...

BRIEF dociera do polskich firm i ich pracowników – do wszystkich tych, którzy poszukują inspiracji w biznesie i oczekują informacji o ludziach, trendach i ideach.

Skontaktuj się z nami

Raport FortiGuard Labs: Ataki z użyciem ransomware’u zdarzają się dziesięć razy częściej niż rok temu [RAPORT]

ransomawre cyberzagrozenia

Oto najważniejsze informacje z raportu za pierwsze półrocze 2021 r:

1. W cyberatakach typu ransomware chodzi o coś więcej niż pieniądze

Dane FortiGuard Labs wskazują, że aktywność oprogramowania ransomware w czerwcu 2021 r. była ponad dziesięć razy wyższa niż rok temu. Świadczy to o konsekwentnym i stałym wzroście popularności tego narzędzia. Incydenty z użyciem ransomware’u sparaliżowały łańcuchy dostaw wielu przedsiębiorstw, szczególnie w branżach o krytycznym znaczeniu. Bardziej niż kiedykolwiek wpłynęły na życie codzienne, handel, produktywność pracowników itd.

Cyberprzestępcy najczęściej atakowali przedsiębiorstwa z sektora publicznego, branży telekomunikacyjnej, motoryzacyjnej, produkcyjnej oraz dostawców zarządzanych usług bezpieczeństwa (MSSP). Niektórzy jednak zmienili swoją strategię i odchodzą od inicjowania ataku poprzez wiadomości e-mail. Obecnie szczególne znaczenie ma dla nich zdobywanie danych zapewniających dostęp do sieci korporacyjnych i sprzedawanie ich, co przekłada się na rozwój modelu usługowego Ransomware-as-a-Service (RaaS).

Kluczowy wniosek jest taki, że ransomware pozostaje oczywistym i aktualnym zagrożeniem dla wszystkich firm, niezależnie od ich branży i wielkości. Muszą one przyjąć zatem proaktywne podejście do bezpieczeństwa ‒ stosować rozwiązania do ochrony urządzeń końcowych w czasie rzeczywistym, wykrywania incydentów i automatycznego reagowania na nie, wraz z podejściem Zero Trust Access, segmentacją sieci i szyfrowaniem.

2. Jedna na cztery firmy wykryła malvertising

W ubiegłym półroczu cyberprzestępcy najchętniej wykorzystywali techniki scareware oraz malvertising. Bazujące na nich ataki dotknęły ponad 25% firm. W tym kontekście należy zwrócić uwagę zwłaszcza na rodzinę trojanów Cryxos, które na zainfekowanych lub złośliwych stronach wyświetlały oszukańcze powiadomienia. Chociaż duża część wykrytych przypadków jest prawdopodobnie połączona z innymi podobnymi kampaniami wykorzystującymi JavaScript, to uznaje się je za malvertising.

Cyberprzestępcy próbują tym samym zareagować na popularność powszechnie praktykowanego hybrydowego trybu pracy i nauki, co przekłada się na zmianę trendów w ich taktyce. Teraz dążą już nie tylko do przestraszenia ofiary, ale też do wymuszenia na niej spełnienia swoich żądań. Ważne jest zatem edukowanie użytkowników sieci i zwiększenie ich świadomości na temat cyberbezpieczeństwa, aby zapobiec atakom typu scareware i malvertising.

3. Trendy dotyczące botnetów wskazują, że cyberprzestępcy atakują brzeg sieci

Gwałtowne nasilenie aktywności odnotowano z kolei w przypadku botnetów. W ciągu pół roku odsetek podmiotów, które wykryły je w swojej sieci, wzrósł z 35% do 51%. Związane jest to z wykorzystywaniem przez cyberprzestępców złośliwego kodu o nazwie TrickBot. Pierwotnie był to trojan bankowy, ale został rozwinięty do postaci wyrafinowanego zestawu narzędzi do przeprowadzania wieloetapowych ataków.

Wprowadzenie zdalnego trybu pracy i nauki, a wraz z tym zmiana codziennych nawyków, dla cyberprzestępców wciąż stanowią okazję do działania. Z tego powodu najbardziej rozpowszechnionym botnetem był Mirai atakujący urządzenia Internetu rzeczy (IoT) używane przez osoby pracujące lub uczące się w domu. W 2020 roku wyprzedził botneta zdalnego dostępu Gh0st i utrzymuje pozycję lidera także w 2021 roku. Gh0st natomiast stanowi nadal poważne zagrożenie – umożliwia on przejęcie pełnej kontroli nad zainfekowanym systemem, przechwytywanie na żywo obrazu z kamery internetowej i mikrofonu oraz pobieranie plików. Dlatego, aby chronić sieci i aplikacje, potrzebne jest stosowanie podejścia Zero Trust Access. Znaczne ograniczenie uprawnień dostępu zabezpiecza rozwiązania IoT i inne urządzenia podłączone do sieci.

4. Zaburzenie funkcjonowania środowisk cyberprzestępczych przekłada się na zmniejszenie liczby zagrożeń

Chociaż cyberprzestępcy stają się coraz bardziej skuteczni, w 2021 r. walka z nimi przyniosła pewne sukcesy. W czerwcu twórca TrickBota został postawiony w stan oskarżenia pod wieloma zarzutami. Udało się również wyeliminować Emotet, jeden z najbardziej złośliwych programów w historii. Znaczącym krokiem było także podjęcie działań, które mają na celu przerwanie operacji związanych z należącym do kategorii ransomware oprogramowaniem Egregor, NetWalker i Cl0p. Stanowi to znaczący impuls do dalszej walki z cyberprzestępczością, głownie dla rządów z całego świata i organów ścigania.

Ponadto, duży rozgłos, który towarzyszył niektórym atakom, spowodował wycofanie się z działalności kilku operatorów ransomware. Dane FortiGuard Labs wykazały spowolnienie aktywności cyberprzestępców po wyłączeniu Emoteta. Ataki związane z wariantami TrickBot i Ryuk jeszcze się zdarzały, jednak ich skala była mniejsza. Świadczy to o tym, jak trudno jest natychmiast wyeliminować cyberzagrożenia lub wykorzystywane przez nie łańcuchy dostaw w całości, jednakże wspomniane wydarzenia stanowią ważne osiągnięcia.

5. Cyberprzestępcy preferują techniki unikania oraz eskalację uprawnień

Skrupulatna analiza danych dotyczących cyberzagrożeń pozwala na wyciągnięcie wniosków na temat tego, jak obecnie ewoluują techniki ataków. FortiGuard Labs badało specyficzne funkcje wykrytego złośliwego oprogramowania poprzez uruchomienie jego próbek, aby przyjrzeć się zaimplementowanym przez cyberprzestępców mechanizmom zachowania. W efekcie sporządzono listę negatywnych rezultatów, które złośliwe oprogramowanie mogłoby spowodować, gdyby zostało uruchomione w docelowych środowiskach IT.

