Amint távmunkára váltott a világ az elmúlt évben, a kiberbűnözők azonnal emelték a tétet, hogy a felhasználók félelmeit, a vállalatvezetők aggodalmait kiszemelt áldozataik ellen fordítsák. De a világjárvány csupán egy a kockázatokat növelő tényezők közül, mert a technológia fejlődése, az újgenerációs platformok térhódítása is mindig újabb támadási felületeket nyit a lehetőségekre lesők előtt.
Minthogy a távmunka idén és a járvány után is velünk fog maradni, a mindinkább elosztottá váló szervezetek védelmével birkózó informatikai szakembereknek az egyre újabb irányokból érkező, fejlődő támadásokkal is számolniuk kell, hívta fel a figyelmet a Sophos éves fenyegetésjelentésében (2021 Threat Report), amely a cég kutatóinak, fenyegetésvadászainak, gyorsreagálású csapatának, valamint felhőbiztonsági és AI-szakértőinek tapasztalatait és trend-előrejelzéseit összegzi.
Bérprogram zsaroláshoz
Idén tovább nyílik az olló a zsarolóprogramokkal támadó bűnözők között a képességek és az erőforrások tekintetében. A szakma krémjének számító nagymenők tovább finomítják taktikáikat, technikáikat és módszereiket, hogy az államilag támogatott sötét szereplőkéhez hasonló kifinomultságot és megfoghatatlanságot érjenek el, és a szervezetektől dollármilliókat zsaroljanak ki olyan programcsaládok bevetésével, mint például a tavaly sokat emlegetett Ryuk és RagnarLocker.
Követeléseik átlagos összege egyébként gyors ütemben nő, a múlt év harmadik negyedében 21 százalékkal 233 ezer dollár fölé emelkedett, míg egy évvel korábban alig haladta meg a 84 ezer dollárt. A SophosLabs itt a Coveware adataira hivatkozik, és az áldozatoknak természetesen kriptopénzben kell fizetniük.
A spektrum másik végén a Sophos a kezdőszinten lévő támadótanoncok táborának további bővülését várja. A bűnözőinasok olyan bérelhető, és menüből könnyen kezelhető zsarolóprogramokat keresnek, mint a Dharma, amelyekkel kisebb, laposabb pénztárcájú áldozatok tömegére lőhetnek. A tetézett kényszerítés is egyre kedveltebb módszer a kiberalvilág ezen szegletében. A zsaroló ilyenkor az adatok titkosítása mellett bizalmas, érzékeny információkat is lop az áldozat gépéről, és közzétételükkel fenyegetőzik, hogy nyomatékosítsa követelését. A Sophos tavaly a Maze, a RagnarLocker, a Netwalker, a REvil és más programok esetében is észlelte ezt a gyakorlatot.
- Bonyolult és dinamikus a zsarolóprogramok üzleti modellje, mondta Chester Wisniewski, a Sophos vezető kutatója. - Egyrészt látjuk, hogy az egymással versengő támadók képességeikkel és célpontjaikkal is igyekeznek megkülönböztetni magukat, kitűnni a mezőnyből, másrészt tapasztaljuk, hogy a programcsaládok osztoznak a fajtájuk legjobbjaként bevált eszközökön, úgymond kartelleket alkotnak. A múlt évben mindkét trend egyszerre hatott. Míg egyes családok, mint például a Maze, annyira megszedhették magukat, hogy fiatalon visszavonultak, de legalábbis hosszú nyaralásra mentek, eszközeik és technikáik mégsem pihentek, mert új szereplők, ebben az esetben az Egregor mezében továbbra is pályán maradtak. A fenyegetéskörnyezet nem tűri a vákuumot, amint egy fenyegetés eltűnik, egy másik hamar a helyébe lép.
Fokozott figyelmet követelnek azonban a biztonsági csapatoktól az olyan szokványos fenyegetések is, mint a loaderek és a botnetek, vagy az emberi irányítással működő Initial Access Brokerek. Mérsékelten veszélyesnek tűnhetnek, ám arra tervezték őket, hogy megvessék lábukat a célpont hálózatában, alapvető fontosságú adatokat gyűjtsenek, és megosszák az információkat a vezérlő hálózatukkal, mely azután további utasításokat ad nekik. Ha emberek állnak operátorként az ilyen típusú fenyegetések mögött, minden kompromittált gépet ellenőriznek a földrajzi elhelyezkedésük és más, értékesebb zsákmánnyal kecsegtető jelek alapján, majd a hozzáférést a legjövedelmezőbb célpontokhoz eladják a legmagasabb ajánlatot tévő licitálónak, mondjuk, egy jelentős zsarolóvírus-művelet üzemeltetőinek. Tavaly a Ryuk például a Buer Loadert használta a zsarolóprogram célba juttatásához.
