„Stare i nowe” typy złośliwego oprogramowania (np. malware) nadal rozprzestrzeniają się za pośrednictwem botnetów, a atakujący coraz częściej koncentrują się na łatwiejszych metodach ataków, takich jak np. phishing (podszywanie się pod inną tożsamość). Z drugiej strony ataki typu ransomware (oprogramowanie służące do wymuszania okupów) stają się coraz szybsze i są realizowane na większą skalę. Najnowsza odsłona raportu Microsoft Security Intelligence Report jest poświęcona głębszej analizie każdego z kluczowych tematów, jednocześnie oferując dodatkowe informacje o cyberzagrożeniach.
Raport został oparty na analizie systemów lokalnych (on-premise), jak i usług chmurowych Microsoft, wykorzystywanych zarówno w celach prywatnych, jak i komercyjnych, takich jak Windows, Bing, Office 365 i Azure. Badanie koncentruje się na tendencjach pojawiających się w zakresie cyberzagrożeń od lutego 2017 roku. W ramach tych usług każdego miesiąca specjaliści firmy skanują 400 miliardów wiadomości e-mail wysyłanych w celach wyłudzania informacji i złośliwego oprogramowania, przetwarzają 450 miliardów uwierzytelnień, wykonują ponad 18 miliardów skanów stron internetowych i monitorują ponad 1,2 miliarda urządzeń pod kątem zagrożeń.
Raport wskazuje na następujące obszary zagrożeń:
Botnety nadal atakują miliony komputerów na całym świecie
W listopadzie 2017 roku, w ramach globalnego partnerstwa publiczno-prywatnego, Microsoft zablokował jedną z największych na świecie operacji malware – botnet Gamarue/Andromeda. Specjaliści Microsoft przeanalizowali ponad 44 000 próbek szkodliwego oprogramowania, które pomogły odsłonić rozbudowaną infrastrukturę botnetu. W efekcie odkryto, że dystrybuował on ponad 80 różnych typów złośliwego oprogramowania typu malware. Trzy najwyższe klasy złośliwego oprogramowania dystrybuowane przez botnet Gamarue/ Andromeda to oprogramowanie typu ransomware, trojany i tzw. backdoory. W efekcie liczba zainfekowanych urządzeń spadła o 30 proc. zaledwie w ciągu trzech miesięcy.
Cyberprzestępcy wciąż wykorzystują metody łatwego dotarcia, takie jak np. wyłudzanie informacji
Dostawcy oprogramowania wprowadzają w swoich produktach coraz bardziej rygorystyczne środki bezpieczeństwa. Hakerzy mają w związku z tym coraz więcej trudności w swobodnym penetrowaniu oprogramowania. Dla porównania, o wiele łatwiejsze i mniej „kosztowne” jest nakłonienie użytkowników do kliknięcia w złośliwe linki lub otworzenia wiadomości e-mail wyłudzającej informacje. W 2017 r. atakujący koncentrowali się częściej na metodach tzw. „łatwo osiągalnych celów”, takich jak np. phishing – aby nakłonić użytkowników do przekazania danych logowania lub innych wrażliwych informacji. W rzeczywistości druga połowa 2017 roku pokazała, że ataki typu phishing były głównym zagrożeniem dla klientów poczty e-mail opartej na Office 365. Inne metody łatwego osiągania celów, z których korzystają atakujący, to słabo zabezpieczone aplikacje w chmurze. W naszych badaniach stwierdziliśmy, że 79 proc. aplikacji do przechowywania danych SaaS i 86 proc. aplikacji do współpracy SaaS nie szyfruje danych zarówno w trybie spoczynku, jak i podczas ich przesyłania.
Ataki typu ransomware wciąż są siłą, z którą należy się liczyć
Pieniądze są jednym z tych czynników, który w dużej mierze napędza cyberprzestępców, tak więc jedną z głównych strategii ataków są procesy uzyskiwania kryptowalut i innych form płatności (również tych związanych z całkowitą utratą danych). W 2017 r. wybuchły trzy globalne ataki ransomware – WannaCrypt, Petya / NotPetya i BadRabbit – które miały wpływ nie tylko na sieci korporacyjne, ale także szpitale, transport czy systemy ruchu. Ataki ransomware zaobserwowane w zeszłym roku miały bardzo dużą siłę rażenia i poruszały się w niesamowicie szybkim tempie. Ze względu na zautomatyzowane techniki rozpowszechniania, zainfekowały komputery szybciej niż jakikolwiek człowiek był w stanie na nie odpowiedzieć i pozostawiały większość ofiar bez jakiegokolwiek dostępu do plików. Microsoft odkrył także, że regionem z największą liczbą napadów ransomware jest Azja.
Kluczowym wnioskiem z raportu jest to, że zagrożenia są ze sobą powiązane. Dla przykładu, oprogramowanie ransomware było jednym z najbardziej znanych typów złośliwego oprogramowania dystrybuowanego przez botnet Gamarue/Andromeda. Innym przykładem jest to, że cyberprzestępcy wykorzystują legalne funkcje platformy, aby dołączyć “uzbrojony” dokument (na przykład dokument Microsoft Office) zawierający oprogramowanie ransomware w zakażonej wiadomości e-mail.
Jaka jest rekomendacja działania dla biznesu? Ważne są przede wszystkim standardowe praktyki w zakresie bezpieczeństwa informacji, takie jak utrzymywanie aktualnego oprogramowania i rozwiązań bezpieczeństwa. Jednocześnie rozprzestrzenianie się „tanich” metod ataków, takich jak mechanizmy inżynierii społecznej (technik służących osiągnięciu określonych celów dzięki manipulacji społecznością), przypomina o znaczeniu szkoleń w zakresie podnoszenia świadomości bezpieczeństwa dla pracowników, aby pełniej informować ich o najnowszych technikach wyłudzania informacji. W raporcie zostały zawarte bardziej szczegółowe zalecenia na ten temat.
Raport powstał we współpracy z zespołami badawczymi i inżynieryjnymi takich jednostek Microsoft, jak Windows Defender, Office, Azure, Bing oraz Digital Crimes Unit.