W 2015 r. słowo „cyberbezpieczeństwo” stało się trendy. Chyba po raz pierwszy w historii o kwestiach dotyczących bezpieczeństwa Internetu oraz ochrony sieci wewnętrznych mówiło się wszędzie – nie tylko w życiu codziennym, ale również w wielu sektorach gospodarki: od finansów, produkcji i przemysłu, branży motoryzacyjnej i lotniczej po galanterię elektroniczną, służbę zdrowia, serwisy randkowe itd. Kwestie związane z cyberzagrożeniami i bezpieczeństwem IT odważnie weszły także do popkultury, o czym świadczyć może choćby serial „Mr. Robot”. Analizując w Kaspersky Lab ubiegły rok pod kątem cyberataków, wzięliśmy pod uwagę zarówno zagrożenia dla konsumentów jak i dla biznesu.
Autorem tekstu jest Piotr Kupczyk z firmy Kaspersky Lab Polska – http://www.kaspersky.pl/
Ubiegły rok to wzrost w niemal wszystkich obszarach związanych z cyberprzestępczością, jednak jeden trend wysuwa się zdecydowanie naprzód – coraz większa złożoność zagrożeń. Jest takie słowo, które bardzo dobrze oddaje całość działań cyberprzestępców w 2015 r. – nieuchwytność. Mieliśmy do czynienia z cyberprzestępcami, których trudno złapać, atakującymi stosującymi cyberszpiegostwo, których jeszcze trudniej zidentyfikować, a w kwestii prywatności cyberataki sprawiły, że ściany sypialń i biur na całym świecie stały się znacznie cieńsze.
Gdy w 2014 r. przygotowywaliśmy się do podsumowania roku, pokusiliśmy się wysnucie prognoz na 2015 r. Co się sprawdziło? Prawie wszystko: ewolucja technik szkodliwego oprogramowania, fuzja cyberprzestępczości i zaawansowanych, długotrwałych zagrożeń, nowe metody kradzieży danych, atakowanie pracowników wysokiego szczebla za pośrednictwem sieci hotelowych, precyzyjne ataki połączone z masową inwigilacją, wzbogacanie arsenału cyberprzestępców o ataki mobilne itd.
Nasi eksperci opublikowali w 2015 r. aż 14 ogólnodostępnych raportów dotyczących zaawansowanych i długotrwałych cyberataków ukierunkowanych. Stojące za nimi ugrupowania cyberprzestępcze „mówią” różnymi językami: w atakach można było odnaleźć ślady takich języków jak rosyjski, chiński, angielski, arabski, koreański oraz francuski. Ugrupowania te atakowały instytucje finansowe, organizacje rządowe, wojskowe oraz dyplomatyczne, firmy telekomunikacyjne oraz energetyczne, aktywistów i przywódców politycznych, media, firmy prywatne itp. Wszystkie ataki miały zasięg globalny.
Niepokojące jest to, że wystarczy wybrać na chybił trafił dowolny sektor gospodarki, a z dużym prawdopodobieństwem znajdziemy coś w mediach na temat incydentu lub problemu dotyczącego cyberbezpieczeństwa – nawet jeżeli zawęzimy wyszukiwanie tylko do 2015 r. To samo dotyczy niemal wszystkich aspektów życia codziennego.
Zagrożenia dla konsumentów – finanse i ransomware
Zacznijmy z wysokiego C – w 2015 r. po raz pierwszy w historii mobilne zagrożenia finansowe znalazły się wśród dziesięciu najpopularniejszych programów stworzonych w celu kradzieży pieniędzy. Oznacza to, że ataki tego typu dojrzewają, a cyberprzestępcy poczuli się pewnie w ekosystemie mobilnym.
Przykład? W 2015 r. w rankingu 10 najpopularniejszych rodzin szkodliwego oprogramowania finansowego pojawiły się dwie rodziny trojanów bankowości mobilnej – Faketoken i Marcher. Szkodniki z rodziny Marcher kradną dane dotyczące płatności z urządzeń z Androidem, a przedstawiciele rodziny Faketoken współdziałają z trojanami komputerowymi. Użytkownik jest podstępnie nakłaniany do zainstalowania na swoim smartfonie aplikacji, która w rzeczywistości jest trojanem przechwytującym jednorazowe kody potwierdzające transakcje bankowe.
