44% ataków ransomware celuje w przemysł

Opublikowany przez FortiGuard Labs raport dotyczący globalnego krajobrazu zagrożeń w drugiej połowie 2023 r. podkreśla potrzebę przestrzegania przez dostawców rozwiązań IT najlepszych praktyk w zakresie ujawniania ich podatności oraz poprawy procesów dotyczących higieny cyberbezpieczeństwa i zarządzania łatkami w przedsiębiorstwach.

Global Threat Landscape Report 2H 2023 to raport opracowany na zlecenie firmy Fortinet. Przedstawia on krajobraz aktywnych zagrożeń w okresie od lipca do grudnia 2023 r. i nakreśla związane z nimi trendy, w tym analizę czasu, po którym cyberprzestępcy wykorzystywali nowo zidentyfikowane podatności bezpieczeństwa oraz wzrost liczby ukierunkowanych ataków ransomware i wiper przeciwko branży przemysłowej i OT.

Poniżej kluczowe obserwacje z drugiej połowy 2023 r.

Ataki rozpoczynały się średnio 4,76 dni po publicznym ujawnieniu nowych exploitów – zespół FortiGuard Labs starał się ustalić, jak długi jest czas pomiędzy upublicznieniem informacji o podatności, a jej przestępczym wykorzystaniem. Sprawdzano także, czy podatności z wysokim współczynnikiem Exploit PRediction Scoring System (EPSS) są wykorzystywane szybciej oraz czy można przewidzieć średni czas do ich wykorzystania przy użyciu danych EPSS. Na podstawie tej analizy zaobserwowano, że w drugiej połowie 2023 r. atakujący zwiększyli szybkość, z jaką wykorzystywali nowe informacje o lukach w zabezpieczeniach (o 43 proc. szybciej niż w pierwszej połowie 2023 r.). Rzuca to światło na potrzebę podjęcia przez producentów rozwiązań IT wewnętrznych działań mających na celu wykrywanie podatności oraz opracowywanie poprawek przed wystąpieniem exploitów (łagodzenie przypadków luk dnia zerowego). Podkreśla to również, że dostawcy muszą proaktywnie i w przejrzysty sposób ujawniać klientom wykryte luki w zabezpieczeniach, aby zapewnić im informacje potrzebne do skutecznej ochrony ich zasobów, zanim do akcji zdążą wkroczyć cyberprzestępcy.

Niektóre ujawnione dawno temu podatności (N-Day) pozostają niezałatane przez ponad 15 lat – badania telemetryczne Fortinet wykazały, że 41 proc. przedsiębiorstw wykryło obecność exploitów w swoim środowisku IT na podstawie sygnatur starszych niż miesiąc, a prawie każda firma (98 proc.) wykryła luki N-Day, które istnieją od co najmniej pięciu lat. Równocześnie FortiGuard Labs nadal obserwuje cyberprzestępców wykorzystujących luki w zabezpieczeniach, które mają ponad 15 lat. Wzmacnia to potrzebę zachowania czujności w zakresie higieny bezpieczeństwa i ciągłego zachęcania przedsiębiorstw do szybkiego działania poprzez spójny program łatania i aktualizacji.

Mniej niż 9 proc. wszystkich znanych podatności urządzeń końcowych było celem ataków – w 2022 r. zespół FortiGuard Labs wprowadził pojęcie „czerwonej strefy”, które pomaga czytelnikom lepiej zrozumieć, jak bardzo prawdopodobne jest, że cyberprzestępcy wykorzystają określone luki w zabezpieczeniach. Aby zilustrować to zagadnienie, w ostatnich trzech edycjach dokumentu Global Threat Landscape Report przeanalizowano całkowitą liczbę podatności dotyczących urządzeń końcowych. W drugiej połowie 2023 r. badania wykazały, że tylko 0,7 proc. spośród wszystkich tego typu luk w zabezpieczeniach komputerów jest faktycznie atakowanych, więc ze względu na tak niski odsetek obszar ten nie musi być traktowany priorytetowo.

44 proc. wszystkich próbek kodu wykorzystywanego do ataków typu ransomware i wiper było ukierunkowanych na podmioty z branży przemysłowej – analiza danych ze wszystkich czujników Fortinet ujawniła spadek o 70 proc. (w porównaniu z pierwszą połową 2023 roku) ilości oprogramowania służącego do prowadzenia ataków ransomware. Obserwowane spowolnienie rozwoju tego typu kodu w ciągu ostatniego roku można najlepiej wyjaśnić odejściem atakujących od tradycyjnej strategii „spray and pray” (rozsiewaj i módl się, aby zadziałało) na rzecz podejścia ukierunkowanego głównie na podmioty z branży energetycznej, ochrony zdrowia, produkcyjne, transportowe, logistyczne oraz przemysł motoryzacyjny.

