Provozovatelé botnetů mj. integrovali exploity zranitelností Log4j do svých útočných arzenálů. Byla také pozorována aktivita botnetů spojená s novou variantou malwaru RedXOR, který se zaměřuje na linuxové systémy.
Společnost Fortinet představila svou nejnovější pololetní zprávu o bezpečnostní situaci FortiGuard Labs Global Threat Landscape Report. Informace o hrozbách z druhé poloviny roku 2021 odhalují nárůst automatizace a rychlosti útoků, což ukazuje na pokročilejší strategie perzistentní kybernetické kriminality. Kyberzločinci se navíc začali větší měrou zaměřovat na zneužívání prostoru, který v bezpečnostním prostředí vznikl v souvislosti s hybridním modelem práce a hybridním IT.
Hlavní zjištění studie za 2. pololetí 2021
Log4j ukazuje závratnou rychlost zneužívání zranitelností, s níž musí podniky počítat: Zranitelnosti Log4j, které se objevily koncem roku 2021, ukazují rychle rostoucí tempo, s jakým se kyberzločinci snaží zneužít bezpečnostní nedostatky ke svému prospěchu. Ačkoli k tomu došlo až ve druhém prosincovém týdnu, aktivity zaměřené na zneužití těchto zranitelností narostly tak rychle, že se za méně než měsíc staly nejčastěji detekovaným pokusem o průnik za celé druhé pololetí roku 2021. Mimoto byl u zranitelností Log4j zaznamenán padesátinásobný objem aktivity ve srovnání s dobře známou epidemií ProxyLogon, ke které došlo dříve během téhož roku. Realita je taková, že vzhledem k rychlosti, jakou útočníci postupují ve snaze maximalizovat zisk z nových příležitostí, mají dnes podniky velmi málo času na reakci nebo opravu zranitelností. Potřebují tedy systémy prevence průniku (IPS) založené na umělé inteligenci a strojovém učení, aktivní strategie správy záplat a kvalitní informace o hrozbách, aby se mohly přednostně zabývat těmi, které se v kyberprostoru šíří nejrychleji, a snižovat tak celkové riziko.
Protivníci rychle přechází na nové směry útoku: Některé menší nebo méně nápadné hrozby mají potenciál způsobit v budoucnu větší problémy a vyplatí se je sledovat. Příkladem je nově vytvořený malware určený k napadání linuxových systémů, často v podobě spustitelných souborů ve formátu ELF. Na Linuxu běží back-endové systémy mnoha sítí a kontejnerová řešení pro IoT zařízení a kritické aplikace, takže se tento operační systém stává stále oblíbenějším cílem útočníků. Ve skutečnosti se výskyt nových signatur linuxového malwaru ve 4. čtvrtletí oproti 1. čtvrtletí 2021 zečtyřnásobil, přičemž na Linux útočily například ELF varianty malwaru Muhstik, RedXOR a dokonce Log4j. Počet případů detekce ELF a dalšího linuxového malwaru se v průběhu roku 2021 zdvojnásobil. Tento nárůst počtu variant i objemu naznačuje, že se linuxový malware stává stále běžnější součástí arzenálu útočníků. Linux je nutné zabezpečit, monitorovat a spravovat jako jakýkoli jiný koncový bod v síti pomocí pokročilých a automatizovaných nástrojů na ochranu, detekci a reakci. Vedle toho by měla být prioritou bezpečnostní hygiena, aby byla zajištěna aktivní ochrana systémů vystavených nízkoúrovňovým hrozbám.
Trendy v oblasti botnetů ukazují vývoj sofistikovanějších útočných metod: Trendy vývoje hrozeb ukazují, že kyberzločinci zdokonalují botnety novějšími a pokročilejšími útočnými technikami. Botnety již nejsou primárně monolitické a zaměřené převážně na útoky typu DDoS, ale jedná se o víceúčelové útočné prostředky využívající celou řadu sofistikovanějších technik, včetně ransomwaru. Útočníci, včetně provozovatelů botnetů, jako je Mirai, například integrovali exploity zranitelností Log4j do svých útočných arzenálů. Byla také pozorována aktivita botnetů spojená s novou variantou malwaru RedXOR, který se zaměřuje na linuxové systémy a vyvádí z nich data. Počátkem října také výrazně vzrostl počet detekcí botnetů šířících variantu malwaru RedLine Stealer, kdy byly nové cíle nacházeny pomocí souboru s tématem onemocnění COVID. K ochraně sítí a aplikací je nutné zavádět řešení pro přístup na principu nulové důvěry, které poskytuje nejmenší nutná přístupová oprávnění, zejména k zabezpečení koncových bodů IoT a zařízení přistupujících do sítě zvnějšku, a také bezpečnostní řešení se schopností automatické detekce a reakce pro sledování anomálního chování.
