2022 rok zdominują ransomware i phishing. „Ewolucja bez rewolucji”

Kwestia cyberbezpieczeństwa staje się coraz bardziej istotna, bowiem ataki hakerów na użytkowników indywidualnych czy firmy oraz instytucje stają się coraz bardziej powszechne, zaś narzędzia służące do ataków są dzisiaj tak samo groźne jak konwencjonalna broń.

Przykłady? Według szacunków departamentu skarbu USA, w pierwszej połowie 2021 r. w związku z cyberatakami ransomware zapłacono 590 mln dolarów okupów, w całym 2020 r. - 416 mln dolarów.

Amerykański sektor energetyczny został sparaliżowany na początku maja ub.r., kiedy doszło do cyberataku na sieć rurociągów paliwowych Colonial Pipeline, dostarczających z rafinerii nad Zatoką Meksykańską prawie połowę paliw używanych we wschodniej i południowej części USA. Działania hakerów doprowadziły do wstrzymania transportu paliw i w efekcie zamknięcia wielu stacji benzynowych, a nawet wprowadzenia stanu wyjątkowego w stanie Georgia. Żeby odzyskać dostęp do serwerów, zarząd firmy został zmuszony przez przestępców do zapłacenia 4,4 mln dol. okupu.

Głośnym echem odbił się również atak, który na początku lipca przeprowadzili hakerzy z rosyjskiej grupy REvil na serwery firmy informatycznej Kaseya z siedzibą w Miami. Udało im się uzyskać dostęp do urządzeń niektórych klientów firmy, co doprowadziło do reakcji łańcuchowej i w efekcie - paraliżu systemów komputerowych setek firm na całym świecie.

Ofiarą cyfrowych porywaczy padła w lutym ub.r. także polska firma - popularny warszawski deweloper CD Projekt RED, twórca gier „Wiedźmin 3” i „Cyberpunk 2077”. Pracownicy nagle stracili dostęp do przechowywanych na serwerach danych, które zostały zaszyfrowane. Na niektórych komputerach pojawiał się komunikat od hakerów informujących, że jeśli w ciągu 48 godz. przedstawiciele firmy nie skontaktują się z nimi i nie spełnią ich żądań, dojdzie do ujawnienia lub sprzedania wykradzionych danych. Grożono przekazaniem niekorzystnych wizerunkowo informacji. Przestępcy utrzymywali także, że posiadają kody do m.in. najpopularniejszych produktów firmy.

Również francuska opieka zdrowotna znalazła się w 2021 r. kilkakrotnie na celowniku cyberprzestępców. Szpital w Oloron-Sainte-Marie w Nowej Akwitanii został zaatakowany w marcu – na ekranach monitorów placówki pojawiły się wiadomości w języku angielskim, w których domagano się 50 tys. dol. w bitcoinach. Władze szpitala odłączyły stacje robocze, by ograniczyć straty, ale i tak hakerzy zdobyli dostęp do wrażliwych danych pacjentów.

Wyzwania, a nie trendy

Czego spodziewać się w 2022 r.? Jakie zagrożenia będą spędzać sen z powiek pracownikom sektora cyberbezpieczeństwa? Na te pytania odpowiadają nam eksperci. Pierwszym z nich jest dr Karolina Małagocka, Akademia Leona Koźmińskiego, wykładowczyni cyfrowej transformacji i badaczka prywatności w sieci.

- Cyberbezpieczeństwo nie jest dziedziną naukową w pełnym tego pojęcia rozumieniu, dlatego zdecydowanie lepiej skupiać się na wyzwaniach, niż próbować określać kierunki rozwoju albo trendy – zastrzega Karolina Małagocka. - Zakres tych wyzwań rośnie właściwie nieprzerwanie, gdyż coraz częściej i większym zakresie zwiększamy zastosowanie urządzeń w realizacji codziennych zadań. Pandemia przyspieszyła ich zastosowanie, a jednocześnie bardzo dobrze uwidoczniła niektóre, obserwowane już wcześniej, zjawiska. Powtarzane od lat, że przestępcy, niezależnie czy on, czy off line, działają dla zysku, zwracają się tam, gdzie jest najwięcej najniżej wiszących owoców oraz że w cyberbezpieczeństwie nie ma właściwie „nowego czarnego” oznacza, że stare dobrze  znane metody działają równie skutecznie na nowych systemach, urządzeniach czy pokoleniach użytkowników.