Niestety, wzrost popularności mobilnych zagrożeń finansowych nie poszedł w parze ze spadkiem w zakresie „tradycyjnej” cyberprzestępczości finansowej: w 2015 r. rozwiązania Kaspersky Lab zablokowały na komputerach użytkowników łącznie niemal dwa miliony (1 966 324) prób uruchomienia szkodliwego oprogramowania potrafiącego kraść pieniądze za pośrednictwem bankowości online, co stanowi wzrost o 2,8% w stosunku do 2014 r. (1 910 520 prób infekcji).
Ransomware – zapłać, a może otrzymasz dostęp do swoich danych
Spieszę z wyjaśnieniem dla wszystkich, którzy nie słyszeli jeszcze o czymś takim jak ransomware, ewentualnie słyszeli, ale nie do końca wiedzą, na czym polega wspomniane zjawisko. Sprawa jest dość prosta – ransomware to szkodliwe oprogramowanie, które po infekcji komputera zaczyna szyfrować dane użytkownika lub w inny sposób uniemożliwia normalne korzystanie z systemu. Następnie ofiara widzi komunikat, że po zapłaceniu okupu dostęp do danych zostanie przywrócony. Stąd nazwa: ransom (ang. okup) + malware (ang. szkodliwe oprogramowanie) = ransomware. Czy faktycznie dostęp do danych zostanie przywrócony? Cóż, pamiętajmy, że mamy do czynienia z cyberprzestępcami – moralność i uczciwość to raczej nie są ich mocne strony…
Oczywiście ransomware to nie nowość, jednak w 2015 r. oprogramowanie tego typu zwiększyło swoją obecność na nowych platformach. Jeden na sześć (17%) ataków ransomware dotyczył urządzeń z systemem Android – zaledwie rok od pierwszego ataku tego typu na tę platformę. A patrząc ogólnie – czy ataków ransomware było więcej? Niestety tak. Dużo więcej. Łączna liczba użytkowników zaatakowanych przez to zagrożenie na wszystkich platformach zwiększyła się do około 180 000 – to o 48,3% więcej niż w 2014 r. Ponadto, w wielu przypadkach nowoczesne programy szyfrujące dane użytkowników posiadają wiele modułów i poza blokowaniem dostępu potrafią także np. kraść informacje ofiar.
Zagrożenia dla biznesu – można się przestraszyć…
Bez owijania w bawełnę, niech przemówią liczby: w 2015 r. znacznie ponad połowa (58%) komputerów firmowych była celem co najmniej jednej próby infekcji przy użyciu szkodliwego oprogramowania, co stanowi trzyprocentowy wzrost w stosunku do 2014 r. Jeden na trzy (29%) komputery firmowe był co najmniej jeden raz narażony na atak internetowy, a wykorzystywanie w atakach standardowych aplikacji biurowych było trzykrotnie częstsze niż w przypadku użytkowników domowych.
41% komputerów firmowych było celem zagrożeń lokalnych, których źródłem były np. zainfekowane pamięci USB lub inne nośniki wymienne. Wykryliśmy również siedmioprocentowy wzrost udziału szkodliwych programów wykorzystujących luki w zabezpieczeniach (tzw. exploitów) tworzonych z myślą Androidzie, co potwierdza rosnące zainteresowanie cyberprzestępców danymi przechowywanymi na urządzeniach mobilnych pracowników. Mimo że ataki tego typu są stosunkowo nowe, nie można powiedzieć, by były prymitywne – cyberprzestępcy odrobili pracę domową i zbadali wcześniej kontakty oraz dostawców atakowanych firm, a nawet prywatne zainteresowania i aktywność internetową poszczególnych pracowników. Wiedza ta została następnie wykorzystana do zidentyfikowania legalnych stron internetowych, które miały zostać zainfekowane i rozprzestrzeniać szkodliwe oprogramowanie. A jakby tego było mało, ataki te były wielokrotnie powtarzane, by zwiększyć prawdopodobieństwo sukcesu.
