Hackerské gangy mění taktiku – cílem je způsobit více škod

11. 11. 2020. (redaktor: František Doupal, zdroj: Accenture)
Nová zpráva společnosti Accenture zaměřená na kybernetickou bezpečnost Cyber Threatscape Report 2020 poukazuje na to, že útočníci ke svým útokům stále častěji využívají open source nástroje a aktivně zneužívají útoků skrze e-mailové systémy.

Zpráva, kterou Accenture Security každoročně vydává, vychází z informací získaných z reálných projektů a z výzkumu v oblasti  kybernetické bezpečnosti. Zprává detailně zkoumá taktiky, techniky a postupy používané útočníky a na základě dostupných dat odhaduje, jak by se mohly kybernetické incidenty vyvíjet v následujícím roce. Zpráva navíc zahrnuje výzkumy od Context Information Security a Deja vu Security, které společnost Accenture získala v březnu 2020, respektive v červnu 2019. Tyto akvizice letos navázaly na několik dalších – včetně Symantec’s Cyber Security Services business a Revolutionary Security.

„Vzhledem k tomu, že covid-19 radikálně změnil způsob, jakým pracujeme a žijeme, zaznamenali jsme široké spektrum kybernetických útočníků, kteří mění svou taktiku, aby využili nových zranitelných míst,“ řekl Josh Ray, který vede sekci kybernetické obrany Accenture Security. „Organizace by měly očekávat, že kyberzločinci budou stále drzejší, protože potenciální příležitosti a výnosy z jejich činnosti nebývale rostou. V takové situaci je třeba znásobit používání správných kontrolních mechanismů a využívat spolehlivé informace o kybernetických hrozbách. Je třeba tyto složité a komplexní hrozby pochopit, aby bylo možné se účelně bránit.“

Sofistikovaní protivníci maskují identitu pomocí běžných nástrojů 

Po celý rok 2020 analytici Accenture CTI (Cyber Threat Intelligence) monitorovali podezřelé, různými státy sponzorované a organizované zločinecké skupiny, které využívaly kombinace běžných nástrojů i open source prostředků pro penetrační testování, a to jak k provádění kybernetických útoků, tak k zahlazení stop. Šlo například o využití „living off the land“ prostředků (nástrojů nebo funkcí, které již v cílovém prostředí existují), sdílené infrastruktury a veřejných exploitů.

Accenture kupříkladu sleduje aktivity íránské hackerské skupiny označované jako SOURFACE (také známé jako Chafer nebo Remix Kitten). Skupina je aktivní nejméně od roku 2014 a je proslulá svými kybernetickými útoky na ropný a plynárenský průmysl, komunikace, dopravu a další průmyslová odvětví v USA, Izraeli, Evropě, Saúdské Arábii, Austrálii a v dalších regionech. Analytici společnosti Accenture zaznamenali, že SOURFACE využívá legitimních funkcí systému Windows a volně dostupných nástrojů, jako je Mimikatz.

„Mimikatz je velmi populární a rozšířený nástroj v komunitě hackerů. Používá se ke krádeži přihlašovacích údajů uživatelů, které následně útočníci často využivájí k tzv. lateral movement. Cílem je jedy získat vyšší oprávnění (např. administrátorský účet), pohybovat se po síti a systémech společnosti s identitou standardního uživatele. Dle vydané zprávy je vysoce pravděpodobné, že zkušení útočníci, včetně státem sponzorovaných a organizovaných zločineckých skupin, budou i nadále kromě open source projektů využívat již zaběhlých nástrojů, jelikož se ukázalo, že jsou velmi efektivní z pohledu výkonu a nákladů,“ řekl Michal Merta, odborník na bezpečnost a ředitel Cyber Fusion Centra v Accenture ČR.

Nová taktika zaměřená na kontinuitu podnikání 

Zpráva popisuje, jak jedna notoricky známá skupina agresivně zacílila na systémy podporující Microsoft Exchange a Outlook Web Access. Tyto napadené systémy používá jako úkryt v prostředí oběti, který umožňuje utajení provozu, předávání příkazů, kompromitujících e-mailů, krádeže dat nebo jejich shromažďování pro špionážní činnost. Jde o skupinu z Ruska, kterou Accenture označuje jako BELUGASTURGEON (známá také jako Turla nebo Snake). Působí již více než 10 let a je spojena s řadou kybernetických útoků zaměřených na vládní agentury, firmy zabývající se výzkumem zahraniční politiky a think tanky z celého světa. 

Ransomware jako nový ziskový a škálovatelný obchodní model 

„Ransomware se v uplynulém roce stal lukrativním obchodním modelem. Kyberzločinci nejen požadují tzv. ransom za dešifrování dat, ale čím dál častěji vydírají společnosti zveřejněním odcizených dat, případně faktu, že provedený útok byl úspěšný. Dobré jméno společnosti je v dnešní době klíčem k úspěchu a kyberzločinci jsou si tohoto velmi dobře vědomi,“ doplnil Merta.

Skupiny Maze, Sodinokibi (také známí jako REvil) a DoppelPaymer jsou průkopníky této taktiky, která přináší větší zisky. Inspirují mnoho napodobitelů a nových „obchodníků“ s ransomwarem.  Začátkem tohoto roku se navíc objevil nechvalně známý ransomware LockBit, který si kromě zkopírované vydírací taktiky získal pozornost díky své vlastní šířící se funkci, která rychle infikuje další počítače v podnikové síti. Motivace LockBitu se zdají být také finanční. Analytici společnosti Accenture CTI pečlivě monitorovali kanály, které kyberzločinci využívají ke své komunikace (tzv. Dark Web fóra). Ukázalo se, že útočníci pravidelně inzerují vylepšení ransomwaru, sdílejí aktualizované balíčky malwaru a aktivně získávají nové členy, kterým slibují část peněz z výkupných. Úspěch těchto metod vydírání hack-and-leak, zejména proti větším organizacím, předznamenává pravděpodobné budoucí hackerské trendy v roce 2021.

Celá zpráva je k dispozici zde.

Podobné články

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více
Foto: Algotech

Tržby z prodeje bezpečnostních produktů vloni vzrostly o 15,6 %

8. 7. 2024. (redaktor: František Doupal, zdroj: IDC)
Celosvětové tržby za bezpečnostní produkty dosáhly v roce 2023 celkem 106,8 miliardy dolarů, což představuje nárůst o 15,6 % oproti roku 2022. Růst tržeb byl výrazný – podle IDC zaznamenalo dvouciferný meziroční nárůst všech šest sledovaných kategorií. Růst by měl navíc pokračovat přinejmenším do roku 2028. Čtěte více