Trendy šíření malwaru ukazují, že se počítačoví zločinci snaží maximálně využít práci a výuku na dálku: Na základě vyhodnocení výskytu různých variant malwaru podle regionů je patrný trvalý zájem kyberzločinců o maximální využití práce a výuky na dálku k útokům. Převládaly zejména různé formy malwaru založeného na prohlížeči. Ten má často podobu phishingových návnad nebo skriptů, které do stránky vkládají svůj kód nebo přesměrovávají uživatele na škodlivé stránky. Konkrétní detekovaný malware se v různých částech světa liší, ale do značné míry jej lze rozčlenit do tří širších kategorií podle distribučního mechanismu: Spustitelné soubory Microsoft Office, soubory PDF a skripty ve webovém prohlížeči. Tyto techniky zůstávají mezi kyberzločinci oblíbené jako způsob, jak zneužít touhu lidí po nejnovějších informacích o pandemii, politice, sportu nebo jiných událostech, a nalézt tak cestu do podnikových sítí. Vzhledem k tomu, že hybridní práce a učení zůstávají realitou, mezi malwarem a potenciálními oběťmi se nachází méně vrstev ochrany. Podniky musí zabezpečení pojmout tak, aby vyhovoval konceptu „práce odkudkoli“, to znamená bylo schopné sledovat, umožňovat práci a chránit uživatele bez ohledu na to, kde se nacházejí. Zapotřebí je pokročilé zabezpečení koncových bodů (EDR) v kombinaci s řešeními pro přístupu založenými na principu nulové důvěry, včetně ZTNA. Bezpečná SD-WAN je také zásadní z hlediska zajištění bezpečné konektivity WAN v rámci rozšířené sítě.
Ransomware stále vykazuje vysokou aktivitu a stoupající destruktivní účinky: Data FortiGuard Labs ukazují, že ransomware za uplynulý rok neustoupil z rekordních úrovní. Navíc vzrůstá jeho sofistikovanost, agresivita a závažnost jeho dopadů. Útočníci nadále napadají své cíle řadou nových i již dříve zaznamenaných typů ransomwaru, mnohdy vysoce destruktivních. Aktivně aktualizují a zdokonalují starý ransomware a v některých případech jej doplňují o funkci mazání dat, případně upravují do podoby služby. RaaS umožňuje většímu počtu útočníků malware využívat a distribuovat, aniž by jej museli sami vytvářet. FortiGuard Labs zaznamenaly konzistentní úroveň škodlivé aktivity ze strany několik druhů ransomwaru, včetně nových verzí Phobos, Yanluowang a BlackMatter. Provozovatelé BlackMatter tvrdili, že nebudou útočit na zdravotnická zařízení a jinou kritickou infrastrukturu, ale přesto tak učinili. Ransomwarovým útokům nadále čelí všechny subjekty bez ohledu na odvětví nebo velikost. Musí proto zaujmout aktivní přístup a zavést prostředky, které zajistí přehled analýzu, ochranu a nápravu v reálném čase, ve spojení s řešeními pro přístup na principu nulové důvěry, segmentací a pravidelným zálohováním dat.
Lepší porozumění technikám útoku může pomoci zastavit kyberzločince rychleji: Analýza cílů útoku je důležitá kvůli sladění obrany s rychlostí obměny útočných technik. Experti FortiGuard Labs analyzovali funkcionalitu a zkoumali dopady detekovaného malwaru spuštěním vzorků různých útoků shromážděných v průběhu roku. Výsledkem byl seznam jednotlivých taktik, technik a postupů (TTP), které by malware provedl, kdyby došlo k jeho aktivaci. Tyto detailní informace ukazují, že zastavit protivníka co nejdříve je důležitější než kdy jindy, a že zaměřením na několik těchto identifikovaných technik je možné v některých situacích účinně překazit postup malwaru. Například tři nejčastější techniky „realizace“ samotného útoku představují 82 % aktivity. Dvě nejčastější techniky pro usídlení v systémech představují téměř 95 % pozorované funkčnosti. Využití této analýzy může zásadním způsobem ovlivnit stanovení priorit v bezpečnostních strategiích za účelem dosažení maximálně účinné obrany.
Studie Global Threat Landscape Report FortiGuard Labs vychází ze souboru informací o miliardách bezpečnostních událostí, které po celém světě zaznamenalo velké množství senzorů společnosti Fortinet v druhé polovině roku 2021.