Z tego eksperymentu wynika, że przestępcy dążyli między innymi do eskalacji uprawnień, unikania mechanizmów ochronnych, przemieszczania się pobocznymi wobec wewnętrznych systemów ścieżkami oraz wykradania danych. Aż 55% zaobserwowanych funkcji eskalacji uprawnień wykorzystało technikę przechwytywania wywołań systemowych (hooking), zaś w 40% przypadków obecne były mechanizmy wstrzykiwania procesów.

Przykłady te pokazują, że w działalności cyberprzestępców istnieje oczywisty nacisk na stosowanie taktyki unikania obrony i eskalacji przywilejów. Dzięki tym obserwacjom, chociaż techniki te nie są nowe, zespoły ds. cyberbezpieczeństwa będą lepiej przygotowane do obrony przed przyszłymi atakami. Zintegrowane i korzystające z mechanizmów na sztucznej inteligencji (AI) platformowe podejście do bezpieczeństwa, bazujące na informacjach o zagrożeniach, jest niezbędne wobec zmieniającej się sytuacji, przed którą stoją dziś przedsiębiorstwa.

Skuteczność działania zapewni tylko partnerstwo, szkolenia, a także bazująca na sztucznej inteligencji prewencja oraz wykrywanie incydentów i reagowanie na nie

Chociaż instytucje rządowe i organy ścigania podejmowały wspólne akcje przeciw cyberprzestępczości w przeszłości, pierwsza połowa 2021 roku może być przełomowa pod względem tempa działań. Służby współpracują z dostawcami branżowymi, podmiotami zajmującymi się badaniem cyberzagrożeń oraz innymi globalnymi instytucjami partnerskimi. Jest to efekt przyjętej strategii, polegającej na połączeniu zasobów i informacji o cyberzagrożeniach w celu podjęcia bezpośrednich działań przeciwko przestępcom.

Niezależnie od tego, zastosowanie mechanizmów zautomatyzowanego wykrywania zagrożeń i sztucznej inteligencji (AI) pozostaje niezbędne, aby można było reagować na ataki w czasie rzeczywistym, łagodzić ich skutki z odpowiednią szybkością oraz we właściwej skali na każdym brzegu sieci. Ponadto, niezwykle ważne są szkolenia użytkowników w zakresie cyberbezpieczeństwa, ponieważ każdy może stać się ofiarą przestępstwa w sieci. Aby zapewnić ochronę poszczególnym pracownikom i całej firmie, potrzebny jest regularny instruktaż na temat najlepszych praktyk.

Obserwujemy wzrost liczby skutecznych i niszczycielskich cyfrowych ataków, dotykających tysiące przedsiębiorstw w ramach jednej kampanii, co stanowi ważny punkt zwrotny w wojnie z cyberprzestępczością. Teraz, bardziej niż kiedykolwiek, każda osoba ma do odegrania ważną rolę we wzmocnieniu łańcucha działań mających na celu zneutralizowanie ataków. Połączenie sił dzięki współpracy musi być priorytetem w celu przerwania łańcuchów dostaw cyberprzestępców. Dzielenie się danymi oraz partnerskie relacje umożliwią skuteczniejsze reagowanie i lepsze przewidywanie stosowanych w przyszłości technik w celu powstrzymania działań przeciwników. Ciągłe szkolenia w zakresie świadomości cyberbezpieczeństwa, jak również bazujące na sztucznej inteligencji mechanizmy zapobiegania zagrożeniom, wykrywania ich i reagowania na nie, zintegrowane w urządzeniach końcowych, sieciach i chmurze, pozostaną kluczowe w walce z cyberprzestępcami.

Derek Manky, szef działu Security Insights i Global Threat Alliances, FortiGuard Labs

Informacje o raporcie

Najnowszy raport Global Threat Landscape Report zawiera zbiorczą analizę opracowaną przez FortiGuard Labs, sporządzoną na podstawie danych z pierwszej połowy 2021 roku, pochodzących z należącej do Fortinetu rozległej sieci czujników, gromadzących miliardy informacji o zagrożeniach obserwowanych na całym świecie. W podobny sposób, jak ramy MITRE ATT&CK klasyfikują taktykę i techniki działania cyberprzestępców w trzech grupach obejmujących rozpoznanie, , zarządzanie zasobami i próbę uzyskania dostępu, tak FortiGuard Labs wykorzystuje ten model do opisania w dokumencie Global Threat Landscape Report w jaki sposób hakerzy znajdują luki, budują złośliwą infrastrukturę i eksplorują środowisko ofiary. Raport uwzględnia również perspektywę globalną i regionalną.


Źródło: Fortinet

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Eksperci Cisco Talos ostrzegają: Cyberprzestępcy mogą monetyzować przepustowość sieci bez wiedzy użytkowników

haker

Platformy „proxyware” umożliwiają udostępnienie części przepustowości sieci innym użytkownikom. Oczywiście za opłatą. Z tego rozwiązania korzystają m.in. firmy marketingowe testujące kampanie online w różnych regionach geograficznych. Z kolei użytkownicy prywatni mogą w ten sposób obejść ograniczenia wynikające z braku dostępu np. do serwisów streamingowych czy platform gamingowych w określonym kraju. Wykorzystują oni sieć z miejsca, gdzie usługa działa, nie ruszając się z fotela. Wraz ze wzrostem popularności tego rozwiązania, zainteresowali się nim również cyberprzestępcy, którzy zaczęli wykorzystywać je w kampaniach malware. Najbardziej oczywistym rodzajem ataku jest przejęcie przepustowości bez wiedzy użytkownika np. na potrzeby kopania kryptowalut.

Skala zjawiska jakim jest nielegalne wykorzystanie „proxyware” staje się coraz większa. Ma to związek ze wzrostem popularności samego narzędzia. Potwierdzają to niedawno opublikowano dane dotyczące Honeygain, jednej z najpopularniejszych platform proxyware, pochodzące z „2021 User Experience and Awareness Survey”. W tegorocznej edycji badania wzięło udział, aż 250 tys. użytkowników narzędzia. To ponad 16 razy więcej niż w 2020 r.

Nowy rodzaj ataków to nowe wyzwania dla zespołów IT

Wykorzystanie „proxyware” to nowy trend, ale jak podkreślają specjaliści Cisco Talos, o ogromnym potencjale rozwoju. Uzyskany nielegalnie dostęp do sieci pozwala cyberprzestępcom zatrzeć ślady prowadzące do źródeł ataków. Wszelkie działania prowadzone z wykorzystaniem skradzionej przepustowości są ukryte pod adresem IP ofiary. Dzięki temu wydaje się, że pochodzą one z sieci godnych zaufania, co usypia czujność specjalistów ds. cyberbezpieczeństwa i utrudnia dostosowanie konwencjonalnych systemów bezpieczeństwa, które analizują m.in. listę zablokowanych adresów IP.

Nowe formy ataków wiążą się z nowymi wyzwaniami dla specjalistów ds. bezpieczeństwa, w szczególności w tych organizacjach gdzie dostęp do Internetu jest ograniczony lub sieć jest oznaczona jako „domowa”. Eksperci Cisco podkreślają, że istnieją także platformy, które umożliwiają dzielenie się ruchem sieciowym wprost z centrum danych. Dlatego warto, aby organizacje rozważyły wprowadzenie zakazu korzystania z platform typu „proxyware” w pracy. Punkty końcowe nie powinny nawiązywać połączenia z sieciami za ich pośrednictwem. Specjaliści Cisco Talos rekomendują wdrożenie kompleksowych mechanizmów zapewniających bezpieczne logowanie i dystrybuujących alerty, aby zapewnić efektywne lokalizowanie i odpowiadanie na przypadki prób połączenia z „proxyware”, gdyż może to świadczyć o tym, że doszło do ataku.

