Aktywność oprogramowania ransomware w czerwcu 2021 r. była ponad dziesięć razy wyższa niż rok temu, wynika z danych dotyczących zagrożeń zebranych w I połowie 2021 r. przez analityków FortiGuard Labs i zaprezentowanych w raporcie Global Threat Landscape.
Incydenty z użyciem ransomware paraliżowały łańcuchy dostaw wielu przedsiębiorstw, szczególnie w branżach o krytycznym znaczeniu.Cyberprzestępcy najczęściej atakowali przedsiębiorstwa z sektora publicznego, branży telekomunikacyjnej, motoryzacyjnej, produkcyjnejoraz dostawców zarządzanych usług bezpieczeństwa (MSSP). Analitycy zwracają także uwagę na gwałtowne nasilenie aktywności botnetów. Odsetek firm, które wykryły je w swojej sieci, wzrósł z 35 proc. do 51 proc.
Dane zebrane w raporcie wskazują na znaczny wzrost liczby i poziomu wyrafinowania ataków skierowanych przeciwko osobom prywatnym, przedsiębiorstwom oraz krytycznej infrastrukturze. Na celowniku cyberprzestępców nadal znajduje się rosnąca liczba osób pracujących i uczących się zdalnie.
Część atakujących zmienia swoją strategię i odchodzi od inicjowania ataku poprzez wiadomości e-mail. Obecnie szczególne znaczenie ma dla nich zdobywanie danych zapewniających dostęp do sieci korporacyjnych i sprzedawanie ich, co przekłada się na rozwój modelu usługowego RaaS (Ransomware-as-a-Service).
W ubiegłym półroczu cyberprzestępcy najchętniej wykorzystywali techniki scareware oraz malvertising. Bazujące na nich ataki dotknęły ponad 25 proc. firm. W tym kontekście eksperci ds. cyberbezpieczeństwa zwracają uwagę zwłaszcza na rodzinę trojanów Cryxos, które na zainfekowanych lub złośliwych stronach wyświetlały oszukańcze powiadomienia. Chociaż duża część wykrytych przypadków jest prawdopodobnie połączona z innymi podobnymi kampaniami wykorzystującymi JavaScript, to uznaje się je za malvertising.
Gwałtowne nasilenie aktywności odnotowano też w przypadku botnetów. W ciągu pół roku odsetek podmiotów, które wykryły je w swojej sieci, wzrósł z 35 proc. do 51 proc. Związane jest to z wykorzystywaniem przez cyberprzestępców złośliwego kodu o nazwie TrickBot. Pierwotnie był to trojan bankowy, ale został rozwinięty do postaci wyrafinowanego zestawu narzędzi do przeprowadzania wieloetapowych ataków.
Najbardziej rozpowszechnionym botnetem był Mirai atakujący urządzenia Internetu rzeczy (IoT) używane przez osoby pracujące lub uczące się w domu. W 2020 r. wyprzedził botneta zdalnego dostępu Gh0st i utrzymuje pozycję lidera także w 2021 r. Gh0st natomiast stanowi nadal poważne zagrożenie – umożliwia on przejęcie pełnej kontroli nad zainfekowanym systemem, przechwytywanie na żywo obrazu z kamery internetowej i mikrofonu oraz pobieranie plików.
Chociaż cyberprzestępcy stają się coraz bardziej skuteczni, w 2021 r. walka z nimi przyniosła pewne sukcesy. W czerwcu twórca TrickBota został postawiony w stan oskarżenia pod wieloma zarzutami. Udało się również wyeliminować Emotet, jeden z najbardziej złośliwych programów w historii. Znaczącym krokiem było także podjęcie działań, które mają na celu przerwanie operacji związanych z należącym do kategorii ransomware oprogramowaniem Egregor, NetWalker i Cl0p.
Ponadto, duży rozgłos, który towarzyszył niektórym atakom, spowodował wycofanie się z działalności kilku operatorów ransomware. Dane FortiGuard Labs wykazały spowolnienie aktywności cyberprzestępców po wyłączeniu Emoteta. Ataki związane z wariantami TrickBot i Ryuk jeszcze się zdarzały, jednak ich skala była mniejsza.
Skrupulatna analiza danych dotyczących cyberzagrożeń pozwala na wyciągnięcie wniosków na temat tego, jak obecnie ewoluują techniki ataków. Z badań specyficznych funkcji wykrytego złośliwego oprogramowania przeprowadzonych przez FortiGuard Labs wynika, że przestępcy dążyli między innymi do eskalacji uprawnień, unikania mechanizmów ochronnych, przemieszczania się pobocznymi wobec wewnętrznych systemów ścieżkami oraz wykradania danych. Aż 55 proc. zaobserwowanych funkcji eskalacji uprawnień wykorzystało technikę przechwytywania wywołań systemowych (hooking), zaś w 40 proc. przypadków obecne były mechanizmy tzw. wstrzykiwania procesów.
