NTT hlásí až 300% nárůst cílených útoků na průmysl. Které další trendy dominují IT bezpečnosti?
Společnost NTT, přední globální poskytovatel technologických služeb, zveřejnila svoji nejnovější zprávu - Global Threat Intelligence Report (GTIR) pro rok 2021. Ta odhaluje, jak hackeři zneužívají výhody globální destabilizace a zaměřují se na základní průmyslová odvětví a běžné zranitelnosti v souvislosti s přechodem na vzdálený přístup k zaměstnání.
Ve zdravotnictví, výrobě a finančních službách došlo k nárůstu útoků o 200, 300 a 53 %. Těmto třem odvětvím patřilo v roce 2020 celkem 62 % útoků, což je o 11 % více než v roce 2019.
V souvislosti s rozšiřováním virtuálního vzdáleného přístupu prostřednictvím klientských portálů došlo k výraznému nárůstu útoků na konkrétní webové aplikace. Tyto útoky představují dvě třetiny (67 %) celkového počtu, což odpovídá více než 100% nárůstu za poslední dva roky. Největší podíl útoků tohoto typu mířil do zdravotnictví, přičemž bezpečnostní incidenty související s webovými i dalšími druhy aplikací představovaly v případě zdravotnictví celých 97 %. Nárůst v tomto odvětví souvisí také s častějším poskytováním vzdálené péče.
Zpráva GTIR poskytuje poznatky vycházející z informací služby NTT Cybersecurity Advisory, která sestavuje index hodnotící stav bezpečnostních opatření pro jednotlivá odvětví. Vyšší hodnota odpovídá dokonalejší bezpečnostní strategii. Je znepokojivé, že relativně nízká hodnota tohoto indexu – pouze 1,02 a 1,21 – patří právě zdravotnictví a výrobě. Oproti hodnotám z roku 2019 (1,12 a 1,32) jde o významný pokles. V případě výroby jde o pokles již třetí rok v řadě, velmi pravděpodobně kvůli změnám v provozních prostředích a zdokonalování útoků. Na druhou stranu, sektor finančních služeb vykazuje již třetí rok po sobě nejvyšší hodnotu indexu – 1,84.
Těžba kryptoměn je na prudkém vzestupu, trojské koně jsou běžnější
Malware je sice co do rozsahu svých vlastností a funkcí běžnou hrozbou, nicméně loňský rok byl ve znamení růstu multifunkčního malwaru. Nejběžnějším typem již není spyware, ale malware pro těžení kybernetických měn. Díky popularizaci kybernetických měn mezi studenty byl v oblasti školství nejvíce zastoupený malware pro těžení – studenti zneužívali nechráněnou infrastrukturu. Malware pro těžení představoval v roce 2020 neuvěřitelných 41 %. Nejčastější variantou byl s takřka 82 % XMRig, v regionu EMEA dosáhl podílu téměř 99 %.
Stále také dochází k vývoji různorodých variant cílících na konkrétní průmyslová odvětví. Zatímco červy se nejčastěji objevovaly ve finančním a výrobním sektoru, zdravotnictví se nejvíce potýkalo s trojskými koni v oblasti vzdáleného přístupu a ransomware cílil především na technologický průmysl.
Další zjištění zprávy GTIR pro rok 2021:
- Útoky cílené na výrobu vzrostly během jediného roku ze 7 na 22 %. V případě zdravotní péče jde o nárůst ze 7 na 17 % a v oblasti finančních služeb z 15 na 23 %.
- Organizace napříč průmyslovými odvětvími zaznamenaly útoky spojené s vývojem vakcíny na COVID-19 a s ním souvisejícími dodavatelskými řetězci.
- COVID-19 povzbudil aktivity skupin kybernetických zločinců – v roce 2020 byly aktivní zejména Ozie Team, Agent Tesla a TA505. Stranou nezůstaly ani státní skupiny jako Vicious Panda, Mustang Panda a Cozy Bear.
- V roce 2020 byly nejčastějšími formami malwaru varianty těžící kybernetické měny (41 %), trojské koně (26 %), červy (10 %) a ransomware (6 %).
- Těžení kybernetických měn dominovalo v Evropě, na Středním východě a v Africe (EMEA) i v Americe. V Asii a Tichomoří (APAC) šlo nicméně o relativně vzácný typ útoků.
