A kibertámadások elkövetői igyekeztek hasznot húzni a Covid-19 jegyében eltelt, és így soha nem látott társadalmi-gazdasági, üzleti és politikai kihívásokat hozó 2020-as évben. Az IBM Security X-Force megfigyelése szerint 2020-ban a kiberbűnözők célpontjai olyan vállalkozások voltak, amelyek elsősorban a koronavírus elleni küzdelemben vállaltak szerepet, mint például a kórházak, gyógyászati- és gyógyszeripari gyártók, valamint az ellátási láncot működtető energetikai vállalatok.
Az új jelentés szerint az egészségügyi-, a termelő és az energetikai vállalatokkal szembeni kibertámadások megduplázódtak az előző évihez képest: a kiberfenyegetés célpontjai olyan szervezetek voltak, amelyek nem engedhették meg a leállást az egészségügyi erőfeszítések vagy a kritikus ellátási lánc kiesésének kockáztatása nélkül. A leginkább támadott iparágak 2020-ban a feldolgozóipar és az energetika voltak, ezeket követte a pénzügyi és a biztosítási szektor. A bűnözők kihasználták azt is, hogy közel 50%-kal növekedett a gyártásban és az energetikában is létfontosságú ipari vezérlőrendszerek (ICS) sebezhetősége.
„A világjárvány átalakította azt, hogy mit tekintünk kritikus infrastruktúrának, és ezt a támadók is felismerték. Számos szervezet először kényszerült a védekezés frontvonalába – függetlenül attól, hogy a koronavírussal kapcsolatos kutatás, az oltóanyaggyártás, az élelmiszerlánc vagy a védőfelszerelések gyártása a profilja – mondta el Nick Rossmann, az IBM X Force, a kibertámadások felderítésével és az incidensek kezelésével foglalkozó szervezetének a vezetője. – A járvány kibontakozásával a támadók rugalmasan módosították a támadott célpontok körét, újabb tanúbizonyságát adva alkalmazkodóképességüknek, találékonyságuknak és kitartásuknak.”
Az X-Force Threat Intelligence Index több mint 130 országban naponta több mint 150 milliárd biztonsági esemény vizsgálatára alapozza megfigyeléseit. Ezenkívül az adatokat az IBM-en belül több forrásból gyűjtik össze és elemzik, beleértve az IBM X-Force (az IBM kibertámadások felderítésével és az incidensek kezelésével foglalkozó szervezete), az X-Force Red (az IBM etikus hekkeléssel foglalkozó szervezete), az IBM menedzselt kiberbiztonsági szolgáltató részlege, valamint a Quad9 és az Intezer szevezetek által szolgáltatott adatokat, amelyek mind hozzájárultak a 2021-es jelentés összeállításához.
A jelentés néhány fontos megállapítása:
A kiberbűnözők felgyorsítják a Linux malware elterjedését: az Intezer szerint az elmúlt évben a Linuxhoz kapcsolódó rosszindulatú programok száma 40%-kal nőtt, 2020 első hat hónapjában pedig 500%-kal emelkedett a Go (Golang) programnyelven írt rosszindulatú programok száma. A támadók felgyorsítják a Linux malware-re való áttérést, amely könnyebben futtatható különböző platformokon, beleértve a felhőkörnyezeteket is.
A pandémia határozza meg a leginkább hamisított brandek körét – A leggyakrabban hamisított márkák TOP10-es listáját többek között olyan cégek vezetik, amelyek a távolságtartás és a távmunka alatti kapcsolattartáshoz kínálnak megoldásokat, mint például a Google, Dropbox és a Microsoft. Ugyancsak a lista elején vannak az online kereskedelmi brandek, az Amazon és a PayPal, valamint a Youtube és a Facebook, amelyekre a hírfogyasztás miatt támaszkodtak az emberek tavaly. Meglepő módon a hetedik leggyakrabban hamisított márka 2020-ban az Adidas volt, amely valószínűleg a Yeezy és a Superstar nevű sneakerek iránti keresletnek köszönhető.