Więcej informacji na blogu Cisco Talos: https://blog.talosintelligence.com/2021/08/proxyware-abuse.html


Źródło: Cisco Talos

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

FBI: liczba ataków phishingowych wzrosła 12-krotnie. Aż 94% złośliwego oprogramowania jest dostarczane e-mailem

biurko i komputer

Szacuje się, że w ubiegłym roku dostęp do pocztowych skrzynek miało już 4 mld osób na świecie, każdego dnia generowano aż 306 mld maili. Niestety, spora część z nich została wykorzystana przez cyberprzestępców do ataków.

Blisko 2 mld dolarów strat

Według danych FBI, głównie za sprawą pandemii oraz coraz większego uzależnienia firm i konsumentów od technologii oraz Internetu, phishing staje się coraz popularniejszą metodą wyłudzenia naszych danych. Raport VMware Global Security Insights 2021 donosi, że blisko 80% organizacji doświadczyło cyberataków z powodu zwiększonej liczby pracowników pracujących z domu podczas pandemii, a wiadomości elektroniczne były jednym z narzędzi crackerów.

Stanisław BochnakCyberprzestępcy, podszywając się m.in. pod firmy kurierskie, e-sklepy, firmy z sektora finansowego czy operatorów telekomunikacyjnych, starają się wykorzystać naszą nieuwagę. Często wykorzystują źle zabezpieczoną domenę firmową, a następnie wysyłają maile z adresu firmy, z której usług korzystamy. Mają one nakłonić nas do wykonania niebezpiecznych działań, np. udostępnienia danych do logowania czy informacji osobowych. To się niestety udaje. W ten sposób, zamiast zapłaty np. za zakupy online, nasze pieniądze lądują na koncie cyberprzestępców.

Stanisław Bochnak, Senior Business Solutions Strategist w VMware Polska

Według FBI, straty finansowe wywołane próbą wyłudzenia danych z wykorzystaniem adresów www prawdziwych firm wyniosły w ubiegłym roku w samych tylko Stanach Zjednoczonych 54 mln dolarów, ale uwaga, oszustwa związane z włamaniem do poczty sięgnęły już kwoty 1,87 mld dolarów.

Jak to wygląda w Polsce?

W Polsce najczęściej ofiarami przestępstw internetowych padają instytucje finansowe, w tym banki, administracja publiczna, telekomy, sektor e-commerce, usług kurierskich i abonamentowych (prąd, gaz, woda, telefon, Internet, telewizja). Do wyłudzeń nagminnie wykorzystywane są e-maile transakcyjne. To wszystkie wiadomości wygenerowane automatycznie, które otrzymujemy np. po dokonaniu zakupu w sklepie internetowym, rejestracji w nowej usłudze, dokonując resetu hasła czy zapisując się do newslettera. W każdym z tych przypadków otrzymujemy spersonalizowaną wiadomość. Wielu oszustów podszywa się pod znane marki, przesyłając np. fałszywe faktury lub prośbę o aktualizację danych karty płatniczej. Niestety firmy same ułatwiają działalność cyberprzestępcom.

Stanisław BochnakW sektorze e-commerce 1/3 firm w ogóle nie korzysta z zabezpieczeń umożliwiających filtrowanie wiadomości e-mail i rozpoznawanie tych prawdziwych od wysyłanych przez cyberprzestępców. Jeśli e-sklepy korzystają z zabezpieczeń, to na ogół z tych najmniej zaawansowanych, zapewniających podstawową ochronę. Warto skorzystać z rozwiązań, które zapewnią kontrolę dostępu do roboczego serwera poczty e-mail, zapobiegając zagrożeniom cybernetycznym, takim jak spam, phishing, trojany, ransomware i inne rodzaje złośliwego oprogramowania. Mimo dostępności technologii, firmy dalej przenoszą odpowiedzialność za bezpieczeństwo na klienta. Ten scenariusz powtarza się wszędzie, choć z różnym natężeniem, co grozi nie tylko stratami dla klientów, ale i kryzysem wizerunkowym dla samej firmy.

Stanisław Bochnak, VMware Polska

Mechanizm ataku dobrze pokazuje przykład operatora szybkich płatności DotPay oraz PayU. Schemat ataku był następujący: klient otrzymywał e-maila informującego, że musi dopłacić pewną sumę (na przykład 1,50 zł) do przesyłki, w wiadomości znajdował się link kierujący do fałszywej bramki płatności. Na fałszywej stronie niczego niepodejrzewający klient wpisywał dane logowania do banku. W taki sposób przestępcy otrzymywali dostęp do jego konta bankowego.

Stanisław BochnakDziś wyraźnie widać, że podmioty, które odczuły wcześniej konsekwencje działań cyberprzestępców, zaostrzyły wymagania w obszarze bezpieczeństwa i w ostatnim czasie mocno ograniczyły możliwość podszycia się pod ich domeny. Niestety mniejsze podmioty, a także te, które w ostatnim, „gorącym” czasie pandemii przeniosły się do sieci, nie wdrożyły wystarczających zabezpieczeń. W dobie rosnącej liczby ataków klienci są więc narażeni na ataki jak nigdy wcześniej.

Stanisław Bochnak, VMware Polska

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

W 2021 r. codziennie rejestruje się ponad 600 000 nowych złośliwych oprogramowań

złośliwe oprogramowania

Dane zebrane i obliczone przez projekty Finbold wskazują, że około 604059 nowych złośliwych oprogramowań (malware) i potencjalnie niechcianych aplikacji (PUA) jest rejestrowanych codziennie w 2021 r. (globalnie). Szacunki opierają się na już zarejestrowanych 61,01 mln złośliwych oprogramowań w okresie od 1 stycznia 2021 r. do 11 kwietnia 2021 r. Jeśli wskaźnik nowych złośliwych oprogramowań utrzyma się w ciągu roku, w 2021 r. zostanie zarejestrowanych aż 220 mln nowych złośliwych oprogramowań, co oznacza wzrost o 56,86 % z 137,7 mln zarejestrowanych w zeszłym roku.

Ogólnie rzecz biorąc, w 2021 r. odnotowano gwałtowny wzrost liczby złośliwych oprogramowań, przy czym w marcu odnotowano najwyższą liczbę – 19,2 mln. Waga szkodliwego oprogramowania zarejestrowanego w tym roku jest pokazana w porównaniu z przypadkami z zeszłego roku. W ciągu zaledwie trzech i pół miesiąca tegoroczne złośliwe oprogramowania stanowią 44,3% ze 137,7 miliona nowych szkodliwych oprogramowań w 2020 r. Dane o nowo zarejestrowanym złośliwym oprogramowaniu są dostarczane przez AV-Test Institute.

