Trudno uchwytne zagro?enia, powa?ne skutki
zagro?enia,
powa?ne
skutki
. . .
PE?EN RAPORT
W pierwszej po?owie 2019 r. r¨®?ne organizacje odnotowa?y szerokie spektrum typ¨®w atak¨®w oraz musia?y radzi? sobie z wieloma zagro?eniami, kt¨®rym uda?o si? wedrze? do ich system¨®w. Powszechne sta?o si? z?o?liwe oprogramowanie wykorzystuj?ce dost?pne w komputerach narz?dzia, kt¨®re s? uznawane za niegro?ne. Znane od dawna oprogramowanie ransomware zn¨®w skoncentrowa?o si? na okre?lonych celach. Phishing i inne odwieczne zagro?enia pojawi?y si? na nowych platformach. Ponadto liczba ujawnionych krytycznych luk w zabezpieczeniach budzi obawy i ka?e dok?adniej przyjrze? si? zagro?eniom czyhaj?cym na firmowe systemy.
Nasze p¨®?roczne podsumowanie dotycz?ce bezpiecze¨½stwa zawiera informacje o tych i innych zagro?eniach, kt¨®re rozpoznano w pierwszej po?owie 2019 r. Ponadto w raporcie zamie?cili?my wskaz¨®wki dla organizacji i u?ytkownik¨®w na temat tego, jak wybra? odpowiednie rozwi?zania i jakie strategie obrony przyj??.
. . .
Ransomware
Najwa?niejsze incydenty
W pierwszej po?owie 2019 r. cyberprzest?pcy staranniej wybierali cele atak¨®w z wykorzystaniem oprogramowania typu ransomware. Najcz??ciej wybierali korporacje mi?dzynarodowe, firmy, a nawet organizacje rz?dowe. Spos¨®b dzia?ania polega? na wysy?aniu do ±è°ù²¹³¦´Ç·É²Ô¾±°ì¨®·É phishingowych wiadomo?ci e-mail w celu wykorzystania luk w zabezpieczeniach, aby uzyska? dost?p do sieci, a nast?pnie j? eksplorowa?.
Na przyk?ad w marcu program ransomware LockerGoga uderzy? w norwesk? firm? produkcyjn?, wstrzymuj?c prac? w kilku fabrykach, czego skutkiem by?o ponad . Natomiast ameryka¨½skie miasto Baltimore w stanie Maryland w maju ponios?o 5,3 miliona USD koszt¨®w z powodu infekcji system¨®w przez oprogramowanie ransomware RobbinHood.
±·¾±±ð°ì³Ù¨®°ù±ð by?y sk?aniane do zap?aty okupu w nadziei na szybkie odzyskanie sprawno?ci system¨®w wykorzystywanych w s?u?bie publicznej. Ofiarami takich niepowi?zanych ze sob? atak¨®w z wykorzystaniem oprogramowania typu ransomware w ci?gu kilku tygodni pad?y trzy samorz?dy miejskie na Florydzie: ¡ª niezidentyfikowana odmiana oprogramowania ransomware ¡ª oraz i ¡ª powszechnie znany program ransomware Ryuk.
Riviera Beach
600 000 USD29 maja
Lake City
460 000 USD10 czerwca
Key Biscayne
Brak danych na temat okupu23 czerwca
Te zaawansowane ataki i wysokie kwoty okupu zbiegaj? si? z obserwowanym przez nas wzrostem ilo?ci wykrytego oprogramowania typu ransomware od drugiej po?owy 2018 r. do pierwszej po?owy 2019 r., chocia? liczba nowych rodzin oprogramowania ransomware spad?a.
Skomplikowane procedury
Ponadto zaobserwowali?my szereg szkodliwych procedur innych ni? szyfrowanie plik¨®w. ±·¾±±ð°ì³Ù¨®°ù±ð rodzaje oprogramowania typu ransomware, w tym przyk?ady przedstawione poni?ej, mia?y zaimplementowane specjalne funkcje zmniejszaj?ce szanse ofiary na odzyskanie plik¨®w i przywr¨®cenie sprawno?ci system¨®w.
