O ile ciężko jest jednoznacznie przewidzieć, w którym kierunku podążą cyberprzestępcy w 2022 roku, można śmiało szacować, że ataki na duże organizacje oraz te związane z wyłudzaniem okupów (ang. ransomware) będą rosły w siłę. Ponieważ warto uczyć się na błędach, eksperci Cisco przygotowali zestawienie wybranych, najważniejszych wydarzeń z 2021 roku, których analiza pozwoli lepiej przygotować się na to, co może nadejść w rozpoczynającym się 2022 r.
Świat dopiero staje na nogi po jednej z najgroźniejszych kampanii cyberprzestępców i jednym z największych ataków w sieci – SolarWinds. Ostatnie dwanaście miesięcy nie oszczędzało społeczności specjalistów odpowiadających za cyberbezpieczeństwo, przynosząc kolejne wyzwania i zagęszczając mapę zagrożeń. Eksperci ds. bezpieczeństwa w sieci mieli w tym czasie do czynienia niemal z każdym typem cyberincydentów – począwszy od odciętych od sieci rurociągów naftowych, przez podmioty związane z cyberterroryzmem finansowane przez rządy, po wyciek danych całej platformy do streamingu gier, Twitch.
Styczeń:
· Chociaż atak na łańcuch dostaw SolarWinds został odnotowany po raz pierwszy w grudniu 2020 roku, jego skutki były odczuwalne jeszcze na początku 2021 r. Co więcej, wiele pytań związanych z tą kampanią nadal pozostaje bez odpowiedzi.
· „Łowcy sami stali się zwierzyną”. Analitycy cyberbezpieczeństwa z całej branży zaczęli być celami cyberprzestępców sponsorowanych przez obce rządy. Kilku analityków Cisco Talos znalazło się wśród osób, do których kierowane były złośliwe linki i wiadomości w mediach społecznościowych z fałszywymi kontami mającymi na celu wyłudzenie informacji.
Luty:
· Ekspertom Cisco Talos udało się porozmawiać z operatorem złośliwego oprogramowania typu ransomware Lockbit. Dzięki temu otrzymali cenny wgląd w krajobraz ransomware-as-a-service oraz zyskali rzadką relację z pierwszej ręki na temat tego, jak atakujący wybierają swoje cele.
· Trend związany z bezplikowym złośliwym oprogramowaniem nasilił się wraz z pojawieniem się trojana Masslogger. Ten wariant miał na celu wykradanie danych uwierzytelniania.
· Rok 2021 nie pozostawił żadnych złudzeń, cyberprzestępcy pracowali dla tych, którzy oferowali najwyższą cenę. Nie byli oni do końca wprost „sponsorowani” przez konkretne państwo atakując inne kraje, ale np. korzystali z ochrony (lub bierności) państwa, z terytorium którego działali. Pierwszą oznaką tego zjawiska była ewolucja działań grupy cyberprzestępców Gamaredon.
Marzec:
· Kiedy eksperci i analitycy ds. cyberbezpieczeństwa analizowali jeszcze i rozkładali na czynniki pierwsze SolarWinds, na scenie pojawili się nowi gracze, określający się jako HAFNIUM, którzy wykorzystali kilka luk zero-day w Microsoft Exchange Server.
· Najbardziej niebezpieczna okazała się jedna z luk ujawnionych w ramach tej kampanii, „ProxyLogon”. Atakujący mogli wykorzystać ją, aby docelowo przejąć całkowitą kontrolę nad serwerem.
Kwiecień:
· Pomimo tego, że szczepionki przeciwko COVID-19 były już powszechnie dostępne, nadal nie oznaczało to powrotu do „regularnego” trybu pracy w biurach. Pracownicy wciąż używali różnych aplikacji do współpracy i komunikacji. Niestety atakujący przystosowali się równie szybko, przejmując zaufane serwery w celu rozprzestrzeniania złośliwego oprogramowania.
Maj:
· Malware LemonDuck, zaobserwowany przez ekspertów Cisco Talos po raz pierwszy w 2020 roku, stał się bardziej zaawansowany. Złośliwe oprogramowanie zaczęło atakować podatne serwery Exchange z wyżej wymienionymi lukami, a atakujący dodali do swojego arsenału narzędzie Cobalt Strike, pierwotnie wykorzystywane do symulacji cyberataków i testów penetracyjnych, zmieniając je w złośliwego trojana.
· Atakujący wykorzystujący ransomware DarkSide obrali sobie za cel Colonial Pipeline, największy rurociąg naftowy na wschodnim wybrzeżu USA. Wielu stanom groziło, że w ciągu kilku dni skończy się paliwo na stacjach benzynowych, a te, które nim dysponowały, momentalnie podniosły ceny. Stało się to sygnałem alarmowym dla infrastruktury krytycznej w USA.
Czerwiec:
· Kilka tygodni po ataku na Colonial Pipeline, grupa DarkSide zawiesiła działalność, likwidując swój portal. Ostatecznie, zmienili nazwę, aby powrócić jako BlackMatter.
