Egyre veszélyesebbek a hekkerek: ezekre kell figyelni 2021-ben

A felső kategóriában a nagyvadakra hajtó zsarolóvírus családok továbbra is finomítani és változtatni fogják eszközeiket, technikáikat és eljárásaikat, hogy még nehezebben felfedezhetőbbé váljanak, komplexitásukban pedig közelebb kerüljenek az állami támogatású hacker csoportokhoz. Ők nagyobb szervezeteket céloznak, váltságdíjköveteléseik pedig több millió dollárra rúgnak.

2020-ban ezen családok közé tartozott a Ryuk és a RagnarLocker is. A Sophos arra számít, hogy a spektrum másik végén nőni fog a belépőszintű, tanuló-jellegű támadók száma, akik menü alapú, bérelhető zsarolóvírusokat keresnek, mint például a Dharma, melyekkel nagyobb volumenekben tudnak kisebb prédákat megcélozni.

Egy másik zsarolóvírus trend a “másodlagos zsarolás (secondary extortion)", ahol a támadók az adatok titkosítása mellett el is lopják azokat, illetve az érzékeny és bizalmas információk nyilvánosságra hozásával fenyegetnek, ha a követeléseiket nem teljesítik. A Sophos 2020-ban számos zsarolóvírusról számolt be, melyek ezt a megközelítést használják, mint például a Maze, a RagnarLocker, a Netwalker, a REvil és mások.

- mondta Chester Wisniewski, a Sophos vezető kutatója. “Úgy tűnt, hogy néhány társaság, mint például a Maze is, összecsomagolt és egy életre nyaralni ment. Azonban néhány eszközük és technikájuk egy új jövevény, az Egregor leple alatt újból felbukkant. A digitális fenyegetések területén ‘irtóznak az ürességtől’. Ha egy fenyegetés eltűnik, egy másik gyorsan elfoglalja a helyét. Szinte lehetetlen előre meghatározni több szempontból is, hogy hogyan fejlődik a zsarolóvírus a jövőben, azonban a Sophos fenyegetésekkel kapcsolatos jelentésében tárgyalt idei támadási trendek valószínűleg folytatódni fognak 2021-ben is."

Figyeljünk a kis veszélyességű vírusokra is

Ezek közé tartoznak a loaderek és botnetek vagyis az ún. Initial Access Brokerek. Ezek a fenyegetések kis veszélyességű vírusnak tűnhetnek, azonban arra tervezték őket, hogy megvessék a lábukat a célpont hálózatában, alapvető fontosságú adatokat gyűjtsenek és megosszák az információkat a vezérlő-hálózatukkal, mely további utasításokat ad majd nekik.

Amennyiben valódi emberek állnak operátorként az ilyen típusú fenyegetések mögött, minden kompromittált gépet ellenőriznek a földrajzi elhelyezkedésük és más értékesebb célpontra utaló jelek alapján, majd a legjövedelmezőbb célpontokhoz való hozzáférést eladják a legmagasabb ajánlatot tévő licitálónak, mint például egy jelentős zsarolóvírus-művelet üzemeltetőinek. 2020-ban például a Ryuk a Buer Loadert használta a zsarolóvírus-e célba juttatására.

A támadók egyre cselesebbek

A támadók egyre többször élnek vissza legitim eszközökkel, jól ismert segédprogramokkal és gyakran használt weboldalakkal, hogy elkerüljék a lebukást és a biztonsági intézkedéseket, illetve megakadályozzák az elemzéseket és az azonosítást.

A legitim eszközök segítségével a támadók “a radar alatt repülhetnek" a hálózaton belül való mozgás közben, míg készen nem állnak a támadás fő részének elindítására, ami lehet például egy zsarolóvírus. Az államilag szponzorált támadók számára további előnnyel jár, hogy az általános eszközök használata megnehezíti az azonosítást. 2020-ban a Sophos általános támadó eszközök széles köréről számolt be, amelyeket jelenleg a digitális bűnözők is használnak.

További trendek a Sophos 2021 Threat Reportjából:

• Szervertámadások: a támadók Windowst és Linuxot is futtató szerver platformokat céloznak meg és arra használják fel azokat, hogy a szervezeteket belülről támadják meg.
• A COVID 19 járvány hatása az IT biztonságra: megnőttek azok a biztonsági kihívások, melyeket a jelentős mértékben eltérő védelmi szinttel bíró, otthoni hálózatokon keresztül történő távoli munkavégzés generál.
• A felhő környezetet érintő biztonsági kihívások: a felhő alapú rendszerek sikeresen kiszolgálták a biztonsági informatikai környezetekre vonatkozó nagyvállalati elvárások nagy részét, azonban a kialakult helyzetben a tradicionális nagyvállalati hálózatoktól eltérő kihívásokkal szembesülnek
• Olyan általános szolgáltatások, mint például az RDP és VPN csomópontok, melyek továbbra is a hálózati felszínt érő támadások középpontjában maradnak. A támadók az RDP-t arra is használják, hogy a feltört hálózatokon belül laterálisan mozogjanak.
• Hagyományosan “potenciálisan kéretlen"-ként megjelölt szoftveralkalmazások, melyek nagy mennyiségű hirdetést jutattak célba, azonban olyan taktikák részét képezik, melyek egyre inkább megkülönböztethetetlenek a nyílt vírusoktól.
• Egy régi bug, a VelvetSweatshop meglepetésszerű újbóli megjelenése, - a Microsoft Excel egy korábbi verziójának alapértelmezett jelszó funkciója - amely arra szolgál, hogy makrókat és más ártalmas tartalmat rejtsen el a dokumentumokban és elkerülje a fejlett védelmeket.
• Az epidemiológiai megközelítés alkalmazásának szükségessége a nem látható, nem észlelt és ismeretlen digitális fenyegetések számszerűsítésére annak érdekében, hogy áthidalják az azonosítás, kockázat felmérés és a prioritás-meghatározás területén jelen lévő réseket.