Zdaniem ekspertki rok 2022 prawdopodobnie znów przyniesie wyzwania związane z ransomware, czyli złośliwym kodem, który po zainstalowaniu wymusza na użytkowniku okup.

- To metoda znana od 1989 r., a jej popularność wciąż rośnie, dziś mówimy już o ransomware 2.0, czyli bazującym na wykradaniu danych - zaznacza Małagocka. - Następnie wymuszenie opiera się nie tylko o ponowne udostępnienie danych, ale też o brak poinformowania o fakcie uzyskania nieuprawnionego dostępu. Czemu tak? Gdyż rosnące w siłę regulacje dotyczące prywatności danych nakładają różne sankcje na organizacje, którym dane zostały wykradzione. W efekcie powstał swoisty cennik dla okupów. Z kolei użytkownicy indywidualni czy mniejsze firmy są uzależnione od ciągłości działania rozwiązań IT, dlatego w przypadku infekcji często podejmują różne decyzje, aby tylko móc dalej normalnie funkcjonować.

Jak podkreśla badaczka z ALK wiele osób, zwłaszcza w ostatnich dniach, uświadomiło sobie, że internet coraz częściej ma uszy i oczy, czyli sensory wbudowane w urządzenia, które do sieci podłączone być muszą, aby w ogóle działały.

- Te oczy i uszy to oczywiście możliwość obserwowania otoczenia, ale też użytkowników – wyjaśnia Małagocka. - Poza poruszanymi już kwestiami prywatności czy kontroli nad danymi weszliśmy w okres wyzwań związanych ze szpiegostwem, które może mieć bardzo różny wymiar. Słowo Pegasus kojarzy się z oprogramowaniem wykorzystywanym na szczeblu rządowym, niemniej oprogramowanie – także złośliwe – do szpiegowania, pozyskiwania informacji o użytkownikach to kolejne wyzwanie, które przybierze na znaczeniu w naszym coraz bardziej no switch off świecie.

Zdaniem ekspertki niezmiennie również będziemy polegali na komunikacji mailowej i przesyłaniu sobie wiadomości, a to oznacza nową falę zagrożeń związanych z socjotechnitką, w tym również phishingiem, czyli przekazami podszywającymi się pod te wysyłane przez zaufanych nadawców.

- Maile i wiadomości z zainfekowanymi linkami, obecnie też takimi które są w plikach pdf, gdzie sam pdf nie jest złośliwy, ale zawiera w sobie takie linki, to będzie coraz bardziej powszechne zjawisko – prognozuje Małagocka. - Pandemia nauczyła (lub wymusiła) bardziej powszechne stosowanie komunikacji pośredniej, a atak z zastosowaniem tej metody jest stosunkowo prosty do przeprowadzania i niedrogi. Dodatkowo, jak pokazują wyliczenia, dane które wyciekają średnio w tempie 507 rekordów na sekundę (za Uniwersytetem Maryland) zwiększają ryzyko stania się ofiarą tego typu ataku. Mówimy już o całej grupie tzw walking breached, czyli aktywnych użytkowników, których dane można kupić na nieoficjalnych marketach po ciemnej stronie internetu. Dzięki tym danym przygotowany atak może być spersonalizowany, a do spersonalizowanej komunikacji jesteśmy coraz mocniej przyzwyczajeni, i w efekcie może to doprowadzić do udanych prób kolejnych wyłudzeń.

Czytaj także: Pegasus uniwersalną bronią. "To więcej niż inwigilacja"

Jak wskazuje ekspertka wyzwania na 2022 r. nie są zatem zupełnie nowe, ale niewątpliwie będą coraz poważniejsze, a do próby ich przezwyciężenia potrzeba zdecydowanie więcej edukacji.