- V Americe bylo nejčastěji zneužívanou technologií OpenSSL, ale v Asii a Tichomoří se tato technologie nedostala ani do TOP 10.
- Soudní rozhodnutí Schrems II oslabilo právní základ pro výměnu osobních dat mezi Evropskou unií a Spojenými státy americkými a uložilo další povinnosti organizacím předávajícím osobní údaje do třetích zemí.
- Výzkum společnosti NTT ukazuje, že polovina organizací na celém světě upřednostňuje zabezpečení svých cloudových služeb – tato problematika se tak během následujících 18 měsíců stane klíčovou bezpečnostní oblastí.
Kyberbezpečnost v České republice
Česká republika je tradičně průmyslovou zemí, kde přibližně 40 % národního hospodářství tvoří právě průmysl. Rostoucí počet útoků na toto odvětví je tak pro ČR jako jednu z nejvíce průmyslově orientovaných zemí Evropy obzvláště bolestivý. Bohužel ruku v ruce s tím souvisí fakt, že průmyslové podniky mají zabezpečení na velmi nízké úrovni. Kromě špatného zabezpečení je průmysl pro hackery lákavý ještě ze dvou důvodů: Za prvé jsou tyto firmy provázané s dalšími dodavateli a odběrateli v dodavatelském řetězci, ve kterém společnosti sdílí mnoho informací a útočník tak může zaútočit na více subjektů najednou. Druhým důvodem je, že tyto firmy mají větší ochotu platit kyberzločincům výkupné. „Každá hodina zastavení provozu představuje pro výrobní podnik obrovské ztráty. Při nutnosti rychle řešit nastalou situaci se často rozhodnou útočníkům zaplatit. Což ne vždy znamená, že svá data získají zpět,“ řekl Petr Zemánek, Senior GTM Practise Solutions Specialist, Security NTT Czech Republic. „České výrobní podniky se bohužel často řídí heslem ‚co funguje, na to se nesahá‘. Tato strategie ovšem není příliš šťastná vzhledem k hackerským útokům, které jsou rok od roku sofistikovanější,“ dodal Petr Zemánek.
Útoky na české nemocnice i školy
Dalším odvětvím, které je z pochopitelných důvodů ochotné platit výkupné, je zdravotnictví. Zatímco v oblasti výroby jde „pouze“ o finanční ztrátu, v případě útoku na nemocnice se hraje o lidské životy. Bohužel kyberzločinci se ani v České republice neštítili zneužít složité situace kolem pandemie a v loňském roce zaznamenalo prolomení bezpečnosti hned několik nemocnic, například Fakultní nemocnice v Brně nebo Nemocnice Rudolfa a Stefanie v Benešově.
Nemoc Covid využívali hackeři i k útokům pomocí sociálního inženýrství. Šířili e-maily s tematikou Covidu, které byly pro adresáty v době hladu po informacích zvláště lákavé. Nešlo přitom o e-maily psané lámanou češtinou, jak bylo zvykem v dřívějších letech, ale o precizně podvržené zprávy. Nepozorný uživatel si již nevšiml, že doména míří někam jinam než název odkazu.
Pandemie v loňském roce také přinutila několik stovek tisíc zaměstnanců pracovat z domova. „Zatímco v kancelářích měly firmy zabezpečené počítače, síť i připojení k internetu, ve svých domovech se pracovníci připojovali z nedostatečně zabezpečeného počítače přes nechráněný router pomocí VPN do firemní sítě, což je prostředí, které nahrává útočníkům,“ řekl Petr Zemánek. „Mnoho českých firem nebylo na variantu práce z domova vůbec připraveno a zabezpečení řešilo až za pochodu,“ upřesnil Zemánek.
Těžební malware ve školství
Obliba těžby kryptoměn celosvětově roste a Česká republika není výjimkou. V ČR si malware na těžbu kryptoměn ve zvýšené míře vybíral oblast školství. Školní počítače, především ve vysokoškolských institucích, nabízejí mnohdy vysoký výkon potřebný pro těžbu, ale nízký stupeň zabezpečení. Pro útočníky využívající tento druh malwaru se tak školy staly ideálním cílem.
Chcete se dozvědět více informací o tom, jak letošní zpráva GTIR účinně pomáhá organizacím čelit širokému spektru dnešních kybernetických hrozeb? Pak si zprávu Global Threat Intelligence Report pro rok 2021 můžete stáhnout na NTT Ltd. 2021 GTIR.