- Ryuk¡ª Dociera w spamie
¡ª Mo?e uniemo?liwi? rozruch zainfekowanego systemu - LockerGoga¡ª Dociera poprzez wykradzione dane uwierzytelniaj?ce
¡ª Zmienia has?a do kont u?ytkownik¨®w w zainfekowanych systemach, uniemo?liwia ponowne uruchomienie zainfekowanych system¨®w - RobbinHood¡ª Dociera poprzez niezabezpieczone komputery zdalne lub trojany
¡ª Szyfruje ka?dy plik przy u?yciu niepowtarzalnego klucza - BitPaymer¡ª Dociera poprzez przej?te konta i wiadomo?ci e-mail zawieraj?ce Dridex
¡ª Wykorzystuje narz?dzie PsExec - MegaCortex¡ª Dociera poprzez przej?te kontrolery
¡ª Wy??cza niekt¨®re procesy - Nozelesn¡ª Dociera w spamie
¡ª To program pobieraj?cy trojan Nymaim. ?aduje oprogramowanie typu ransomware przy u?yciu technik bezplikowych.
Nasze dane wskazuj?, ?e w pierwszej po?owie roku aktywne by?y r¨®?ne rodziny oprogramowania ransomware. Jednak najcz??ciej wykrywan? rodzin? oprogramowania ransomware pozosta?a WannaCry. Liczba przypadk¨®w jej wykrycia znacznie przewy?sza liczby przypadk¨®w wykrycia pozosta?ych.
Miesi?czne por¨®wnanie przypadk¨®w wykrycia WannaCry w zestawieniu z wykryciami innych rodzin program¨®w typu ransomware traktowanymi ??cznie w pierwszej po?owie 2019 r.
. . .
Ataki z wykorzystaniem
obiekt¨®w dost?pnych w komputerze atakowanego
Zdarzenia bezplikowe
Por¨®wnanie p¨®?roczne zablokowanych zagro?e¨½ zwi?zanych ze zdarzeniami bezplikowymi
Zgodnie z naszymi przewidywaniami coraz wi?cej atak¨®w jest przeprowadzanych przy u?yciu narz?dzi dost?pnych w komputerach ofiar oraz z wykorzystaniem normalnych narz?dzi administracyjnych i narz?dzi do test¨®w penetracyjnych do ukrywania obecno?ci. Te tzw. zagro?enia bezplikowe s? trudniejsze do wykrycia ni? tradycyjne z?o?liwe oprogramowanie, poniewa? nie zapisuj? danych na dysku, zazwyczaj dzia?aj? w pami?ci systemowej, przebywaj? w rejestrze lub , takie jak PowerShell, PsExec czy Instrumentacja zarz?dzania Windows.
Oto kilka wa?nych zagro?e¨½ bezplikowych, kt¨®re wykryli?my:
Wszystkie te zagro?enia maj? jedn? cech? wsp¨®ln?: wykorzystuj? narz?dzie PowerShell. Cho? PowerShell jest bardzo praktycznym narz?dziem dla administrator¨®w, przy jego u?yciu cyberprzest?pcy uruchamiaj? kod bez konieczno?ci zapisania ani uruchomienia pliku w pami?ci lokalnej zainfekowanego systemu.
Z?o?liwe makra
Ilo?? atak¨®w przy u?yciu z?o?liwych makr odrobin? zmala?a w por¨®wnaniu z drug? po?ow? 2018 r. Wi?kszo?? wykrytych przez nas przypadk¨®w by?a zwi?zana z Powload, makrem przesy?anym g?¨®wnie w wiadomo?ciach spamie e-mail. Powload z biegiem lat przeszed? wiele zmian: urozmaici? spektrum dostarczanych rodzaj¨®w kodu, , a nawet u?ywa regionalnych marek i s?¨®w. Ponadto w spamie znale?li?my tak?e inne rodziny makr, kt¨®re dostarcza?y , i wykorzystywane do .