- Musimy podnosić świadomość użytkowników w zakresie ich możliwości ochrony przed cyberatakami, a także stosowania określonych procedur, co może nie kojarzy się najlepiej, ale w przypadku rozproszonych miejsc pracy wydaje się być szczególnie istotne - zaznacza Małagocka.

Problemy z pamięcią

Cezary Cerekwicki, head of Product Security w Opera Software kreśląc przyszłość w zakresie cyberbezpieczeństwa skupia się na dwóch specjalistycznych aspektach.

- Od ponad trzydziestu lat branża IT nie potrafiła rozwiązać problemu błędów zarządzania pamięcią – zaznacza Cerekwicki. - W przeglądarkach około połowa błędów zarządzania pamięcią to tzw. use-after-free. Ta ostatnia klasa błędów ma szansę być znacząco ograniczona za sprawą innowacji testowanej obecnie w projekcie Chromium. Dzięki niej wszystkie przeglądarki oparte na Chromium mogą uzyskać skokowy wzrost bezpieczeństwa w 2022 roku.

Zdaniem eksperta ciekawe są też rozwiązania zapewniające lepszą ochronę pamięci na poziomie sprzętowym, proponowane przez producentów procesorów, np. ARM MTE albo Intel CET.

- Niestety, nie są one doskonałe i choć bez wątpienia znacząco podnoszą poziom trudności ataków, to ich nie wykluczają – ocenia Cerekwicki. - To skądinąd wspólna cecha praktycznie wszystkich innowacji w tej dziedzinie. Problem bezpieczeństwa pamięci ma charakter złośliwy. To taki nowotwór IT, obecny od zawsze i szalenie trudny do eradykacji, ale pracujemy nad tym.

Nasz rozmówca przewiduje, że w 2022 r. będziemy także mieli do czynienia z małą rewolucją prywatnościową w ekosystemie Android. Podobnie jak miało to miejsce wcześniej w Apple App Store, Google Play od kwietnia wymusi na autorach aplikacji szczegółowe opisanie, jakie dokładnie dane przechowują, w jaki sposób te dane są chronione i czy jakaś niezależna instytucja zweryfikowała ich zgodność ze standardami bezpieczeństwa.

- Podanie tam nieprawdziwych informacji jest zagrożone sankcjami z wydaleniem aplikacji ze sklepu włącznie – wyjaśnia Cerekwicki. - Osobom zainteresowanym prywatnością będzie łatwiej zrozumieć reguły postępowania z danymi używanych przez siebie aplikacji i podejmować decyzje co do dalej.

Więcej ofiar na celowniku

Marcin Maj, ekspert z Niebezpiecznik.pl  prognozuje na 2022 r. kilka tendencji w segmencie cyfrowego bezpieczeństwa. - Przewrotnie odpowiem, że każdy kolejny rok może być właśnie tym, w którym pojawi się całkiem nowe zagrożenie, na które nikt nie był dobrze przygotowany – zaznacza Marcin Maj. - Niemniej nawet jeśli takie coś się pojawi, z pewnością będziemy obserwować kontynuację zagrożeń istniejących już teraz. Spróbujmy je wymienić.

Czytaj także: 42 tysiące stron na liście ostrzeżeń CERT Polska. 93 domeny tygodniowo w 2021 roku

Po pierwsze: Ransomware, czyli oprogramowanie szyfrujące dane i domagające się okupu.
Było o nim głośno przed laty bo obserwowaliśmy duże, efektowne ataki. Potem temat jakby przycichł, ale tak naprawdę pojawiło się wiele nowych rodzin tego oprogramowania, a modele biznesowe przestępców ewoluowały i stały się bardziej efektywne. Obecnie zagrożenie ransomwarem to nie tylko groźba utraty danych, ale też zagrożenie wyciekiem (jeśli ofiara nie zapłaci okupu) albo nawet wyciekiem i szantażami (np. przestępcy grożą, że poinformują o ataki i wycieku partnerów biznesowych ofiary).