A Ransomware támadások jövedelmező üzleti modellé váltak – Zsarolóvírusok álltak majdnem minden negyedik olyan támadás mögött, amelyre az X-Force 2020-ban reagált. A támadások agresszíven fejlődnek és kettős zsarolási taktikát alkalmaznak. Az X-Force értékelése szerint ennek a modellnek az alkalmazásával a Sodinokibi – a 2020-ban leggyakrabban megfigyelt ransomware csoport – nagyon jövedelmező évet zárt tavaly. Az X-Force becslései szerint a csoport óvatos becsléssel is több mint 123 millió dollárt keresett az elmúlt évben, úgy, hogy az áldozatainak mintegy kétharmada fizetett váltságdíjat.
A nyílt forráskódú rosszindulatú szoftverekbe történő befektetés veszélyezteti a felhőkörnyezeteket
A COVID-19 járvány idején sok vállalkozás igyekezett felgyorsítani a felhőre való átállását. „Egy nemrégiben készült Gartner felmérés szerint a ma felhőszolgáltatásokat használó szervezetek csaknem 70%-a tervezi növelni felhőalapú kiadásait a COVID-19 okozta zavarok nyomán.” Mivel a Linux jelenleg a felhőben zajló munkafolyamatok 90%-át látja el, és miközben az X-Force számításai szerint a Linuxhoz kapcsolódó kártékony programokcsaládok száma 500%-kal nőtt az elmúlt évtizedben, a felhőkörnyezetek a támadók elsőszámú támadási útvonalává válhatnak.
A nyílt forráskódú rosszindulatú programok növekedése miatt az IBM úgy véli, hogy a kiberbűnözők előtt több lehetőség is áll jövedelmezőségük javítására – csökkenthetik a költségeket, növelhetik a hatékonyságot és lehetőségeket kereshetnek a nyereségesebb támadásokra. A jelentés különféle bűnözői csoportokat emel ki, mint például az APT28, az APT29 és a Carbanak, amelyek a nyílt forráskódú rosszindulatú programok felé fordulnak, amely azt jelzi, hogy ez a tendencia az elkövetkező évben további, felhő alapú támadások motorja lesz.
A jelentés azt is kiemeli, hogy a támadók kihasználják a felhő infrastruktúra dinamikusan bővíthető számítástechnikai teljesítményét, áthárítva az áldozatul kiszemelt szervezetekre annak vaskos használati díjját. Erre utal, hogy az Intezer 2020-ban több mint 13%-ban új, korábban nem észlelt kódot fedezett fel a Linux alapú kriptobányász malware programokban.
Mivel a támadók figyelme a felhő-környezetekre irányul, az X-Force azt javasolja, hogy a szervezetek mérlegeljék a zero-trust megközelítést a biztonsági stratégiájukban. A vállalkozásoknak a legérzékenyebb adataik védelme érdekében biztonsági infrastruktúrájuk központi elemévé kell tenniük a bizalmas számítástechnikát (confidential computing). A használatban lévő adatok titkosításával a szervezetek csökkenthetik egy rosszindulatú támadás kockázatát, még akkor is, ha a támadók képesek hozzáférni az érzékeny környezetekhez.
Számítógépes bűnözők népszerű fogyasztói márkáknak álcázva
A 2021-es jelentés kiemeli, hogy a kiberbűnözők leggyakrabban olyan márkának álcázzák magukat, amelyekben a fogyasztók megbíznak. A világ egyik legbefolyásosabb márkájának tartott Adidas vonzónak tűnt a kiberbűnözők számára ahhoz, hogy kiaknázzák a fogyasztói keresletet: az áhított tornacipőt kereső felhasználókat olyan rosszindulatú weboldalakra terelték, amelyeket úgy terveztek, hogy legitim webhelyeknek tűnjenek. Amint egy felhasználó meglátogatta ezeket valódinak kinéző domaineket, a kiberbűnözők lecsaptak: online fizetési csalásokkal, adatlopással, személyi hitelesítő adatok begyűjtésével vagy rosszindulatú programok telepítésével próbálkoztak.
