Ransomware bude i v roce 2021 významnou hrozbou pro firmy i soukromé uživatele, dále poroste důraz firem na bezpečnost dat v cloudu, zneužívány ovšem budou i dopady Cividu-19... To jsou jen tři příklady trendů, které budou formovat prostředí hrozeb a IT bezpečnosti v roce 2021. Plyne to ze studií dvou renomovaných společností, Sophos a Kaspersky.
Lze očekávat, že rozdíly mezi ransomwarovými útočníky na různých koncích spektra dovedností a zdrojů se zvětší. Na špičkové úrovni budou rodiny ransomwaru útočící na nejhodnotnější cíle i nadále zdokonalovat a měnit své taktiky, techniky a postupy, aby byly ještě více skryté a maximálně sofistikované, když budou cílit na větší organizace a požadovat mnohamilionové výkupné. V roce 2020 do takových rodin patřily například ransomwary Ryuk a RagnarLocker. Na druhé straně očekává Sophos zvýšení počtu začínajících, teprve se učících útočníků, kteří hledají ransomware k pronájmu ovládaný prostřednictvím nabídek, jako je třeba Dharma, který jim umožňuje cílit na velké množství menších kořistí.
Dalším trendem v oblasti ransomwaru je „sekundární vydírání“, kdy kromě zašifrování dat útočníci ukradnou citlivé nebo důvěrné informace a hrozí jejich zveřejněním, pokud nebudou splněny jejich požadavky. V roce 2020 informoval Sophos o ransomwarech Maze, RagnerLocker, Netwalker, REvil a dalších, které tento přístup využívaly.
Vyděračské gangy využívající ransomware podle zástupců firmy Kaspersky mění strategii, což vede ke konsolidaci sice stále různorodého, nicméně úzce uplatňovaného vyděračského ekosystému. Poté, co byly dřívější strategie cílených útoků úspěšné, začne větší počet velkých hráčů v oblasti ransomware své aktivity přesněji cílit a snažit se dosáhnout úrovně hrozeb APT. Díky finančním prostředkům, které tyto gangy vydělaly na dřívějších kampaních, budou schopny investovat značné částky do nových pokročilých sad nástrojů, přičemž jejich rozpočty budou srovnatelné s některými APT skupinami, jež sponzorují přímo vlády.
„Obchodní model ransomwaru je dynamický a složitý. V průběhu roku 2020 zaznamenal Sophos jasný trend směrem k tomu, že se protivníci odlišují, pokud jde o jejich dovednosti a cíle. Viděli jsme však také rodiny ransomwaru, které sdílejí nejlepší nástroje a vytvářejí samozvané kolaborativní ‘kartely’,“ říká Chester Wisniewski, principal research scientist ve společnosti Sophos. „Některé, jako třeba Maze, si zjevně sbalily kufry, ale část jejich nástrojů a technik se znovu objevila pod rouškou nováčka – ransomwaru Egregor. Prostředí kyberhrozeb se nikdy neocitne ve vakuu. Jestliže nějaká hrozba pomine, nějaká jiná ji rychle nahradí. V mnoha ohledech je téměř nemožné předvídat, jakým směrem se ransomware vydá, ale trendy útoků, diskutované ve studii Threat Report společnosti Sophos v tomto roce, budou pravděpodobně pokračovat i v roce 2021.“
Každodenní hrozby jako je komoditní malware, včetně loaderů a botnetů, nebo lidmi řízení prvotní poskytovatelé přístupu, budou vyžadovat zásadní pozornost z hlediska zabezpečení. Takové hrozby se mohou zdát jako nízkoúrovňový malwarový šum, ale jsou navrženy tak, aby zajistily oporu v cíli, shromažďovaly základní data a sdílely je zpět do command-and-control sítě, která jim poskytne další pokyny. Pokud za těmito typy hrozeb stojí lidští operátoři, zkontrolují každý kompromitovaný stroj z hlediska jeho geolokace a dalších ukazatelů vysoké hodnoty, a poté prodají přístup k nejlukrativnějším cílům tomu, kdo nabídne nejvyšší cenu, jako je například velký provozovatel ransomwaru. Například v roce 2020 využil Ryuk pro distribuci svého ransomwaru Buer Loader.