Po drugie: Ataki socjotechniczne i phishing.
Mogłoby się wydawać, że pewne stare numery przestępców nie powinny już działać na nasze społeczeństwo. Niestety działają. Swojego czasu banki intensywnie uczyły ludzi, aby nie klikać linki do logowania przysłane mailem. W roku 2021 obserwowaliśmy mnóstwo ataków via SMS. Niby coś nowego, ale model oszustwa ten sam. Z moich obserwacji wynika, że świadomość mechanizmów stojących za atakami wciąż jest dość niska. Po części wynika to z faktu, że grupy użytkowników komputerów i usług na bieżąco się odmładzają, a młodzi użytkownicy pod pewnymi względami są mniej ostrożni niż starsi (to są pokolenia, których nie dziwi załatwianie spraw jednym kliknięciem lub wymóg zainstalowania aplikacji na telefonie aby coś zrobić). Trzeba będzie ciągle edukować, badać mechanizmy oszustw i znów edukować, ale zagrożenie nie zniknie z pewnością w ciągu roku czy dwóch. Spodziewam się, że w tym roku Igrzyska w Pekinie będą istotnym motywem tego typu oszustw.

- Większość obserwatorów rynku zgadza się co do tego, że dwa powyższe zagrożenia nie odpuszczą i będą się nam wdawały we znaki – przyznaje Marcin Maj. - Co do innych zagrożeń to zdania są różne. Niektórzy spodziewają się zagrożeń ze strony tzw. „internetu rzeczy” (IoT). Owszem. Z pewnością stworzy on nowe zagrożenia, bo produkty na tym rynku robi się najpierw tak by działały, a dopiero potem myśli się o bezpieczeństwie.

Jak zaznacza ekspert wielu analityków obawia się też o tzw.  Supply Chain Attacks, czyli ataki na gorzej zabezpieczone elementy infrastruktury w łańcuchach dostaw.

- Do tego typu ataków moglibyśmy zaliczyć np. ubiegłoroczny atak amerykański system rurociągów Colonial Pipeline, który nawiasem mówiąc był również przykładem ransomware (niestety różne typy zagrożeń często występują razem) – wyjaśnia Maj. - Problemowymi obszarami w kontekście bezpieczeństwa mogą też okazać się kryptowaluty oraz usługi chmurowe.

Na tle afery z Pegasusem wielu analityków mówi, że zagrożeniem w roku 2022 będzie oprogramowanie do szpiegowania, ale nasz rozmówca ująłby ten temat nieco inaczej.

- Paradoksalnie na tle kontrowersji istnieje szansa na przedyskutowanie tematu i być może wypracowanie sensownych rozwiązań w zakresie np. kontroli nad służbami – ocenia Maj. - Podkreślam, że tematyka jest niezwykle trudna i - niestety - nie sprzyja merytorycznej dyskusji.

Wiele innych kwestii bezpieczeństwa na 2022 rok to sprawy, którymi zwykle nie zajmują się zwykli użytkownicy, ale specjaliści będą musieli się nad nimi pochylić.

- W roku 2021 obserwowaliśmy ciekawe ataki, w których przestępcy sprytnie wykorzystywali możliwości infiltrowania firm i np. nieszablonowo nadużywali możliwości interfejsów (tzw. API), które miały służyć do współpracy pomiędzy przedsiębiorstwami. Dla ludzi zajmujących się bezpieczeństwem i ochroną danych rok 2022 będzie rokiem ciągłego monitorowania tego typu zagrożeń i reagowania na nie – prognozuje Maj.

Ransomware coraz droższy

Grzegorz Nocoń, inżynier systemowy w firmie Sophos wymienia kolejno rodzaje zagrożeń, jakich możemy spodziewać się w nadchodzących miesiącach 2022 roku:

Ransomware coraz szerzej dostępny
W ubiegłym roku oprogramowanie ransomware odpowiadało za aż 79 proc. wszystkich incydentów bezpieczeństwa. Należy zakładać, że metody działania cyberprzestępców w kolejnych latach będą coraz bardziej adaptowane tak, aby dostarczać kod ransomware’u i cryptojackingu na urządzenia ofiar. Jednocześnie ataki stają się bardziej rozproszone i dostępne dla mniej doświadczonych hakerów. Twórcy złośliwego oprogramowania coraz częściej za opłatą udostępniają je podmiotom zewnętrznym, które zajmują się np. włamaniami do sieci. Działania pojedynczych grup w nadchodzących miesiącach ustąpią miejsca większej liczbie ataków prowadzonych w modelu Ransomware as a Service (RaaS).