Wzrost liczby nowych złośliwych programów w związku z pandemią koronawirusa

Chociaż złośliwe oprogramowanie i potencjalnie niechciane aplikacje zawsze stanowiły zagrożenie w związku z postępem technologicznym, cyberprzestępcy wykorzystali pandemię koronawirusa, aby atakować więcej osób. Przypadkowo pandemia charakteryzuje się tym, że większość ludzi spędza więcej czasu online na pracy i rozrywce.

Warto zauważyć, że przy większości osób pracujących zdalnie istnieje duże prawdopodobieństwo ataków złośliwego oprogramowania. W domu występuje połączenie słabszych zabezpieczeń i większe prawdopodobieństwo, że użytkownicy padną ofiarą złośliwego oprogramowania o tematyce Covid-19 w postaci wiadomości e-mail.

Atakujący wykorzystują początkowy niepokój związany z pandemią, aby wskazać za pomocą poczty e-mail informacje o szczepionkach Covid-19 i leczeniu; w związku z tym złośliwe strony wykorzystują tworzenie złośliwego oprogramowania. Co ciekawe, tempo wzrostu złośliwego oprogramowania systematycznie rosło od listopada ubiegłego roku, kiedy to większość części świata weszła w drugą falę kryzysu zdrowotnego.

Pandemia spowodowała ogromne zakłócenia w działalności biznesowej, a wiele organizacji skupiło się na tym, jak utrzymać się na powierzchni w obliczu krachu gospodarczego. W takim przypadku większość organizacji i osób jest rozproszona. Takie środowisko otwiera drzwi do eksploracji twórcom złośliwego oprogramowania.

Ponadto rozwój mediów społecznościowych i pojawienie się nowych platform oferuje twórcom złośliwego oprogramowania wyjątkową okazję do osiągnięcia większej liczby celów.

Ofiary złośliwego oprogramowania są wybierane za pomocą reklam promowanych na platformach takich jak YouTube i TikTok. Rosnąca popularność tych sieci społecznościowych czyni je atrakcyjną platformą reklamową dla złośliwego oprogramowania. Ponadto niektóre sieci przyciągają młodych ludzi, którzy mogą nie być zaznajomieni z wykrywaniem potencjalnych zagrożeń cyberbezpieczeństwa, które podszywają się pod legalne oferty.

Przypadki szkodliwych oprogramowań
Źródło: Finbold

Złośliwe oprogramowanie staje się coraz bardziej wyrafinowane

Chociaż dane wskazują na dużą liczbę zarejestrowanych nowych złośliwych oprogramowań, należy zwrócić uwagę, że cyberprzestępcy również wykorzystują wyrafinowanie w dystrybucji złośliwego oprogramowania. Gdy organizacje i osoby fizyczne wprowadzają mechanizmy zapobiegania złośliwemu oprogramowaniu, cyberprzestępcy badają zaawansowane taktyki unikania, które znacznie utrudniają wykrycie.

Ogólnie rzecz biorąc, duża liczba zarejestrowanych szkodliwych programów z zeszłego roku stanowi ogromne wyzwanie w zakresie wykrywania zagrożeń i reagowania na gotowość organizacji do cyberzagrożeń. Taktyki dotyczące zagrożeń ewoluują, a osoby atakujące zyskują zaufanie i atakują osoby i organizacje dowolnej wielkości oraz z różnych branż. Ograniczenie zagrożenia wymaga natychmiastowego załatania wszelkich istniejących luk w zabezpieczeniach.


Źródło: Finbold

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Ransomware kosztuje gospodarkę 11,5 miliardów dolarów – biznes i władza na celowniku [RAPORT]

ransomware

Biznes rodzi…ransom-biznes

Przestępcy coraz chętniej mierzą w sektor biznesowy, w tym MŚP. Dotyka je aż 71% ataków. Nie jest więc zaskoczeniem, że według raportu Ransomware i Cyberbezpieczeństwo przygotowanego przez Xopero Software, ataki szyfrujące wywołują poważny niepokój u 79,8% małych i średnich firm. Paradoksalnie co druga z nich przyznaje, że nie jest wystarczająco przygotowana na to zagrożenie. Jednocześnie ponad 77% przedsiębiorstw, które dotknął ransomware deklaruje, że używa aktualnych programów antywirusowych.

Rośnie również sama częstotliwość ataków. Na początku 2016 roku ransomware uderzał co 2 minuty, rok później co 40 sekund. W 2019 roku mówiono o 14 sekundach, a do przyszłego roku czas ten może skrócić się nawet do 11 sekund!

Władza na celowniku

Ransomware nie jest łaskawy dla rządowych i lokalnych władz.

Jeden z najgłośniejszych ataków typu ransomware w 2019 r., przydarzył się miastu Baltimore w USA. W wyniku szkód wyrządzonych przez złośliwe oprogramowanie, miasto straciło około 18,2 miliona dolarów. Pikanterii całej sprawie dodał fakt, że hakerzy stojący za atakiem zażądali tylko 76 tysięcy dolarów okupu, które i tak na początku lokalnym władzom wydały się pokaźną sumą. Przykład Baltimore dobrze ilustruje błąd w szacowaniu strat związanych z atakami ransomware.

Paweł Wałuszko, Cybersecurity Expert w TestArmy

Wbrew pozorom, dotyczy to również Polski. W grudniu minionego roku byliśmy świadkami ataków szyfrujących na Urzędy Gminy w Kościerzynie i Lututowie.

Skąd rosnąca ilość ataków na organizacje rządowe i instytucje publiczne? Przetwarzają one ogromne ilości danych dotyczących milionów ludzi, a z reguły korzystają z przestarzałych i łatwych do obejścia technologii, co dla przestępców oznacza niekiedy szybki i prosty zysk – wart swojego ryzyka.

A ryzykiem jest tutaj prawdopodobieństwo zapłaty okupu. Okazuje się bowiem, że sektor publiczny niechętnie sięga do portfela. Z badań CyberEdge wynika, że 45% firm, które padły ofiarą ransomware opłaciły okup, podczas, gdy współczynnik ten w sektorze publicznym wyniósł 17,1%.

Ile kosztuje ransomware?

Według danych Cybersecurity Ventures wartość globalnych szkód spowodowanych przez ransomware w 2019 roku możemy szacować na 11,5 miliarda dolarów. Dla porównania, w 2015 było to 325 milionów. Do tych kosztów zaliczamy: wartość zniszczonych/skradzionych danych, koszty przestoju, utraconej produktywności, postępowania karne, szkolenia pracowników i utratę reputacji. Koszt pojedynczego ataku szacowany jest na 150 tys. dolarów. W jego skład wchodzi kwota okupu oraz koszt przestoju w działalności organizacji, który potrafi być nawet 23 razy wyższy niż żądana kwota.

Jak się chronić?