Kiberkórokozók és a digitális járványtan
Legitim eszközökkel, jól ismert segédprogramokkal és weboldalakkal élnek vissza mind gyakrabban a támadók, hogy elkerüljék a lebukást és a biztonsági intézkedéseket, illetve megakadályozzák az elemzéseket, a helyszínelést és az azonosítást. A legitim eszközök álcájában a támadók a radar alatt repülhetnek, miközben az áldozat hálózatán belül mozognak, és előkészítik a támadás fő részének elindítását, ami lehet egy zsarolóprogram aktiválása. A Robinhood zsarolóprogrammal dolgozó támadók például először a hardvergyártó Gigabyte által aláírt, egyébként ártalmatlan meghajtóprogramot telepítették a célba vett gépekre, hogy a szoftver sérülékenységét ugródeszkaként használják. Az államilag szponzorált támadóknak pedig különösen előnyös, hogy a legitim eszközök használata megnehezíti az azonosítást, így hiába derül fény a nemzetközi botránnyal fenyegető akcióra, attól a gyanúba kevert szereplő egyszerűen elhatárolódhat.
- A hétköznapi eszközökkel és technikákkal elkövetett visszaélések próbára teszik a kibervédelem bevett módszereit, mivel az álruhás támadók megjelenése a vállalati hálózaton nem feltétlenül éri el a behatolásészlelés ingerküszöbét, elmarad az automatikus riasztás, mondta Chester Wisniewski. - Az ember vezetésével zajló fenyegetésvadászat és menedzselt válaszadás gyorsan fejlődő területe éppen ezért ilyen támadások tetten érésében csillogtatja meg képességeit igazán. A biztonsági szakemberek figyelmét ugyanis nem kerülik el az olyan finom rendellenességek sem, mint például egy legitim eszköz váratlan használata szokatlan időpontban vagy helyen. A végponti észlelő és válaszadó (endpoint detection and response, EDR-) eszközökkel felvértezett, képzett fenyegetésvadászok vagy IT-vezetők az ilyen árulkodó jelek láttán gyanút fognak, és behatoló megjelenésére vagy folyamatban levő támadás kibontakozására következtetve riasztják a biztonsági csapatokat.
Komoly biztonsági kockázatokkal találták magukat szembe a múlt évben távmunkára és online működésre váltó vállalatok, mivel informatikai környezetük védelemre szoruló határvonala hirtelen otthoni hálózatok ezreire terjedt ki, amelyek biztonságuk hullámzó színvonala miatt növelték a támadási felületet. A nyilvános felhőben elérhető szolgáltatások a biztonságos környezetet kereső vállalatok legtöbb igényét ugyan a tapasztalatok szerint is jól kiszolgálják, azonban különböznek a hagyományos vállalati hálózatoktól, sajátos kihívások és feladatok elé állítják az IT-csapatokat, amelyekkel a szervezeteknek számolniuk kell.
Bár a járványhelyzetben a kiberbűnözők először jó fejnek mutatták magukat, és megígérték, hogy a koronavírus elleni küzdelem frontvonalában dolgozó, életeket mentő egészségügyi intézményeket nem fogják támadni, sajnos bebizonyosodott, hogy ez csupán üres PR-akció volt a részükről.
Szavukkal ellentétben az alvilági szereplők inkább fokozták tevékenységüket, nyitottak például a szolgáltatásalapú gazdaság irányába, és Crimeware-as-a-Service modellben is kínálni kezdték eszközeiket, amelyekhez így a pénzügyi és technológiai erőforrásaikat tekintve kevésbé eleresztett, kisebb vagy kezdő bűnözők is könnyebben hozzáférhetnek.
A modellváltás jól sikerülhetett a kiberalvilágban, mert a SophosLabs adatai szerint tavaly márciusban a járvány első hullámában bevezetett korlátozások idején világszinten 0,58 százalékról 2,68 százalékra szökött fel a Covid-19-et vagy koronavírust említő levélszemét aránya, mindössze két hét leforgása alatt.
Megdöbbenésének hangot adva Joshua Saxe, a Sophos vezető tudósa tavaly márciusban felhívást tett közzé a Twitteren, amelyre válaszolva több mint négyezer IT-biztonsági szakember összefogott, és egy Slack csatornán még aznap létrehozta a Covid-19 Cyber Threat Coalition (CCTC) gyorsreagálású erőt, amely a világjárványt kihasználó manipulációval száll szembe. A közösség jó úton halad afelé, hogy a Cyber Threat Alliance égisze alatt non-profit státust kapjon.
Nem a kiberbűnözők az egyedüliek, akik az idők szavát hallva új platformok felé fordulnak. A Sophos jelentésében kitér arra is, hogy az adatkutatók például a biológiai vírusokkal foglalkozó epidemiológia módszereit alkalmazzák a levélszemét és a benne elrejtett kártékony szoftverek tanulmányozásában, hogy ezzel is segítsék észlelésüket és ártalmatlanításukat.
Cikkünk a Computerworld magazin 2021. február 10-ei lapszámában (LII. évfolyam 3. szám) jelent meg.