„Komoditní malware může vypadat jako písečná bouře nízkoúrovňového hluku, která ucpává bezpečnostní výstražný systém. Z toho, co Sophos analyzoval, je zřejmé, že obránci musí tyto útoky brát vážně kvůli tomu, kam až by mohly vést. Jakákoli infekce může zapříčinit jakoukoliv další infekci. Mnoho bezpečnostních týmů bude mít pocit, že jakmile byl malware zablokován nebo odstraněn a napadený stroj vyčištěn, bylo incidentu zabráněno,“ říká Wisniewski. „Možná si neuvědomují, že útok byl pravděpodobně veden proti více než jednomu stroji a že zdánlivě běžný malware jako Emotet a Buer Loader může vést k napadení ransomwarem Ryuk či Netwalker a dalším pokročilým útokům, kterých si IT nemusí všimnout, dokud ransomware nezačne skutečně působit, což se může stát uprostřed noci nebo třeba o víkendu. Podcenění ‘drobných’ infekcí se může ukázat jako velmi nákladné.“
Všechny typy protivníků budou stále více zneužívat legitimní nástroje, dobře známé utility a běžné síťové destinace, aby se vyhnuly detekčním a bezpečnostním opatřením a zmařily analýzu a identifikaci. Zneužití legitimních nástrojů umožňuje protivníkům vyhnout se detekci, zatímco se pohybují po síti, dokud nejsou připraveni zahájit hlavní část útoku, například spustit ransomware. Pro útočníky sponzorované národními státy je další výhodou, že použití běžných nástrojů ztěžuje jejich identifikaci. V roce 2020 Sophos informoval o široké škále standardních útočných nástrojů, které nyní protivníci používají.
„Zneužívání každodenních nástrojů a technik k maskování aktivních útoků se nejdříve objevilo v hodnocení prostředí hrozeb společnosti Sophos během roku 2020. Tato technika zpochybňuje tradiční bezpečnostní přístupy, protože zpozorování známých nástrojů automaticky nespustí poplach. V této oblasti si přichází na své rychle se rozvíjející pole lidmi řízeného lovu hrozeb a řízené reakce na hrozby,“ uvádí Wisniewski. „Lidští odborníci poznají jemné anomálie a stopy, které je třeba hledat, jako je například legitimní nástroj používaný ve špatnou dobu nebo na špatném místě. Pro trénované lovce hrozeb nebo IT manažery využívající funkce Endpoint Detection and Response (EDR) jsou tyto náznaky cennými indikátory, které mohou varovat bezpečnostní týmy před potenciálním vetřelcem a probíhajícím útokem.“
Další trendy v oblasti IT bezpečnosti, analyzované ve studii Sophos 2021 Threat Report, zahrnují:
Odborníci společnosti Kaspersky odhadují, že stále více zemí bude využívat právní kroky jako součást strategie zajištění kybernetické bezpečnosti. Firmy ze Silicon Valley podle nich také začnou ve velkém přijímat opatření proti zero day útokům. Po skandálních případech, kdy špionážní exploity napadly oblíbené aplikace – a šlo o celou řadu různých cílů – je pravděpodobné, že se další společnosti sídlící v Silicon Valley postaví proti zero day útokům, aby ochránily své klienty a také své dobré jméno.
Útočníci budou prý také častěji cílit na síťová zařízení. Kvůli rapidnímu nárůstu podílu práce na dálku se prioritou firem stává zabezpečení vzdálené online komunikace. Předpovídán je růst pokusů o zneužití síťových prvků a služeb, jako jsou například VPN. Dá se prý také očekávat, že se objeví snahy získat od uživatelů, kteří pracují na dálku, přístupové údaje k firemním sítím VPN prostřednictvím tzv. „vishingu“, čili podvodného vylákání těchto údajů přes telefonní hovory.
Kaspersky také upozorňuje na trend objevování zranitelných míst 5G sítí. Vzhledem k tomu, jak se tato technologie stále více uplatňuje a možností její konektivity bude využívat stále více zařízení, budou mít útočníci silnější podnět k hledání zranitelných míst, která by mohli zneužít.
„Žijeme ve světě, který je natolik těkavý, že je pravděpodobné, že v budoucnu dojde k událostem či procesům, jež jsme si dosud nebyli schopni ani představit. Objem a složitost proměn, které jsme zaznamenali a které ovlivnily prostředí kybernetických hrozeb, by nás mohly postavit před velké množství scénářů toho, co nás asi čeká. Na světě nadto nejsou týmy zkoumající hrozby, které by dokázaly plně rozpoznat jednání aktérů APT hrozeb," říká David Emm, hlavní bezpečnostní výzkumník společnosti Kaspersky, a dodává: "Nejdůležitější je situaci pozorně sledovat a být vždy připraveni reagovat – a my jsme přesvědčení, že tohle děláme dobře.“
Také jste zahlédli na sociálních sítích vtip, v němž padá otázka: "Co jste odpovídali, když se vás na pohovoru v...
