że po zainstalowaniu złośliwego oprogramowania mogą oni m.in. pozyskać dane, w tym loginy i hasła zapisane w pamięci podręcznej, usunąć informacje z komputera, podglądać użytkownika za pomocą kamery zamontowanej w komputerze, podsłuchiwać użytkownika włączając mikrofon w komputerze, uzyskać dostęp do serwera współdzielonego, a nawet zainstalować dodatkowy malware np. keyloger, który zapisuje teksty napisane na klawiaturze komputera.
Według chińskiego horoskopu, 2020 będzie rokiem szczura. Podobnie sądzą, choć z innego powodu, specjaliści ds. cyberbezpieczeństwa Cisco. Biorąc pod uwagę aktywność cyberprzestępców w roku 2019 i przykłady trojanów takich jak Orcus RAT czy RevengeRAT możemy sądzić, że programy umożliwiające uzyskanie zdalnego dostępu do zasobów wciąż będą stanowiły poważne zagrożenie.
Szyfrowany ruch sieciowy – broń obusieczna
Pierwotnie szyfrowanie ruchu sieciowego miało uniemożliwić uzyskanie dostępu do danych osobom niepowołanym. Niestety technologia ta stała się narzędziem w rękach cyberprzestępców, którzy w ten sposób kamuflują swoje działania. Jak wynika z danych Cisco, 63% wszystkich incydentów wykrytych za pomocą Cisco Stealthwatch, systemu do analizy ruchu sieciowego, było ukrytych w ruchu szyfrowanym. Chcąc zwalczać ten proceder organizacje powinny stale monitorować szyfrowane pakiety danych przemierzające sieć, aby odkryć wzorce wskazujące na działalność cyberprzestępców. Eksperci Cisco podkreślają jednak, że dopiero wykorzystanie algorytmów uczenia maszynowego pozwoli na wykrycie bardziej złożonych złośliwych połączeń. Nie jest to łatwe zadanie, gdyż cyberprzestępcy oprócz zainfekowanych, umieszczają w ruchu sieciowym również przypadkowe pakiety danych, aby zmylić specjalistów ds. cyberbezpieczeństwa.
Media społecznościowe – targowisko dla cyberprzestępców
Działalność cyberprzestępców kojarzy się z najciemniejszymi odmętami Internetu. Nic bardziej mylnego. Osoby zajmujące się tworzeniem i dystrybucją złośliwego oprogramowania wykorzystują powszechnie dostępne portale społecznościowe, takie jak np. Facebook do wymiany informacji o wykorzystywanych technikach, sprzedaży narzędzi hakerskich czy wykradzionych danych. Brian Krebs, badacz zajmujący się cyberbezpieczeństwem, zaprezentował niedawno zestawienie 120 grup w mediach społecznościowych zrzeszających nawet 300 tys. tzw. hakerów. Mimo, że zostały one zgłoszone i usunięte przez administratorów, na ich miejsce wciąż pojawiają się nowe.
Cisco radzi jak chronić się przed powyższymi zagrożeniami
· Monitoruj rekordy DNS i blokuj złośliwe domeny. Platforma Umbrella Investigate daje całościowy obraz zależoności i zmian jakie zachodzą w domenach internetowych, numerach IP i plikach. Dzięki temu można wskazać źródła ataku, przewidywać przyszłe zagrożenia i szybko lokalizować zmiany w rekordach DNS.
· Wdróż odpowiednie rozwiązanie do ochrony punktów końcowych. Gdy coraz więcej urządzeń podłącza się do Twojej sieci, niezwykle ważne jest zrozumienie, jakie ataki mogą być na nie skierowane. Należy je proaktywnie blokować i szybko odpowiadać na wszystkie zagrożenia, które przedarły się przez system zabezpieczeń. Rozwiązanie Cisco AMP dla Punktów Końcowych blokuje złośliwe oprogramowanie już podczas pierwszego kontaktu z infrstrukturą IT, następnie lokalizuje i zapobiega rozprzestrzenianiu bardziej złożonych zagrożeń.
- Wykorzystuj uwierzytelnianie wielopoziomowe. Rozwiązania MFA (ang. multi-factor authentication), takie jak Cisco Duo, pozwalają weryfikować tożsamożć użytkowników, zyskiwać wgląd w każde urządzenie, a także egzekwować zasady polityki bezpieczeństwa, aby zabezpieczyć dostęp do każdej aplikacji. Uwierzytelnianie wielopoziomowe może także uniemożliwić cyberprzestępcom logowanie do systemu, jeżeli uda im się uzyskać dane do logowania.
- Monitoruj ruch sieciowy. Cisco Stealthwatch jest najbardziej kompleksowym narzędziem zapewniającym przejrzystość i analizę bezpieczeństwa ruchu sieciowego, wykorzystującym telemterię z istniejącej infrastruktury sieciowej. Stealthwatch zawiera także narzędzie Encrypted Traffic Analytics, które umożliwia lokalizowanie zagrożeń w szyfrowanym ruchu sieciowym.
· Bezpieczeństwo poczty elektronicznej. Poza podstawowymi zabezpieczeniami przed spamem, wirusami i złośliwym orpogramowaniem warto rozważyć bardziej zaawansowane rozwiązania z zakresu bezpieczeństwa poczty elektornicznej, wykorzystujące uczenie maszynowe do potwierdzania tożsamości nadawców i rozpoznawania powiązań behawioralne, aby blokować ataki phishingowe.
· Identyfikuj złośliwe zachowanie plików. Rozwiązanie Cisco Threat Grid wyszukuje zainfekowane pliki i automatycznie informuje o tym cały ekosystem produktów bezpieczeństwa Cisco. Threat Grid łączy możliwość izolacji określonych programów od reszty systemu z wiedzą z zakresu threat intelligence.
· Podejście platformowe. Całościowo blokuj nowe ataki, zapobiegaj rozpowszechnianiu naruszeń wykorzystujących różne wektory ataku i ograniczaj ich wpływ na systemy. Przykładem rozwiązania platfromowego jest Cisco Threat Response (CTR). CTR pozwala automatyzować i przyśpieszać podstawowe funkcje operacyjne: wykrywanie, prowadzenie śledztw oraz naprawianie. Stanowi główny filar zintegrowanej architektury bezpieczeństwa Cisco.
· Reakcja na incydenty. Zwiększ gotowość i usparwnij reakację na cyberataki. Zespół specjalistów Talos Incident Response pomoże Twojej organizacji przygotować się na atak, zareagować i przywrócić działenie systemów poprzez bezpośredni dostęp do wiedzy, którą dysponuje Cisco.