Gdzie jest najwięcej pieniędzy? W banku!
W 2015 r. cyberprzestępcy poświęcali wiele uwagi organizacjom oferującym usługi finansowe, takim jak banki, fundusze inwestycyjne oraz giełdy i kantory, w tym te obsługujące kryptowalutę. Wszystko to w myśl zasady – jak kraść, to tam, gdzie mają najwięcej pieniędzy. Przykładem takiego ataku był Carbanak, gdzie szkodliwe oprogramowanie przeniknęło do sieci banków, wyszukując krytyczne systemy, które pozwoliłoby cyberprzestępcom pobrać pieniądze. W jednym skutecznym ataku atakujący byli w stanie ukraść od 2,5 do 10 milionów dolarów.
Innym celem biznesowych cyberataków finansowych w 2015 r. były terminale obsługujące karty płatnicze (PoS – Point-Of-Sale), wykorzystywane przez detalistów oraz inne organizacje mające do czynienia z konsumentami – produkty Kaspersky Lab zablokowały ponad 11 500 prób włamania się do takich urządzeń. Nasi eksperci zidentyfikowali dziesięć rodzin szkodliwych programów stworzonych w celu kradzieży danych z terminali PoS, z czego siedem pojawiło się po raz pierwszy w 2015 r.
Szantażowanie firm – ransomware atakuje także biznes
W 2015 r. podwoiła się liczba ataków na biznes z wykorzystaniem szkodliwych programów ransomware – rozwiązania Kaspersky Lab wykryły takie zagrożenia na ponad 50 tysiącach komputerów firmowych. Gdy spróbujemy pomyśleć jak cyberprzestępca, nie jest to dziwne – okup otrzymany od organizacji może być znacznie wyższy niż od osób indywidualnych, a prawdopodobieństwo zapłacenia przez ofiarę także jest większe. Wiele organizacji po prostu nie jest w stanie funkcjonować, jeśli ich informacje, znajdujące się na kilku krytycznych komputerach lub serwerach, zostaną zaszyfrowane i będą niedostępne.
Liczba roku – 310 000 nowych szkodliwych programów codziennie, czyli cyberprzestępcy szukają oszczędności
W latach 2012-2013 nastąpił gwałtowny wzrost liczby nowych szkodliwego plików wykrywanych codziennie przez Kaspersky Lab – z 200 000 w 2012 r. do 315 000 w 2013 r. Następnie tempo to zaczęło spadać. W 2014 r. liczba ta wzrosła jedynie o 10 000 plików dziennie, natomiast w 2015 r. zmniejszyła się z 325 000 do 310 000. Zaczęliśmy się zastanawiać, co jest przyczyną spadku. I – jak w życiu – ponownie okazuje się, że gdy nie wiadomo o co chodzi, chodzi o pieniądze.
Uważamy, ze spadek ten wynika głównie z faktu, że tworzenie nowego szkodliwego oprogramowania jest drogie, a cyberprzestępcy zauważyli, że mogą uzyskać równie dobre wyniki, wykorzystując w swoich atakach nachalne reklamy, skradzione legalne certyfikaty i gotowy szkodliwy kod, który można kupić na podziemnych forach. Wygląda na to, że metoda ta sprawdza się – wyniki pokazują, że mimo cięcia kosztów w 2015 r. liczba użytkowników zaatakowanych przez cyberprzestępców zwiększyła się o 5%.
Podsumowując, można powiedzieć, że cyberprzestępczość utraciła aurę romantyczności – szkodliwe oprogramowanie jest tworzone, kupowane i odsprzedawane w zależności od chwilowych potrzeb. Cały rynek komercyjnych cyberzagrożeń ustabilizował się i ewoluuje w kierunku uproszczenia. Przypadki, w których obserwujemy nowy szkodliwy kod pokazujący niebywały kunszt programistów będą coraz rzadsze. Czy to oznacza, że będzie bezpieczniej? Niestety nie – liczby, które przytoczyłem wcześniej, mówią same za siebie, a uproszczenie ataków najprawdopodobniej pociągnie za sobą zwiększenie ich intensywności.