Zwiększona aktywność grup hakerskich wykorzystujących podatności w zabezpieczeniach narzędzia Log4j, nowe ustalenia dotyczące trojanów bankowych atakujących urządzenia z systemem Android oraz wyniki analiz ataków typu brute force w ramach RDP. W 2021 roku zanotowano ich ponad 280 miliardów, a Polska znalazła się na 5. miejscu, wśród krajów o największej liczbie prób takich ataków.
Najnowsza edycja ESET Threat Report T3 2021 (za okres od września do grudnia) wskazuje także najczęstsze zewnętrzne wektory ataków, wyjaśnia przyczyny wzrostu zagrożeń e-mail oraz zmian w rozpowszechnieniu niektórych rodzajów zagrożeń.
Pracownicy zdalni i ich hasła dostępowe wciąż w kręgu zainteresowań przestępców
Jak wskazuje raport ESET minione dwa lata stały pod znakiem intensywnego wzrostu w sferze ataków na usługę RDP, obejmujących techniki łamania haseł metodą „brute-force” na koncie ofiary. W 2021 r. liczba ataków tego typu wzrosła do poziomu 288 miliardów, co stanowi prawie 900% wzrost względem 2020.
– Za tendencję wzrostową w 2020 roku odpowiadała m.in. sytuacja związana z pandemią i konieczność wprowadzenia pracy w trybie zdalnym. Ubiegłoroczny trend tego rodzaju ataków jest jeszcze bardziej alarmujący – komentuje Beniamin Szczepankiewicz, starszy specjalista ds. cyberbezpieczeństwa ESET.
Według ESET, kraje, które doświadczyły największej liczby ataków brute-force w ramach RDP w ubiegłym roku to m.in. Hiszpania (51 mld), Włochy (25 mld), Francja (21 mld), Niemcy (19 mld) i Polska (18 mld). Choć liczba celów tych ataków stopniowo maleje, to według ekspertów bezpieczeństwa ESET, nie należy spodziewać się rezygnacji cyberprzestępców z zainteresowania atakami na tę usługę.
Luki w Microsoft Exchange okazją dla grup cyberprzestępczych
Wśród innych poważniejszych incydentów występujących w minionym roku raport ESET wymienia ataki na serwery Microsoft Exchange. Luka w zabezpieczeniach systemu została wykorzystana przez co najmniej dziesięć różnych grup APT. Łancuch podatności leżący u podstaw tego ataku został nazwany – ProxyLogon, i okazał się drugim najczęstszym wektorem ataków zewnętrznych. Pomimo załatania błedów przez firmę Microsoft, w kwietniu 2021 roku, serwery Exchange ponownie znalazły się pod ostrzałem atakujących już sierpniu. Następca ProxyLogon o nazwie ProxyShell został wykorzystany przez kilka grup cyberprzestępczych na całym świecie.
Podatność Log4j – niebezpieczna końcówka roku
W grudniu 2021 roku firma ESET wykryła setki tysięcy prób ataków Log4j, których celem byli głównie klienci w Stanach Zjednoczonych (37%), Wielkiej Brytanii (12%) i Holandii (8%). Pomimo tego, że ataki miały miejsce w ostatnich tygodniach roku, to wektor ten był piątą najczęściej używaną metodą ataków sieciowych w całym 2021. Przypadek log4j uzyskał maksymalny wynik 10 punktów w skali CVSS, według klasyfikacji powszechnego systemu punktacji podatności luk w zabezpieczeniach.
– Krytyczna sytuacja zmobilizowała zespoły IT na całym świecie do zlokalizowania i naprawienia usterek w swoich systemach, aby chronić serwery przed całkowitym przejęciem przez atakujących. Kryzys wywołany podatnością narzędzia Log4j to doskonały przykład, który pokazuje jak szybko cyberprzestępcy są w stanie wykorzystać nowo pojawiające się luki w zabezpieczeniach – mówi Beniamin Szczepankiewicz.