P¨®?roczne por¨®wnanie przypadk¨®w wykrycia z?o?liwych makr niezwi?zanych z Powload i zwi?zanych z Powload
Oprogramowanie wykorzystuj?ce luki
Nasze dane wskazuj? na nieznaczny wzrost liczby blokad dost?pu do serwis¨®w zawieraj?cych oprogramowanie wykorzystuj?ce luki w por¨®wnaniu z drug? po?ow? 2018 r., chocia? i tak liczba ta w pierwszej po?owie 2019 r. jest znacznie ni?sza od tej, jak? notowano w czasach, gdy programy tego typu by?y u szczytu popularno?ci. Oprogramowanie wykorzystuj?ce luki wykorzystuje ka?d? nadarzaj?c? si? okazj?, pos?uguje si? starymi, ale nadal skutecznymi metodami i r¨®?nymi rodzajami kodu, kt¨®re ca?y czas s? dostosowywane do konkretnych potrzeb.
P¨®?roczne por¨®wnanie przypadk¨®w zablokowania dost?pu do adres¨®w URL, pod kt¨®rymi przechowywane s? programy wykorzystuj?ce luki.
Najbardziej godnym uwagi programem wykorzystuj?cym luki wykrytym w pierwszej po?owie 2019 r. by? Greenflash Sundown wykorzystany w kampanii ShadowGate w ulepszonej wersji, kt¨®ra potrafi?a pos?ugiwa? si? narz?dziami dost?pnymi w komputerze ofiary, czyli zaktualizowan? wersj? loadera PowerShell w celu . Ostatnia wi?ksza aktywno?? ShadowGate zosta?a zanotowana w kwietniu 2018 r., kiedy przy u?yciu Greenflash Sundown rozprzestrzeni? .
. . .
Zagro?enia zwi?zane z wiadomo?ciami
Phishing
W pierwszej po?owie 2019 r. odnotowano zmniejszon? aktywno?? phishingow?. Nasze dane wskazuj? na 18% spadek liczby blokad dost?pu do witryn s?u??cych do phishingu wed?ug unikatowych adres¨®w IP klient¨®w. Za spadek ten mo?e odpowiada? kilka czynnik¨®w, w tym zwi?kszenie ?wiadomo?ci u?ytkownik¨®w na temat phishingu. Co ciekawe, w tym samym czasie odnotowali?my a? 76% wzrost liczby blokad dost?pu do adres¨®w URL s?u??cych do phishingu podszywaj?cych si? pod Microsoft Office 365, szczeg¨®lnie program Outlook.
Cyberprzest?pcy wykorzystuj?cy zaufanie ludzi do znanych marek i narz?dzi stosowali te? wieloplatformowe ataki socjotechniczne w ramach phishingu.
W systemie Android technikami phishingu wykorzystywano , aby wykrada? zdj?cia.
Jedna z kampanii phishingowych wykorzysta?a w celu kradzie?y danych uwierzytelniaj?cych u?ytkownik¨®w.
Przest?pcy stosuj?cy metod? phishingu wykorzystywali rozszerzenie przegl?darki o nazwie w celu podszywania si? pod strony logowania.
Metody przeprowadzania atak¨®w
Ataki z wykorzystaniem fa?szywych biznesowych wiadomo?ci e-mai (BEC) to prosta technika, kt¨®ra mo?e narazi? zaatakowan? firm? na powa?ne koszty. Podczas typowego ataku BEC oszust za pomoc? socjotechniki podszywa si? pod dyrektora firmy lub inn? wysoko postawion? osob? i podst?pem nak?ania pracownika do przelania pieni?dzy na swoje konto.
Ataki typu BEC s? stosowane od wielu lat i oszu?ci opracowali szereg nowych sposob¨®w na oszukanie ofiar. W efekcie celem atak¨®w sta?y si? tak?e . Odnotowano tak?e przypadki potwierdzaj?ce nasze przewidywania, ?e oszu?ci pos?uguj?cy si? metod? BEC wezm? na celownik ±è°ù²¹³¦´Ç·É²Ô¾±°ì¨®·É z ni?szych szczebli firmowej hierarchii.
Liczba przypadk¨®w wymusze¨½ zwi?zanych z intymnymi informacjami (sextortion) tak?e wzrasta?a. Z naszych obserwacji wynika, ?e ilo?? spamu zwi?zanego z wymuszeniami przy u?yciu informacji intymnych w pierwszej po?owie 2019 r. wzros?a ponad czterokrotnie w por¨®wnaniu z drug? po?owy 2018 r., co zgadza si? z naszymi przewidywaniami z zesz?ego roku. Nie jest to zaskakuj?ce w ?wietle faktu, ?e wymuszenia typu sextortion stanowi?y wi?kszo?? przest?pstw zwi?zanych z wy?udzaniem, jakie zg?oszono .