Większa presja na opłacenie okupu
W 2022 roku cyberprzestępcy będą rozwijali metody wyłudzania okupów od ofiar ransomware’u. Atakujący przebywają w zinfiltrowanej sieci nawet przez kilka dni lub tygodni, często mają też dostęp do wszystkich firmowych systemów. Zaczynają więc wykorzystywać ten czas na szukanie wrażliwych danych i ich wykradanie. Po zaszyfrowaniu zasobów żądają okupu pod groźbą nie tylko utraty informacji, ale też upublicznienia dokumentów, danych klientów czy kodów źródłowych. W obawie przed karami finansowymi, spadkami kursu akcji czy konsekwencjami prawnymi, wiele firm decyduje się zapłacić przestępcom. Metody wywierania presji będą intensyfikowane, zaobserwowano już wykonywane do ofiar telefony z pogróżkami czy dodatkowe nękanie za pomocą ataków DDoS (Distributed Denial of Service).

Ataki ukierunkowane, ale masowe
W tym roku wzrośnie również popularność ataków hybrydowych. Do tej pory przestępcy stosowali dwie metody. Pierwszą były ataki typu „shotgun”, w których spamowali jak największą liczbę osób lub optymalizowali treść złośliwych stron internetowych pod kątem ich pozycjonowania w wyszukiwarkach (SEO), aby kierować na nie niczego nieświadomych użytkowników. Drugim sposobem były ataki ukierunkowane, wymierzone w precyzyjnie wybraną grupę osób, np. pracujących w danej firmie lub na określonym stanowisku. W 2022 roku coraz więcej będzie ataków łączących obie te metody – cyberprzestępcy będą starali się „zwabić” jak najwięcej ofiar, ale zaatakują tylko te, które spełniają określone kryteria (np. pracujące w obsłudze klienta).

Sfabrykowane filmy i głos pomogą w dezinformacji
W najbliższych latach przestępcy będą również rozwijali ataki typu „watering-hole”, wykorzystujące zaawansowane techniki tworzenia fałszywych obrazów i dźwięku. Sfabrykowane filmy lub głosy będą potężną bronią, wykorzystywaną w wiadomościach phishingowych, kampaniach dezinformacyjnych i innych działaniach socjotechnicznych. Systemy bazujące na sztucznej inteligencji, takie jak OpenAI czy Google AI, już teraz mogą samodzielnie pisać działający kod źródłowy. Jest więc kwestią czasu, gdy cyberprzestępcy zaadaptują sieci neuronowe do tworzenia złośliwego oprogramowania. Ta technika otwiera jednak nowe możliwości także dla specjalistów ds. cyberbezpieczeństwa – superkomputery mogą rozwiązywać problemy ochrony środowisk IT obecnie uważane za nierozwiązywalne.

Wykrywanie ataku równie ważne jak zapobieganie
Szybkość, z jaką przestępcy rozwijają działania, sprawia, że kluczowe staje się blokowanie lub spowalnianie ataków. W grudniu ubiegłego roku w ciągu tygodnia od odkrycia luki Log4j analitycy Sophos odnotowali kilkaset tysięcy prób ataków wykorzystujących tę podatność. Nawet jedno zainfekowane urządzenie może dać przestępcom dostęp do całej sieci i umożliwić sparaliżowanie działania firmy. Osoby odpowiedzialne za bezpieczeństwo będą musiały badać wszystkie incydenty, nawet pozornie nieistotne, aby szybko wykrywać intruzów w sieci. Dotąd rozwiązania ochronne koncentrowały się przede wszystkim na powstrzymywaniu złośliwego kodu przed zainstalowaniem i uruchomieniem na urządzeniach. W najbliższych latach będą coraz bardziej rozwijane także w kierunku wykrywania samych prób ataków.