O ile ciężko jest jednoznacznie przewidzieć, w którym kierunku podążą cyberprzestępcy w 2022 roku, można śmiało szacować, że ataki na duże organizacje oraz te związane z wyłudzaniem okupów (ang. ransomware) będą rosły w siłę. Ponieważ warto uczyć się na błędach, eksperci Cisco przygotowali zestawienie wybranych, najważniejszych wydarzeń z 2021 roku, których analiza pozwoli lepiej przygotować się na to, co może nadejść w rozpoczynającym się 2022 r.
Świat dopiero staje na nogi po jednej z najgroźniejszych kampanii cyberprzestępców i jednym z największych ataków w sieci – SolarWinds. Ostatnie dwanaście miesięcy nie oszczędzało społeczności specjalistów odpowiadających za cyberbezpieczeństwo, przynosząc kolejne wyzwania i zagęszczając mapę zagrożeń. Eksperci ds. bezpieczeństwa w sieci mieli w tym czasie do czynienia niemal z każdym typem cyberincydentów – począwszy od odciętych od sieci rurociągów naftowych, przez podmioty związane z cyberterroryzmem finansowane przez rządy, po wyciek danych całej platformy do streamingu gier, Twitch.
Styczeń:
Chociaż atak na łańcuch dostaw SolarWinds został odnotowany po raz pierwszy w grudniu 2020 roku, jego skutki były odczuwalne jeszcze na początku 2021 r. Co więcej, wiele pytań związanych z tą kampanią nadal pozostaje bez odpowiedzi.
„Łowcy sami stali się zwierzyną”. Analitycy cyberbezpieczeństwa z całej branży zaczęli być celami cyberprzestępców sponsorowanych przez obce rządy. Kilku analityków Cisco Talos znalazło się wśród osób, do których kierowane były złośliwe linki i wiadomości w mediach społecznościowych z fałszywymi kontami mającymi na celu wyłudzenie informacji.
Luty:
Ekspertom Cisco Talos udało się porozmawiać z operatorem złośliwego oprogramowania typu ransomware Lockbit. Dzięki temu otrzymali cenny wgląd w krajobraz ransomware-as-a-service oraz zyskali rzadką relację z pierwszej ręki na temat tego, jak atakujący wybierają swoje cele.
Trend związany z bezplikowym złośliwym oprogramowaniem nasilił się wraz z pojawieniem się trojana Masslogger. Ten wariant miał na celu wykradanie danych uwierzytelniania.
Rok 2021 nie pozostawił żadnych złudzeń, cyberprzestępcy pracowali dla tych, którzy oferowali najwyższą cenę. Nie byli oni do końca wprost „sponsorowani” przez konkretne państwo atakując inne kraje, ale np. korzystali z ochrony (lub bierności) państwa, z terytorium którego działali. Pierwszą oznaką tego zjawiska była ewolucja działań grupy cyberprzestępców Gamaredon.
Marzec:
Kiedy eksperci i analitycy ds. cyberbezpieczeństwa analizowali jeszcze i rozkładali na czynniki pierwsze SolarWinds, na scenie pojawili się nowi gracze, określający się jako HAFNIUM, którzy wykorzystali kilka luk zero-day w Microsoft Exchange Server.
Najbardziej niebezpieczna okazała się jedna z luk ujawnionych w ramach tej kampanii, „ProxyLogon”. Atakujący mogli wykorzystać ją, aby docelowo przejąć całkowitą kontrolę nad serwerem.
Kwiecień:
Pomimo tego, że szczepionki przeciwko COVID-19 były już powszechnie dostępne, nadal nie oznaczało to powrotu do „regularnego” trybu pracy w biurach. Pracownicy wciąż używali różnych aplikacji do współpracy i komunikacji. Niestety atakujący przystosowali się równie szybko, przejmując zaufane serwery w celu rozprzestrzeniania złośliwego oprogramowania.
Maj:
Malware LemonDuck, zaobserwowany przez ekspertów Cisco Talos po raz pierwszy w 2020 roku, stał się bardziej zaawansowany. Złośliwe oprogramowanie zaczęło atakować podatne serwery Exchange z wyżej wymienionymi lukami, a atakujący dodali do swojego arsenału narzędzie Cobalt Strike, pierwotnie wykorzystywane do symulacji cyberataków i testów penetracyjnych, zmieniając je w złośliwego trojana.
Atakujący wykorzystujący ransomware DarkSide obrali sobie za cel Colonial Pipeline, największy rurociąg naftowy na wschodnim wybrzeżu USA. Wielu stanom groziło, że w ciągu kilku dni skończy się paliwo na stacjach benzynowych, a te, które nim dysponowały, momentalnie podniosły ceny. Stało się to sygnałem alarmowym dla infrastruktury krytycznej w USA.
Czerwiec:
Kilka tygodni po ataku na Colonial Pipeline, grupa DarkSide zawiesiła działalność, likwidując swój portal. Ostatecznie, zmienili nazwę, aby powrócić jako BlackMatter.