Ze wzgl?du na osobisty i delikatny charakter tego typu spraw ofiary s? bardziej sk?onne przysta? na ??dania przest?pc¨®w. W pewnym przypadku wykrytym w kwietniu przest?pcy pr¨®bowali wymusi? pieni?dze od u?ytkownik¨®w m¨®wi?cych po w?osku za pomoc? gr¨®?b ujawnienia kompromituj?cych film¨®w.
P¨®?roczne por¨®wnanie przypadk¨®w wykrycia wiadomo?ci e-mail zwi?zanych z wymuszeniami przy u?yciu intymnych informacji
. . .
Luki w oprogramowaniu
B??dy w sprz?cie
Ujawnienie luk na pocz?tku 2018 r. sta?o si? ?r¨®d?em wielu nowych problem¨®w zwi?zanych z ograniczaniem ryzyka i ?ataniem luk w zabezpieczeniach. W pierwszej po?owie 2019 r. odkryto wi?cej luk na poziomie sprz?towym.
W lutym badacze zademonstrowali, jak hakerzy mog? wykorzysta? enklawy maj?ce za zadanie chroni? dane i dost?p do nich w procesorach Intel Core i Xeon za pomoc? zestaw¨®w rozkaz¨®w Software Guard Extensions (SGX).
W maju badacze ujawnili kilka luk bezpiecze¨½stwa mikroarchitektury zwi?zanych z pr¨®bkowaniem danych w nowoczesnych procesorach firmy Intel. Skutki zademonstrowano za pomoc? atak¨®w typu ?side-channel¡± , i przy u?yciu metod podobnych do stosowanych w przypadku wykorzystywania luk Meltdown i Spectre. Za pomoc? tych technik hakerzy mog? wykona? kod lub wydoby? dane.
B??dy o wysokim stopniu oddzia?ywania
W pierwszej po?owie 2019 r. dominowa?y luki w zabezpieczeniach o wysokim stopniu ryzyka. Wi?kszo?? wad zg?oszonych przez nasz program oceniono jako wysoce ryzykowne, co dowodzi ich szerokiego zasi?gu.
107NISKIE
101?REDNIE
335WYSOKIE
40KRYTYCZNE
Poni?ej przedstawiono kilka wa?nych luk w zabezpieczeniach wykrytych w pierwszej po?owie 2019 r. oraz opis zagro?e¨½, jakie stanowi? dla firm:
CVE-2019-0708
Mo?e da? z?o?liwemu oprogramowaniu bardzo szerokie mo?liwo?ci rozprzestrzeniania
CVE-2019-1069
Przy jej u?yciu haker mo?e uzyska? dost?p do chronionych plik¨®w
CVE-2019-5736
Przy jej u?yciu haker mo?e zyska? pe?n? kontrol? nad hostem, na kt¨®rym dzia?a zainfekowany kontener
CVE-2019-1002101
Mo?e zmusi? u?ytkownika do pobrania z?o?liwych obraz¨®w kontener¨®w
CVE-2019-9580
Mo?e umo?liwi? nieautoryzowany dost?p do serwer¨®w
. . .
Ataki na IoT i IIoT
Botnet i wojny robak¨®w
Zgodnie z naszymi przewidywaniami, botnety i robaki walcz? o przej?cie kontroli nad wystawionymi na ataki urz?dzeniami pod??czonymi do internetu rzeczy (IoT). Konkurenci, kt¨®rzy dos?ownie d??? do zniszczenia rywali ¡ª w?r¨®d kt¨®rych znajduj? si? czy r¨®?ne warianty Mirai, jak , ¡ª post?puj? wed?ug nast?puj?cego schematu: skanowanie zainfekowanych urz?dze¨½ pod??czonych do internetu rzeczy w poszukiwaniu rywali, usuni?cie innego z?o?liwego oprogramowania oraz wprowadzenie w?asnego kodu.
Ataki wymierzone w kluczow? infrastruktur?
