Jak przestępcy wyłudzają pieniądze w sieci

Przeczytaj także: Panda: złośliwe oprogramowanie 2008

VMware opublikowało raport dotyczący zagrożeń, bazujący na obserwacji milionów segmentów sieci od lipca 2020 do grudnia 2020. Pozwala on specjalistom ds. bezpieczeństwa lepiej zrozumieć zagrożenia. Z raportu wynika, że często celowano w duże organizacje i ich rozproszonych pracowników. Ponadto, nastąpił nawrót exploitów ukierunkowanych na słabo zabezpieczony sprzęt.

Pierwsza zasada: nie dać się wykryć

Pierwszym celem cyberprzestępców jest uniknięcie wykrycia. Według MITRE ATT&CK® najczęściej spotykaną taktyką jest przemyślane omijanie obrony, następnie realizowanie celów i eksploracja. Złoczyńcy są coraz zuchwalsi - np. częściej wykorzystują do ataku rzadkie lub nietypowe typy plików. Wszystko po to, by ograniczyć prawdopodobieństwo dekonspiracji przez i tak nieefektywne zabezpieczenia.

Istotne dla włamywacza jest przetrwanie w zaatakowanym środowisku poprzez tworzenie złośliwych artefaktów (np. skróty do nieistniejących plików, zmiany w rejestrze). Umożliwia to rozpoczęcie przechwytywania procesów systemowych i zasobów sieciowych, aby znaleźć się na jak najlepszej pozycji przed wysunięciem żądań.

Atak za pomocą e-maila żyje i ma się dobrze

Poczta elektroniczna jest nadal najpopularniejszym kanałem ataku wykorzystywanym w celu uzyskania pierwszego dostępu. Analiza wykazała, że ponad 4% wszystkich analizowanych e-maili skierowanych do przedsiębiorstw zawierało niebezpieczny składnik. Autorzy złośliwych wiadomości są sprytni i nieustannie opracowują nowe sposoby oszustw, choć większość cyberprzestępców dalej korzysta ze starych, sprawdzonych sposobów: to fałszywe załączniki, odsyłacze i nakłanianie do wykonania transakcji. Ponad połowa wszystkich przeanalizowanych niebezpiecznych plików została dostarczona za pośrednictwem archiwum ZIP.

Zabezpieczenia perymetryczne, takie jak oprogramowanie antywirusowe i antyphishingowe, nie są skuteczne w walce z zaawansowanymi zagrożeniami opartymi na poczcie elektronicznej, dlatego przewiduje się, że cyberprzestępcy nadal będą wykorzystywać ten kanał jako źródło ataku. Z analiz FBI wynika, że na przestrzeni ostatnich 5 lat aż 12-krotnie wzrosła liczba ataków wykorzystujących nasze skrzynki e-mail.

Wykorzystanie zdalnego pulpitu

Zdalne pulpity są niezbędnym elementem dla większości firm, jednocześnie często i one znajdują się również na celowniku. Co więcej, pandemia sprawiła, że znacznie wzrosła ich popularność. Ponad 75% zaobserwowanych przypadków horyzontalnego rozprzestrzeniania się w infrastrukturze zostało przeprowadzonych przy użyciu Remote Desktop Protocol - często z wykorzystaniem skradzionych danych uwierzytelniających. Na ogół ofiary są zachęcane do instalacji dodatkowego oprogramowania, które z czasem może rozprzestrzenić się na inne urządzenia w sieci.

Chociaż rozprzestrzenić można na kilka sposobów, to logowanie do urządzeń za pomocą Remote Desktop Protocol z wykorzystaniem wykradzionych (często metodą brute-force), niestety prostych, tekstowych haseł i aktywnych kont jest nadal najczęstszą techniką. Dlatego czasem lepszym rozwiązaniem jest zapewnienie dostępu pracownikom do wszystkich niezbędnych zasobów za pomocą usługi VPN (virtual private network).