Przede wszystkim inwestować w edukację zespołu i bezpieczeństwo systemów informatycznych. Regularne szkolenia pracowników mogą w znaczącym stopniu zminimalizować ryzyko ataku poprzez phishing. Ransomware stale ewoluuje, a więc nawet jeśli dziś zabezpieczenia dają 100% gwarancji bezpieczeństwa, to nie można mieć pewności, że jutro, w obliczu nowych ataków, nadal będą tak samo skuteczne. Dlatego tak istotne jest, by regularnie aktualizować wszelkie zabezpieczenia. Nie możemy również zapomnieć o backupie. Gdy wszystkie nasze zabezpieczenia zawiodą, będzie on kołem ratunkowym, które pozwoli na odzyskanie danych, bez konieczności płacenia okupu.

Grzegorz Bąk, Product Development Manager w Xopero Software

Zamiast liczyć na to, że przestępcy zaprzestaną swojego procederu, ochroni nas jeden cudowny antywirus albo łudzić się, że „nam się to nie zdarzy, bo to mała firma” zakładajmy najgorsze i stosujmy się do powszechnych najlepszych praktyk bezpieczeństwa (edukacja pracowników, separacja sieci, ochrona poczty i stacji, aktualizacje czy zasada least privilege), a gdy mimo wszystko to zawiedzie, przywróćmy system z niezaszyfrowanej kopii zapasowej.

Robert Grabowski, Head of CERT Orange Polska

Specjaliści są zgodni – szkolenia pracowników z zakresu cyberbezpieczeństwa, aktualizacja zabezpieczeń, separacja sieci, ochrona poczty i oprogramowanie do backupu – to sposoby na walkę z ransomware.

Więcej statystyk, opinii i rekomendacji dla biznesu znajduje się w raporcie Ransomware i Cyberbezpieczeństwo, dostępnym do pobrania bezpłatnie tutaj.


Źródło: informacja prasowa Xopero Software

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Czy Twoje narzędzia do pracy zdalnej są odpowiednio zabezpieczone?

rady praca zdalna Cisco

Rozwiązania do współpracy, takie jak Cisco Webex są obecnie podstawowym narzędziem dla biznesu, szkół, administracji publicznej i służby zdrowia, pozwalającym na pozostanie w kontakcie, realizację zadań i obowiązków. Stały się one również celem ataków cyberprzestępców, którzy wiedzą, że teraz, częściej niż kiedyś, użytkownicy udostępniają za ich pośrednictwem dane wrażliwe. Mając to na uwadze, należy szczególnie dbać o bieżące aktualizacje, gdyż niezałatane podatności mogą stanowić furtkę dla nieuczciwych użytkowników sieci. Z kolei producenci, wiedząc o większym zainteresowaniu ich usługami, powinni transparentnie informować o wszelkich lukach w rozwiązaniach do współpracy.

W obecnych, niepewnych czasach rekomendujemy korzystanie z narzędzi, w których bezpieczeństwo jest funkcją podstawową, wbudowaną w rozwiązanie i nie wymaga skomplikowanej konfiguracji. W przypadku wielu dostępnych na rynku rozwiązań często nie jest to normą. Funkcjonalność i wygoda nie mogą być jedynym kryterium wyboru rozwiązania do współpracy. Muszą im towarzyszyć funkcje zapewniające bezpieczeństwo. Warto również sprawdzić, gdzie są przechowywane dane wysyłane za pośrednictwem wykorzystywanej przez nas aplikacji.

Przemysław Kania, Dyrektor Generalny Cisco w Polsce

Dlatego warto korzystać ze sprawdzonych rozwiązań, takich jak Cisco Webex, które:

  • automatycznie przypisuje spotkaniom i ich uczestnikom indywidualne identyfikatory i hasła,
  • zapewnia całościowe szyfrowanie danych przesyłanych między uczestnikami,
  • blokuje nieuprawniony dostęp osób trzecich,
  • przygotowuje transkrypcję rozmów w oparciu o wewnętrzną aplikację Cisco (Voicea), dzięki czemu nie są one przechowywane na zewnętrznych serwerach.

Nawet najbezpieczniejsze narzędzia do współpracy nie uchronią organizacji przed cyberatakiem, jeżeli użytkownicy również nie przyłożą szczególnej uwagi do kwestii bezpieczeństwa. Eksperci Cisco opracowali 4 rekomendacje, które pozwolą nie paść ofiarą cyberataku:

  1. Wyłącz wszystkie narzędzia i funkcje, których nie używasz – gdy skończysz określoną czynność pamiętaj, aby wyłączyć: mikrofon, aparat, udostępnianie ekranu czy udostępnianie plików. Pracując w domu czujemy się swobodniej niż w biurze, dlatego warto zasłonić kamerę w komputerze. Pamiętaj, że niektóre aplikacje do wideokonferencji automatycznie włączają wideo, gdy tylko dołączysz do rozmowy lub gdy zezwalasz gospodarzom na włączenie funkcji wideo u uczestników.
  2. Przygotuj się do udostępniania ekranu – jeżeli zamierzasz udostępniać ekran podczas telekonferencji, wyłącz powiadomienia na pulpicie i upewnij się, że tapeta i inne okna nadają się, aby zaprezentować je uczestnikom wirtualnego spotkania. Dotyczy to w szczególności urządzeń prywatnych, wykorzystywanych do celów służbowych.
  3. Nie używaj ponownie kodów spotkań i nie ustawiaj tych samych haseł dla uczestników – zachowanie ciągłości pracy zespołu wymaga ciągłego kontaktu. Przykładowo, Webex Teams pozwala na stworzenie prywatnych pokojów spotkań. Adres URL pozostaje taki sam, dzięki czemu można łatwo go skopiować i ustawić cykliczne spotkania zespołu. Pamiętaj jednak, aby zawsze wygenerować nowe kody i hasła dla uczestników. Dzięki temu, nawet gdy cyberprzestępcy uzyskają dostęp do któregoś z nich, nie będą mogli zalogować się do całej serii spotkań.
  4. Wymagaj zgody gospodarza spotkania na dodawanie gości i udostępnianie nagrań – mimo, że telekonferencje od dawna są standardem w wielu organizacjach, teraz odbywa się ich więcej niż kiedykolwiek. Świadczy o tym fakt, że tylko w marcu, odbyło się 14 miliardów minut spotkań za pośrednictwem platformy Cisco Webex (ponad dwa razy więcej niż w lutym, gdy pandemia koronawirusa nie objęła jeszcze tak dużej części świata). W natłoku spotkań można się pogubić kto dokładnie bierze w nich udział. Na takie sytuacje czekają cyberprzestępcy, którzy mogą stać się nieproszonym gościem. Dlatego zawsze należy mieć kontrolę nad tym kto uczestniczy w spotkaniu i jakie ma uprawnienia np. czy może odsłuchać jego przebieg, jeżeli było ono nagrywane.

Źródło: informacja prasowa Cisco

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Jak nie zostać „wirtualnym zombie” – 7 rad, jak nie dać się hackerom

jak nie dać się hakerom

Mgr Karolina Małagocka, ekspertka w dziedzinie cyberbezpieczeństwa i prywatności w sieci z Katedry Marketingu Akademii Leona Koźmińskiego podpowiada, na co szczególnie uważać w sieci i jak zabezpieczyć się przed oszustwami.