Przemys?owy internet rzeczy (IIoT) odmieni? spos¨®b dzia?ania obiekt¨®w przemys?owych i kluczowej infrastruktury, doprowadzaj?c do bezprecedensowego wzrostu efektywno?ci oraz zwi?kszaj?c mo?liwo?ci kontroli operacji przedsi?biorstwa. Jednak na styku technologii operacyjnych (OT) i technologii informacyjnych (IT) powsta?y nowe rodzaje zagro?e¨½ bezpiecze¨½stwa oraz rozszerzy?o si? pole ataku.
Z opublikowanej w marcu wynika, ?e 50% ankietowanych organizacji w ci?gu ostatnich dw¨®ch lat pad?o ofiar? ataku na kluczow? infrastruktur?. Wygl?da na to, ?e w 2019 r. cyberprzest?pcy prowadzili ocen? cel¨®w w IIoT. Grupa haker¨®w Xenotime, kt¨®rej przypisuje si? autorstwo szkodliwego oprogramowania Triton, znanego te? jako Trisis, zosta?a przy?apana na badaniu system¨®w kontroli przemys?owej sieci energetycznych w USA i regionie Azji i Pacyfiku. Jej z?o?liwe oprogramowanie poszukiwa?o zdalnych portali logowania obranych na cel przedsi?biorstw oraz tworzy?o list? luk bezpiecze¨½stwa w ich sieciach.
. . .
KRAJOBRAZ ZAGRO?E?
Liczba zablokowanych wiadomo?ci e-mail, plik¨®w i adres¨®w URL nieznacznie spad?a w drugim kwartale roku: Kwartalne por¨®wnanie blokad niebezpiecznych wiadomo?ci e-mail, plik¨®w i adres¨®w URL z zapytaniami dotycz?cymi reputacji poczty elektronicznej, plik¨®w i adres¨®w URL w pierwszej po?owie 2019 roku
Kwartalne por¨®wnanie z?o?liwych aplikacji dla systemu Android zablokowanych w pierwszej po?owie 2019 roku
Kwartalne por¨®wnanie zapyta¨½ o aplikacje dla systemu Android w pierwszej po?owie 2019 roku
Najcz??ciej spotykanym formatem pliku w za??cznikach do wiadomo?ci e-mail ze spamem by? PDF, kt¨®ry tylko nieznacznie wyprzedzi? pod tym wzgl?dem XLS: Dystrybucja typ¨®w plik¨®w znajdowanych w za??cznikach do wiadomo?ci e-mail ze spamem w pierwszej po?owie 2019 roku
Do po?owy 2019 r. zanotowano wiele trwa?ych i ukrytych zagro?e¨½ gotowych znajdowa? i wykorzystywa? luki bezpiecze¨½stwa w procesach, ludzkich zachowaniach i technologiach. Nie da si? w prosty spos¨®b okre?li?, co powinno si? sk?ada? na kompleksow? ochron?. Ka?da firma musi przyj?? wielowarstwow? strategi? uwzgl?dniaj?c? jej specyficzne s?abe strony. Nale?y chroni? bramy, sieci, serwery i punkty ko¨½cowe. Do walki z zaawansowanym technicznie z?o?liwym oprogramowaniem nale?y wykorzysta? wiedz? specjalist¨®w i technologie zabezpiecze¨½ u?atwiaj?ce wykrywanie i korelacj? zagro?e¨½, reagowanie w przypadku ich wykrycia oraz ich usuwanie.
Szczeg¨®?owy obraz najwa?niejszych zagro?e¨½ pierwszej po?owy 2019 roku i opis sposob¨®w obrony zawiera pe?na wersja naszego p¨®?rocznego podsumowania zatytu?owanego .
. . .
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
- Unveiling AI Agent Vulnerabilities Part I: Introduction to AI Agent Vulnerabilities
- The Ever-Evolving Threat of the Russian-Speaking Cybercriminal Underground
- From Registries to Private Networks: Threat Scenarios Putting Organizations in Jeopardy
- Trend 2025 Cyber Risk Report
- The Future of Social Engineering
Cellular IoT Vulnerabilities: Another Door to Cellular Networks
AI in the Crosshairs: Understanding and Detecting Attacks on AWS AI Services with Trend Vision One?
Trend 2025 Cyber Risk Report
CES 2025: A Comprehensive Look at AI Digital Assistants and Their Security Risks