Botnety wykazały się niesamowitą odpornością, potrzebne było średnio 85 dni na zatrzymanie komunikacji z serwerami dowodzenia i kontroli (C2) po pierwszym wykryciu – podczas gdy ruch botów utrzymywał się na stałym poziomie, w porównaniu z pierwszą połową 2023 r., eksperci FortiGuard Labs nadal obserwowali botnety znane z ostatnich kilku lat, takie jak Gho0st, Mirai i ZeroAccess, ale w drugiej połowie 2023 r. pojawiły się trzy nowe, w tym: AndroxGh0st, Prometei i DarkGate.

Spośród 143 wymienionych przez MITRE grup prowadzących zaawansowane uporczywe ataki (APT) 38 było aktywnych w drugiej połowie 2023 r. – spośród nich najbardziej zaangażowaną działalność prowadziły Lazarus Group, Kimusky, APT28, APT29, Andariel i OilRig. Ze względu na ewoluujący i ukierunkowany charakter kampanii APT (a także ataków prowadzonych przez sponsorowane na szczeblu państwowym grupy cyberprzestępców) oraz krótki czas ich trwania, FortiGuard Labs wskazał na konieczność bieżącego śledzenia tego obszaru.

Komunikacja w ciemnej sieci

Dokument Global Threat Landscape Report 2H 2023 zawiera również ustalenia grupy FortiRecon, która daje wgląd w komunikację pomiędzy cyberprzestępcami na forach dark web, internetowych sklepach, kanałach platformy Telegram i innych źródłach. Oto niektóre z obserwacji:

• cyberprzestępcy najczęściej dyskutowali o atakach na przedsiębiorstwa z branży finansowej, a następnie na firmy świadczące usługi biznesowe i edukacyjne,

• ponad 3 000 przypadków naruszeń danych zostało udostępnionych na popularnych forach dark web,

• 221 podatności było aktywnie omawianych w darknecie, podczas gdy 237 na kanałach platformy Telegram,

• na sprzedaż wystawiono numery ponad 850 tys. kart płatniczych.

Odwrócenie fali w walce z cyberprzestępczością

Przy stale rosnącym możliwym do zaatakowania obszarze oraz niedoborze umiejętności w zakresie cyberbezpieczeństwa, dla firm trudniejsze niż kiedykolwiek stało się prawidłowe zarządzanie złożoną infrastrukturą, składającą się z różnorodnych rozwiązań. Wyzwaniem jest także nadążanie za olbrzymią liczbą alertów z wdrażanych punktowo produktów ochronnych, będących efektem stosowania przez atakujących różnorodnych taktyk, technik i procedur w celu stworzenia sytuacji zagrażającej ich ofiarom.

Odwrócenie fali cyberprzestępczości wymaga kultury współpracy, przejrzystości i odpowiedzialności na znacznie większą skalę, niż zapewniana tylko przez poszczególne przedsiębiorstwa w przestrzeni cyfrowego bezpieczeństwa. Każda firma ma swoje miejsce w łańcuchu przeciwdziałania cyberzagrożeniom.

Derek Manky, Chief Security Strategist and Global VP Threat Intelligence FortiGuard Labs, powiedział: „Prezentowany raport przedstawia szybkie tempo wykorzystywania przez cyberprzestępców świeżo ujawnionych luk w zabezpieczeniach. W tej sytuacji zarówno dostawcy cyfrowych rozwiązań, jak i ich klienci mają do odegrania pewną rolę. Producenci powinni prowadzić solidną kontrolę bezpieczeństwa na wszystkich etapach cyklu życia produktu oraz podjąć wysiłek zapewniania odpowiedzialnej, radykalnej przejrzystości w ujawnianiu podatności. Biorąc pod uwagę, że NIST informuje o obecności ponad 26 447 podatności w rozwiązaniach ponad 2 tys. dostawców w 2023 r., niezwykle ważne jest, aby również klienci utrzymywali ścisły reżim łatania luk w celu zmniejszenia ryzyka ich wykorzystania”.

Wojciecj Gryciuk