Ransomware wciąż na topie
Jak pokazują dane ESET aktywność przestępców wykorzystujących ransomware przekroczyła najśmielsze oczekiwania. W 2021 roku miały miejsce ataki na infrastrukturę krytyczną, z którymi związane były żądania wysokich okupów. Mimo że działania organów ścigania w niektórych przypadkach skutecznie wpłynęły na działalność cyberprzestępców, zmuszając kilka grup do rezygnacji z ataków, to równocześnie badacze dostrzegli, że niektóre grupy przestępcze stały się bardziej odważne w formułowaniu swoich żądań. Najlepszym tego przykładem jest rodzina oprogramowania ransomware o nazwie Hive, który zaatakował m.in, MediaMarkt, wobec którego wystosowano rekordowe żądanie 240 milionów dolarów okupu.
Rekordowy wzrost liczby ataków wycelowanych w Androida
Raport o cyberzagrożeniach firmy ESET odnosi się również do niepokojącego wzrostu liczby wykrywanych złośliwych programów bankowych dla Androida. Ich liczba w porównaniu do 2020 roku wzrosła o 428%. Największą liczbę zagrożeń w ostatnich miesiącach systemy telemetrii ESET zarejestrowały w Meksyku, Ukrainie, Rosji, Brazylii i Turcji.
Pozytywną informacją jest fakt, że w ostatnich czterech miesiącach 2021 r. liczba wykrywanych zagrożeń dla urządzeń mobilnych z systemem Android uległa zmniejszeniu: w przypadku Clickerów (-48,4%), trojanów SMS (-29,6%), kryptominerów (-25,4%) czy oprogramowania reklamowego (-9,9%) i co zaskakujące także dla szkodliwego oprogramowania bankowego (-20,6%).
Wiadomości phishingowe wciąż groźne
Uwagę badaczy ESET zwróciły ataki wycelowane w internetowe skrzynki pocztowe, których wykrywalność zwiększyła się w ciągu roku ponad dwukrotnie. Tendencja ta była podyktowana w głównej mierze wzrostem liczby wiadomości phishingowych. Zmienia się jednak profil marek, pod które najchętniej podszywają się przestępcy.
– W porównaniu do wyników poprzedniej edycji raportu odnotowaliśmy 48% spadek liczby maili podszywających się pod Microsoft. Niestety odwrotna sytuacja wystąpiła w przypadku wiadomości phishingowych wykorzystujących wizerunek DHL i WeTransfer, które bardzo znacząco wzrosły, odpowiednio o 145% i 156% – komentuje Beniamin Szczepankiewicz.
E-maile podszywające się pod firmę DHL były szczególnie rozpowszechniane w październiku, przy czym większość wykrytych zdarzeń miała miejsce w Japonii, Turcji i Hongkongu.
Świat cyberprzestępczości nie znosi próżni
W ostatnich miesiącach 2021 roku firmy ESET odkryła wiele nowych zagrożeń w cyberprzestrzeni. Należą do nich m.in. FontOnLake, nowa rodzina złośliwego oprogramowania atakującego urządzenia z systemem Linuks, wcześniej nieudokumentowany bootkit UEFI o nazwie ESPecter oraz FamousSparrow – cyberszpiegowska grupa atakująca sieci hotelowe, rządy i prywatne firmy na całym świecie. ESET Threat Report T3 2021 podsumowuje również obszerną serię analiz dotyczących trojanów bankowych z Ameryki Łacińskiej, a także zawiera niepublikowane wcześniej informacje o operacjach grup APT. W raporcie badacze oferują aktualne informacje na temat działalności grupy cyberszpiegowskiej OilRig, najnowsze informacje na temat wykorzystania ProxyShell w rzeczywistych atakach oraz nowe szczegóły odnośnie do kampanii spearphishingowych prowadzonych przez niesławną grupę cyberszpiegowską The Dukes.