  1. Uważaj na SMS-y z informacjami o koronawirusie.
    Wiarygodne źródła to instytucje państwowe (jak ministerstwa), Policja oraz oficjalne strony firm czy organizacji. Jeżeli SMS zawiera informację, która dotyczy np. ostrzeżenia o zajęciu środków na koncie czy ograniczeniach w ruchu, sprawdź informacje na stronach urzędów lub stacjach TV czy sprawdzonych serwisach internetowych, które na bieżąco informują o zmianach i decyzjach władz. Wszystkie SMS-y z alertami można też dodatkowo sprawdzić na stronie Rządowego Centrum Bezpieczeństwa.Falszywy_sms_a_pandemia_COVID19
  2. Unikaj klikania postów w mediach społecznościowych, które zawierają linki do filmów bądź grafik o koronawirusie.
    Szczególną ostrożność należy zachować, jeżeli po kliknięciu w link trzeba się ponownie zalogować albo pobrać dodatkowe oprogramowanie w celu obejrzenia materiału. W sieci krąży dużo niesprawdzonych informacji czy zwykłych plotek o epidemii. Jeżeli źródło informacji nie jest znane (nawet jeśli udostępnione przez znajomego), nie powinno się takiej informacji przesyłać dalej bez uprzedniego sprawdzania. Jest to najprostsza metoda do ograniczenia zasięgu fałszywych informacji.
  3. Nigdy nie podawaj danych osobowych niesprawdzonym podmiotom.
    W 2019 roku w Polsce doszło do wycieku ok. 3,5 miliona rekordów z ok. 50 portali (lista). W większości były to dane użytkowników, które umożliwiają ich bezproblemową identyfikację. Pamiętajmy, że urzędy, ministerstwa i inne instytucje państwowe prawie nigdy nie przesyłają informacji wymagających kliknięcia w link i podawania danych osobistych. Przede wszystkim zwróć uwagę na konstrukcję linku. Pamiętaj, że strony rządowe mają domenę gov.pl i nie korzystają z żadnych innych domen.
  4. Sprawdź, czy Twoje dane nie wyciekły do internetu.
    Szczególnie w obecnej sytuacji jest istotne, aby nie podawać prywatnego lub służbowego adresu e-mail w sklepach i na portalach, które często stają się źródłem wycieku danych. Jeśli wiemy, że nasze dane już wyciekły do internetu, należy zmienić hasła do e-maila oraz usług, gdzie służył on do logowania. Aby się dowiedzieć, czy dane nie znalazły się przypadkiem w niewłaściwych rękach, można skorzystać z jednego z bezpłatnych narzędzi: https://www.f-secure.com/en/home/free-tools/identity-theft-checker lub https://www.avast.com/hackcheck. Sprawdzą one, czy nasz adres e-mail znajduje się w najświeższych bazach wycieków, które sprzedają hackerzy w deep i dark necie.
  5. Zachowaj czujność w przypadku wiadomości e-mail dotyczących sprzedaży maseczek lub zwrotu kosztów za nieodbyte podróże.
    Najprawdopodobniej są to ataki phishingowe, za którymi często stoją nieistniejące firmy. Po otrzymaniu takiej wiadomości nie należy klikać w zawarte w niej linki, ani odpowiadać nadawcy, nawet jeżeli celem ma być przekazanie negatywnej opinii o takim działaniu. Wysyłając odpowiedź, jednocześnie potwierdzany jest adres e-mail. Dla spammerów informacja o aktywności użytkownika po drugiej stronie jest cenna. Najlepiej jest zadzwonić do takiej instytucji i sprawdzić ją na białej liście płatników VAT.
  6. Bądź ostrożny w przypadku aukcji internetowych.
    W sieci pojawia się mnóstwo produktów (tj. amulety, herbatki czy nawet kadzidła), które mają rzekomo „chronić” przed wirusem. Skuteczność ich działań nie jest potwierdzona. Co więcej, wchodząc w transakcję z nieuczciwymi sprzedawcami, można stracić pieniądze i udostępnić swoje dane przypadkowym osobom. O próbie sprzedaży przez internet „leków” na wirus SARS-CoV-2 należy poinformować Policję. W ten sposób chronimy siebie i innych przed działaniami oszustów.
  7. Korzystaj ze sprawdzonych i wiarygodnych źródeł.
    Rzetelne treści na temat COVID-9 znajdziesz na specjalnej stronie rządu poświęconej koronawirusowi (www.gov.pl/koronawirus), na stronie Rządowego Centrum Bezpieczeństwa (www.rcb.gov.pl) oraz Ministerstwa Zdrowia (www.gov.pl/zdrowie).

Akademia Leona Koźmińskiego przygotowała specjalny zestaw porad dla wszystkich, którzy będą zainteresowani, jak uniknąć zastawionych przez hackerów pułapek w sieci. Więcej informacji na stronie: https://www.kozminski.edu.pl/cybersecurity/.


Karolina_Malagocka_

Karolina Małagocka, ekspertka w dziedzinie cyberbezpieczeństwa i prywatności w sieci z Katedry Marketingu Akademii Leona Koźmińskiego 

Karolina Małagocka ma blisko 15-letnie doświadczenie w realizacji działań z zakresu cyberbezpieczeństwa oraz komunikacji dotyczącej tematyki ochrony prywatności w internecie. Na co dzień zajmuje się tworzeniem i realizacją strategii marketingowych dla rozwiązań z zakresu zabezpieczeń urządzeń mobilnych, danych prywatnych i Internetu Rzeczy. Współpracuje z zespołem etycznych hakerów i laboratoriów zajmujących się zwalczaniem najnowszych zagrożeń cybernetycznych. Jest absolwentką programu bezpieczeństwa narodowego na Daniel Morgan Graduate School of National Security w Waszyngtonie DC oraz doktorantką w Akademii Leona Koźmińskiego w Warszawie. Prowadzi zajęcia z cyfrowej transformacji, roli danych i technologii, cyberbezpieczeństwa oraz mediów społecznościowych.

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Dwa razy więcej deepfake’ów w internecie. Eksperci alarmują – to narzędzie do cyberoszustw

deepfake

Wyobraźmy sobie, że w firmie dzwoni telefon. W słuchawce słyszymy głos kontrahenta, proszący o zmianę numeru konta do przelewu. Bez namysłu spełniamy jego prośbę… i narażamy się na wielotysięczne straty. Głos nie należał bowiem do prawdziwego rozmówcy, ale był jego cyfrowym odwzorowaniem, stworzonym przez hakera na bazie zaledwie minutowej próbki oryginału. Brzmi jak scenariusz nowego odcinka Black Mirror? Nic bardziej mylnego! To tylko deepfake.

Dwa razy więcej deepfake niż jeszcze rok temu

Deepfake to technologia, która zastosowana wraz z cyfrową modulacją głosu pozwala na generowanie realistycznych, łudząco podobnych do oryginału postaci.

Najnowocześniejsze algorytmy sztucznej inteligencji (AI) potrzebują zaledwie jednego zdjęcia i jedynie 5-sekundowej próbki głosu, aby móc wygenerować niemalże identyczny hologram deepfake, którego odróżnienie od pierwowzoru, bez użycia specjalistycznych metod, jest praktycznie niemożliwe.