A jelentés szerint az Adidas hamisításának többsége a Yeezy és a Superstar sneakerekhez kapcsolódik. 2019-ben csak a Yeezy termékcsalád állítólag 1,3 milliárd dollárt termelt, és a sportruházat gyártó óriás kínálatában az egyik legnépszerűbb sportcipő volt. A jövedelmező termékcsalád következő darabjának 2020 elejére időzített piacra dobásával a kiberbűnözők a saját profitszerzési igényüket is kielégítették.
A Ransomware volt a 2020-as év leggyakoribb támadási fajtája
A jelentés szerint 2020-ban több ransomware-támadás volt, mint 2019-ben, és az X-Force által megfigyelt zsarolóvírusos támadások 60%-ára kettős zsarolási stratégia volt jellemző, amelynek során a támadók az adatokat egyrészt titkosították, másrészt el is lopták majd azok kiszivárogtatásával fenyegettek, ha a váltságdíjat nem kapják meg.
Az X-Force által azonosított adatsértések 36%-a olyan ransomware-támadásokból származott 2020-ban, amelyek valószínűleg adatlopással is jártak, ami arra utal, hogy az adatsértések és a ransomware-támadások összefonódnak.
A 2020-ban bejelentett legaktívabb ransomware-csoport a Sodinokibi (más néven REvil) volt, amely az X-Force által megfigyelt összes ransomware-esemény 22%-áért volt felelős. Az X-Force becslései szerint a Sodinokibi körülbelül 21,6 terabájt adatot lopott el áldozataitól, és az áldozatok közel kétharmada váltságdíjat is fizetett, 43%-uknak az adatai kiszivárogtak. Az X-Force becslései szerint a csoport több mint 123 millió dollárt keresett tavaly.
A Sodinokibihez hasonlóan a jelentés megállapította, hogy a legeredményesebb ransomware-csoportok 2020-ban az adatlopásokra és kiszivárogtatására összpontosítottak, valamint ún. ransomware-as-a-service kartelleket hoztak létre, és működésük kulcsfontosságú aspektusait kiszervezték olyan számítógépes bűnözőknek, akik a támadások különféle típusaira specializálódtak. Ezekre az agresszívabb ransomware támadásokra válaszul az X-Force azt javasolja a szervezeteknek, hogy korlátozzák az érzékeny adatokhoz való hozzáférést és védjék a kiemelt jogosultságú fiókokat privilegizált hozzáférés-kezeléssel (PAM), valamint identitás- és hozzáférés-kezeléssel (IAM).
A jelentés további fontos megállapításai a következők:
Több támadás használja ki a sérülékenységeket, mint amennyi adathalászatra épül – A 2021-es jelentésből kiderül, hogy az áldozatok digitális környezeteinek legsikeresebb támadási módja a sérülékenységek keresése és kihasználása volt (35%) tavaly – első alkalommal az évek során –, amelyet az adathalászat (31%) követett.
Európa megérezte a 2020-as támadásokat – A jelentés szerint az X-Force által megfigyelt támadások 31%-a Európát érintette. Itt volt a legtöbb ransomware által elkövetett támadás. Mindemellett Európában több belső fenyegetést észleltek, mint bármely más régióban, és kétszer annyi ilyen támadás történt, mint Észak-Amerikában és Ázsiában együttvéve.
A jelentés azokat az adatokat tartalmazza, amelyeket az IBM 2020-ban gyűjtött, hogy beható információkat nyújtson a globális fenyegetettségről, és tájékoztassa a biztonsági szakembereket a szervezeteik számára leginkább releváns fenyegetésekről.