Firma JBS, zajmująca się masową dystrybucją mięsa na całym świecie, została zaatakowana przez oprogramowanie ransomware i ostatecznie musiała zapłacić 11 milionów dolarów okupu. Mimo że nie ucierpiał żaden poziom działalności operacyjnej przedsiębiorstwa, konsumenci w panice kupowali mięso w sklepach spożywczych w Stanach Zjednoczonych, obawiając się jego niedoboru.
Lipiec:
Był to kolejny miesiąc, kiedy atakujący zaczęli wykorzystywać zestaw błędów zero-days Microsoft, tym razem lukę w usłudze Print Spooler systemu Windows. Atak ten był znany pod określeniem „PrintNightmare”.
Obchodzony w Stanach Zjednoczony Dzień Niepodległości (4 lipca) w minionym roku nie był czasem wolnym dla specjalistów ds. cyberbezpieczeństwa. Musieli zmierzyć się z kolejnym atakiem na łańcuch dostaw. Tym razem cyberprzestępcy obrali za cel dostawcę usług zarządzanych Kaseya, aby zainfekować ofiary ransomware REvil.
Sierpień:
PrintNightmare znów o sobie przypomniał, tym razem jako exploit wykorzystywany przez grupę ransomware Vice Society. Zespołowi Cisco Talos Incident Response udało się wykryć wiele organizacji, które padły ofiarą ransomware’u w wyniku zastosowania tej techniki.
Wraz z rosnącą popularnością aplikacji do dzielenia się zasobami w Internecie, cyberprzestępcy znajdywali kolejne sposoby, aby wykorzystać je do ataków. Platformy typu „proxyware” pozwalają użytkownikom zarobić na dodatkowej przepustowości łącza, którą „wynajmują” innym. Jak wynika z badań Cisco, w niepowołanych rękach umożliwiają one wykorzystanie przepustowości sieci użytkowników bez ich wiedzy, działając w tle na zainfekowanym urządzeniu.
Wrzesień:
Atakujący podszywali się pod stronę Amnesty International, aby rozprzestrzeniać fałszywe antywirusy, które rzekomo usuwają oprogramowanie szpiegowskie Pegasus z urządzeń mobilnych. Zamiast tego, instalowało ono złośliwe oprogramowanie i wykradało informacje o ofiarach.
Telenowela, której głównym bohaterem jest ransomware-as-a-service rozpoczynała właśnie kolejny sezon, kiedy jeden z członków grupy cyberprzestępczej Conti (autorów oprogramowania ransomware o tej samej nazwie) ujawnił podręcznik jej działania. Dało to kilka wskazówek na temat sposobu funkcjonowania grupy.
Rosyjska grupa APT Turla dodała do swojego arsenału nowe oprogramowanie typu backdoor, które w zasadzie służy jako ostatnia deska ratunku, aby pozostać na maszynach ofiar.
Październik:
W krajobrazie zagrożeń pojawił się nowy program ładujący złośliwe oprogramowanie (ang. loader) o nazwie SQUIRRELWAFFLE.
Listopad:
Przy okazji kolejnej odsłony luk zero-day Microsoft ostrzegał o aktywnych atakach na Windows Installer, które mogły pozwolić cyberprzestępcom na podniesienie swoich uprawnień do poziomu administratora. W międzyczasie luki w serwerze Exchange nadal były celem ataku ransomware’u Babuk.
Amerykańskie organy ścigania aresztowały dwie osoby w związku z ich domniemanym udziałem w ataku na łańcuch dostaw firmy Kaseya w ramach działań grupy REvil. W związku z tym pojawiła się również informacja o nagrodzie w wysokości 10 milionów dolarów za wszelkie informacje prowadzące do aresztowania lidera REvil.
W Stanach Zjednoczonych podpisano ustawę infrastrukturalną o wartości 1 biliona dolarów, która umożliwiła m.in. dostęp do 2 miliardów dolarów finansowania inwestycji związanych z bezpieczeństwem cybernetycznym. Samorządy lokalne będą mogły ubiegać się o dotacje w 2022 r. w celu zwiększenia bezpieczeństwa infrastruktury krytycznej i szkoleń z zakresu cyberbezpieczeństwa.
Po zlikwidowaniu na początku 2021 r. trojana Emotet przez międzynarodowe organy ścigania, botnet znów wypłynął na powierzchnię i wykazuje oznaki życia.
Grudzień:
Eksperci Talos odkryli serię kampanii złośliwego oprogramowania autorstwa cyberprzestępcy o pseudonimie „Magnat”. Wykorzystuje on fałszywe rozszerzenie dla przeglądarki Google Chrome.
Luka Log4j rujnuje wszystkim sezon świąteczny, zmuszając zespoły cyberbezpieczeństwa do pracy w godzinach nadliczbowych, a programistów do ciągłego wprowadzania łatek.
Źródło: Cisco.