Wojciech Lika z TestArmy CyberForces, firmy specjalizującej się w systemach bezpieczeństwa IT

Pierwsze algorytmy deepfake pojawiły się z końcem 2017 roku, a wykorzystywane były głównie w branży pornograficznej. Do ciała aktora dodawano wygenerowaną cyfrowo twarz celebryty, w efekcie czego otrzymywaliśmy scenę filmową z postacią łudząco przypominającą hollywoodzki pierwowzór. Dziś problem sięga dużo głębiej, a skuteczna walka z deepfake jest trudniejsza niż kiedykolwiek. O tym, że zasięg deepfake rośnie, mówią liczby:

  • Jeszcze w 2018 roku w internecie można było znaleźć 7964 filmy wykorzystujące technologię deepfake. Dziś liczba ta urosła blisko dwukrotnie, do 14 698, jak pokazują badania Deeptrace opublikowane w grudniu 2019 roku.
  • Już 12 proc. filmów deepfake (z odsetka tych o niepornograficznym charakterze) uderza w polityków, 5 proc. – w dziennikarzy, a 2 proc. w osoby z kręgów biznesowych.
  • Obecnie istnieje 20 niezależnych portali internetowych odpowiedzialnych za wytwarzanie deepfake (tzw. deepfake creations).
  • Do tej pory treści deepfake stworzyło 96 tys. unikalnych użytkowników zarejestrowanych na forach i witrynach deepfake creations.
deepfake vs real video
Źródło: TestArmy CyberForces

Nie musisz być celebrytą lub politykiem, aby paść ofiarą deepfake

Sztuczna inteligencja to przyszłość technologii, jednak, gdy znajdzie się w nieodpowiednich rękach, może stanowić poważne zagrożenie. Zjawisko deepfake jest tego doskonałym przykładem, bo przy użyciu algorytmów sztucznej inteligencji z powodzeniem można manipulować wyodrębnionymi grupami, dyskredytować poszczególne osoby czy nawet decydować o przebiegu wyborów lub powstawaniu konfliktów zbrojnych o skali globalnej. Potwierdzają to przykłady z życia wzięte:

Belgia: Flamandzka Partia Socjalistyczna nakręciła fałszywe wideo z przemówieniem Donalda Trumpa, w którym prezydent USA wzywa kraj do pójścia w ślady Ameryki i wyjścia z porozumienia klimatycznego z Paryża: „Jak wiecie, miałem jaja do wycofania się z porozumienia klimatycznego z Paryża. To, co teraz robicie w Belgii, jest w rzeczywistości gorsze. Zgodziliście się, ale nie podejmujecie żadnych działań. Tylko blablabla bingbangboom” – mówi fałszywy prezydent, pod koniec dodając: „Wszyscy wiemy, że zmiany klimatu są fałszywe, tak jak ten film”. W ten sposób partia rozpoczęła debatę publiczną, aby zwrócić uwagę na konieczność działania w sprawie zmian klimatu. Na końcu wideo wezwała do podpisania petycji zachęcającej do inwestowania w energię odnawialną, samochody elektryczne i transport publiczny. Wezwała również do zamknięcia elektrowni jądrowej Doel we Flandrii.

Gabon: noworoczne przemówienie prezydenta Ali Bongo zostało oznaczone przez opozycję jako deepfake. Chociaż nie udowodniono, że wideo zostało sfałszowane, miało ono potężne implikacje wywołując (nieudany) zamach wojskowy.

Ale deepfake dotyczy nie tylko polityków czy celebrytów. Są przykłady na to, że to potężna broń w rękach cyberprzestępców, skierowana w stronę dochodowych firm i wpływowych przedsiębiorców.

Nie tak dawno Wallstreet Journal poinformował o oszustwie dokonanym metodą deepfake przy użyciu cyfrowej modulacji głosu, gdzie przestępca podszywający się pod prezesa brytyjskiej firmy energetycznej, zlecił wykonanie przelewu o równowartości ok. 1 mln PLN. Jak tłumaczył wówczas Rüdiger Kirsch, fraud expert z firmy gwarancyjnej Euler Hermes, która pokryła straty: efekt oszustwa był tak dobry, że brytyjski pracownik rozpoznał nawet jego lekko niemiecki akcent.

Czy można obronić się przed deepfake?

Elementem decydującym o bezpieczeństwie podczas korzystania z technologii jest świadomość zagrożeń, jakie może za sobą nieść. Im więcej wiemy na temat wykorzystywanych rozwiązań, im więcej scenariuszy potencjalnych wydarzeń znamy, tym skuteczniej i racjonalniej możemy przeciwdziałać wszelkim niebezpieczeństwom związanym z rozwojem nowoczesnych technologii.

Wojciech Lika, TestArmy CyberForces

Ekspert alarmuje, że podstawową bronią w walce z deepfake jest edukacja pracowników i osób decyzyjnych ze środowiska biznesowego. Kluczowe są testy socjotechniczne, w ramach których dokonuje się kontrolowanych ataków hakerskich. Dzięki nim firmy mogą poznać, a docelowo także eliminować luki w swoich systemach bezpieczeństwa. Dzięki rosnącej świadomości współpracowników, poprzez pokazanie na żywym organizmie, jak działają cyberprzestępcy, można znacznie ograniczać ryzyko popełnienia błędu ludzkiego podczas bezpośredniego spotkania z hakerem.

Edukacja jest tym ważniejsza, że nie opracowano jeszcze w pełni skutecznych narzędzi do wykrywania algorytmów deepfake. Wśród środków zaradczych, po które można sięgnąć, są takie technologie, jak np. Sherlock AI, który pozwala na wykrycie anomalii w filmach wideo, Blockchain, który ma chronić rejestry danych przed manipulacjami czy Natural Hash, który umożliwia twórcom treści na osadzanie w materiałach źródłowych nieedytowalnych cyfrowych znaków wodnych.

Choć do niedawna niebezpieczeństwo płynące z deepfake nie występowało na szeroką skalę, a samo zjawisko kojarzyło się bardziej z science fiction niż rzeczywistością, dziś śmiało można stwierdzić, że to realne zagrożenie. Na szczęście, cały czas pracuje się nad skuteczną bronią w walce z deepfake creations. Z jednej strony działają firmy specjalizujące się w obszarze cyberbezpieczeństwa, a z drugiej – powstają państwowe struktury, jak Biuro do Walki z Cyberprzestępczością Policji czy Wojska Obrony Cyberprzestrzeni – Cyber MIL.

Dzisiejsze ataki socjotechniczne stosowane przez cyberprzestępców opierają się głównie na metodach bezpośrednich o ograniczonym zasięgu, jak np. popularny phishing czy metoda „na prezesa”. Dlatego nowoczesne socjotechniki, jak deepfake, są szczególnym, wielu jeszcze nieznanym zagrożeniem, ponieważ potrafią w realny sposób wpływać już nie na dziesiątki czy setki osób, ale na całe społeczeństwa. 