· Firma JBS, zajmująca się masową dystrybucją mięsa na całym świecie, została zaatakowana przez oprogramowanie ransomware i ostatecznie musiała zapłacić 11 milionów dolarów okupu. Mimo że nie ucierpiał żaden poziom działalności operacyjnej przedsiębiorstwa, konsumenci w panice kupowali mięso w sklepach spożywczych w Stanach Zjednoczonych, obawiając się jego niedoboru.
Lipiec:
· Był to kolejny miesiąc, kiedy atakujący zaczęli wykorzystywać zestaw błędów zero-days Microsoft, tym razem lukę w usłudze Print Spooler systemu Windows. Atak ten był znany pod określeniem „PrintNightmare”.
· Obchodzony w Stanach Zjednoczony Dzień Niepodległości (4 lipca) w minionym roku nie był czasem wolnym dla specjalistów ds. cyberbezpieczeństwa. Musieli zmierzyć się z kolejnym atakiem na łańcuch dostaw. Tym razem cyberprzestępcy obrali za cel dostawcę usług zarządzanych Kaseya, aby zainfekować ofiary ransomware REvil.
Sierpień:
· PrintNightmare znów o sobie przypomniał, tym razem jako exploit wykorzystywany przez grupę ransomware Vice Society. Zespołowi Cisco Talos Incident Response udało się wykryć wiele organizacji, które padły ofiarą ransomware’u w wyniku zastosowania tej techniki.
· Wraz z rosnącą popularnością aplikacji do dzielenia się zasobami w Internecie, cyberprzestępcy znajdywali kolejne sposoby, aby wykorzystać je do ataków. Platformy typu „proxyware” pozwalają użytkownikom zarobić na dodatkowej przepustowości łącza, którą „wynajmują” innym. Jak wynika z badań Cisco, w niepowołanych rękach umożliwiają one wykorzystanie przepustowości sieci użytkowników bez ich wiedzy, działając w tle na zainfekowanym urządzeniu.
Wrzesień:
· Atakujący podszywali się pod stronę Amnesty International, aby rozprzestrzeniać fałszywe antywirusy, które rzekomo usuwają oprogramowanie szpiegowskie Pegasus z urządzeń mobilnych. Zamiast tego, instalowało ono złośliwe oprogramowanie i wykradało informacje o ofiarach.
· Telenowela, której głównym bohaterem jest ransomware-as-a-service rozpoczynała właśnie kolejny sezon, kiedy jeden z członków grupy cyberprzestępczej Conti (autorów oprogramowania ransomware o tej samej nazwie) ujawnił podręcznik jej działania. Dało to kilka wskazówek na temat sposobu funkcjonowania grupy.
· Rosyjska grupa APT Turla dodała do swojego arsenału nowe oprogramowanie typu backdoor, które w zasadzie służy jako ostatnia deska ratunku, aby pozostać na maszynach ofiar.
Październik:
· W krajobrazie zagrożeń pojawił się nowy program ładujący złośliwe oprogramowanie (ang. loader) o nazwie SQUIRRELWAFFLE.
Listopad:
· Przy okazji kolejnej odsłony luk zero-day Microsoft ostrzegał o aktywnych atakach na Windows Installer, które mogły pozwolić cyberprzestępcom na podniesienie swoich uprawnień do poziomu administratora. W międzyczasie luki w serwerze Exchange nadal były celem ataku ransomware’u Babuk.
· Amerykańskie organy ścigania aresztowały dwie osoby w związku z ich domniemanym udziałem w ataku na łańcuch dostaw firmy Kaseya w ramach działań grupy REvil. W związku z tym pojawiła się również informacja o nagrodzie w wysokości 10 milionów dolarów za wszelkie informacje prowadzące do aresztowania lidera REvil.
· W Stanach Zjednoczonych podpisano ustawę infrastrukturalną o wartości 1 biliona dolarów, która umożliwiła m.in. dostęp do 2 miliardów dolarów finansowania inwestycji związanych z bezpieczeństwem cybernetycznym. Samorządy lokalne będą mogły ubiegać się o dotacje w 2022 r. w celu zwiększenia bezpieczeństwa infrastruktury krytycznej i szkoleń z zakresu cyberbezpieczeństwa.
· Po zlikwidowaniu na początku 2021 r. trojana Emotet przez międzynarodowe organy ścigania, botnet znów wypłynął na powierzchnię i wykazuje oznaki życia.
Grudzień:
· Eksperci Talos odkryli serię kampanii złośliwego oprogramowania autorstwa cyberprzestępcy o pseudonimie „Magnat”. Wykorzystuje on fałszywe rozszerzenie dla przeglądarki Google Chrome.
· Luka Log4j rujnuje wszystkim sezon świąteczny, zmuszając zespoły cyberbezpieczeństwa do pracy w godzinach nadliczbowych, a programistów do ciągłego wprowadzania łatek.