Wojciech Lika, TestArmy CyberForces

 

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Za 3 lata będzie więcej urządzeń i połączeń z siecią niż ludzi. Oznacza to raj dla cyberprzestępców

Cyberataki z wykorzystaniem Internetu rzeczy są już faktem. W 2015 r. przeprowadzono atak na ukraińską sieć energetyczną. Hakerzy przejęli kontrolę nad przełącznikami stacji elektroenergetycznych i spowodowali przerwy w dostawie prądu w całym kraju na kilka godzin. Sytuacja powtórzyła się rok później w Kijowie, co było próbą bardziej zaawansowanego, w pełni zautomatyzowanego ataku nazwanego „Crash Override”. Również w 2016 roku doszło do ataku z wykorzystaniem złośliwego oprogramowania o nazwie Mirai, które wykrywało i zarażało słabo zabezpieczone urządzenia IoT. Następnie były one przekształcane w botnety służące do przeprowadzania kolejnych cyberataków. Zainfekowano 2,5 miliona inteligentnych urządzeń takich jak: kamerki internetowe, lodówki czy routery Wi-Fi. 

IoT głównym celem cyberataków 

Cyfryzacja produkcji sprawiła, że maszyny mogą komunikować się między sobą i podejmować autonomiczne decyzje. Połączenie coraz większej liczby urządzeń firmowych z Internetem oznacza także nowe zagrożenia, gdyż każde z nich może być potencjalnie furtką dla cyberprzestępców. Jak podaje raport „2020 Global IoT/ICS Risk Report” urządzenia wchodzące w skład ekosystemu Internetu rzeczy (IoT) oraz przemysłowe systemy kontroli (ICS) stanowią obecnie główne źródło naruszeń bezpieczeństwa w biznesie. Wynika to m.in. z faktu, że 64% systemów nie jest zabezpieczonych hasłem, a 54% respondentów badania korzysta z urządzeń, do których można uzyskać dostęp za pośrednictwem standardowych protokołów zdalnego zarządzania. 

Biznes musi zapanować nad IoT 

Obecnie niezbędne jest monitorowanie nie tylko komputerów czy telefonów wykorzystywanych przez pracowników, ale również wszystkich urządzeń końcowych podłączonych do sieci. Ogromna liczba połączeń często uniemożliwia tradycyjne, ręczne zarządzanie infrastrukturą informatyczną. Biorąc pod uwagę braki specjalistów IT, biznes musi automatyzować procesy wdrażania, inwentaryzacji czy aktualizacji urządzeń IoT. 

Specjaliści podkreślają, że tylko dzięki znajomości zasobów firmy, zespoły IT będą w stanie skutecznie je chronić. Dlatego pierwszym krokiem w kierunku zwiększenia bezpieczeństwa jest inwentaryzacja.

Jednym z najlepszych sposobów administracji złożonego środowiska informatycznego, a zarazem skutecznej ochrony przed atakami na infrastrukturę sieciową jest wdrożenie rozwiązania do ujednoliconego zarządzania urządzeniami końcowymi (UEM), którego przykładem jest baramundi Management Suite (bMS). Systemy tej klasy umożliwiają działom IT przejrzysty i łatwy w weryfikacji przegląd wszystkich punktów końcowych znajdujących się w sieci, a także zapewniają możliwość zarządzania wszystkimi podłączonymi urządzeniami z poziomu jednej platformy. Dobre rozwiązanie UEM odwzorowuje konfigurację i strukturę sieci, przeprowadzając pełną inwentaryzację wszystkich urządzeń sieciowych, a także ustawień i zainstalowanego oprogramowania – komentuje Sebastian Wąsik, Country Manager na Polskę w baramundi software AG. 

Podłączone do sieci urządzenia mają często wiele luk bezpieczeństwa, które są dobrze znane i do których istnieją już łatki. Proces aktualizacji oprogramowania milionów urządzeń jest jednak czasochłonny i bardzo trudny. Dodatkowo komplikuje go fakt, że często urządzenia te pochodzą od różnych producentów, którzy w różnym tempie udostępniają aktualizacje. Rozwiązanie UEM nie tylko pokazuje stan oprogramowania i licencji, ale także skanuje środowisko IT w poszukiwaniu wszelkich nieprawidłowości i podatności na zagrożenia oraz umożliwia ocenę ryzyka i instalację łatek, jeśli jest to konieczne.

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF

Równowartość tysiąca dolarów za odszyfrowanie plików – uwaga na nowe oprogramowanie ransomware

Pierwsza próbka Nemty, którą przeanalizowali analitycy z laboratorium FortiGuard firmy Fortinet, pochodziła z linku udostępnionego na Twitterze na koncie @BotySrt. Wcześniej pojawiały się tam linki do skryptów umieszczonych w serwisie Pastebin, zawierających złośliwy kod z rodzin Sodinokibi i Buran. Tym razem jednak link prowadził do skryptu Powershell, który uruchamiał osadzony malware z użyciem metody Reflective PE Injection. Materiał pobrany przez specjalistów Fortinet spod linku oznaczonego jako Sodinokibi nie zawierał jednak oczekiwanego, znanego już ransomware’u, lecz prowadził do nowego rodzaju kodu, zidentyfikowanego później jako Nemty. 

Chociaż analitycy Fortinet znaleźli kilka nieprawidłowości w kodzie Nemty, to wskazują, że w obecnej postaci może ono być niebezpieczne, ponieważ potrafi zaszyfrować pliki w systemie ofiary.

Co ciekawe, podczas analizy tego złośliwego kodu odnaleziono pewne elementy używane także przez ransomware GandCrab, który jeszcze niedawno był jednym z najniebezpieczniejszych programów tego typu – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce. – W dodatku Nemty jest dystrybuowane tą samą metodą co Sodinokibi, które również ma wiele podobieństw do GandCraba. Trudno jednak orzec, czy istnieje jakakolwiek rzeczywista relacja między nimi.

Jak działa Nemty?

Strona płatności okupu jest hostowana w sieci TOR, co jest standardową praktyką stosowaną w celu zachowania anonimowości w przypadku oprogramowania wyłudzającego okup. Aby przejść do strony głównej płatności, ofiara musiała przesłać zaszyfrowany plik konfiguracyjny oraz zaszyfrowany plik do testu deszyfrowania. W momencie powstania tego artykułu cyberprzestępcy żądali równowartości tysiąca dolarów w Bitcoinach w zamian za odzyskanie plików.

Nota okupu

Strona płatności dostępna jest w języku angielskim i rosyjskim, co – jak wskazują analitycy Fortinet – może być nietypowe i mylące. Biorąc pod uwagę osadzone w kodzie oprogramowania oświadczenie w języku rosyjskim, łatwo założyć, że twórcy Nemty pochodzą z Rosji. Zazwyczaj cyberprzestępcy z tego kraju unikają ataków na swoich rodaków, aby nie przyciągać uwagi władz. 

Zdaniem ekspertów Fortinet Nemty może być kolejnym przykładem dystrybucji złośliwego oprogramowania w modelu usługowym (RaaS – Ransomware-as-a-Service). Oznacza to, że będzie ono wkrótce dystrybuowane za pomocą innych narzędzi.

 

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF