Bezpečnostní divize společnosti IBM představila svůj každoroční Index hrozeb X-Force Intelligence, který ukazuje, jak ransomware a zneužití zranitelnosti neaktualizovaného softwaru dokázaly v roce 2021 různé firmy paralizovat a dál tak prohloubit problémy globálních dodavatelských řetězců. Nejhůře zasažený byl přitom výrobní průmysl.
V loňském roce byl obecně nejčastější příčinou kybernetických útoků phishing, nicméně divize IBM Security X-Force také zaznamenala 33% nárůst v počtu útoků způsobených zneužití zranitelnosti neaktualizovaného softwaru. To byl loni nejčastější vektor pro ransomware představující asi 44 % všech případů.
Index pro rok 2022 ukazuje, jak se v roce 2021 provozovatelé ransomwaru pokusili „zlomit“ páteř globálních dodavatelských řetězců prostřednictvím útoků na výrobní průmysl, jenž byl zasažen nejsilněji (23 %), ačkoliv v předchozích letech byly dlouhodobě nejčastějším cílem finanční služby a pojišťovny. Útočníci se spoléhali na to, že útok na výrobní průmysl způsobí komplikace také v navazujících článcích dodavatelských řetězců, což vyvolá na oběť větší tlak, aby zaplatila výkupné a získala své systémy zpátky pod kontrolu. Je varovným signálem, že 47 % útoků na výrobní průmysl bylo realizováno přes zranitelná místa, která daná organizace dosud neaktualizovala či nemohla aktualizovat; to jasně ukazuje, že řešení zranitelností musí být pro organizace prioritou.
Index hrozeb IBM Security X-Force Intelligence pro rok 2022 mapuje nové trendy a metody útoku, které divize IBM Security analyzovala na základě svých dat získaných z několika miliard datových bodů od celých sítí po koncová detekční zařízení, z reakcí na incidenty, sledování phishingových sad a mnoho dalšího – včetně dat od Intezer.
Mezi nejvýznamnější zjištění letošní zprávy patří:
• Gangy provozující ransomware jsou odolné. Nejčastějším typem útoku byl i v roce 2021 ransomware, jehož pachatelé zjevně nepolevují, i když je počet zničených skupin na vzestupu. Podle zprávy z roku 2022 je průměrná životnost skupin provozujících ransomware 17 měsíců – následně buď zcela zaniknou, nebo se opět vynoří v jiné sestavě.
• Největším problémem jsou zranitelnosti. Podle zjištění X-Force bylo zhruba 50 % útoků v Evropě, Asii a v regionu MEA v roce 2021 způsobeno neaktualizovaným softwarem, což se ukazuje jako klíčový problém.
• Objevují se první varovné známky kybernetické krize v cloudu. Kybernetičtí zločinci si připravují půdu pro útok na cloudová prostředí. Zpráva roku 2022 odhalila 146% nárůst v objemu nového ransomwarového kódu pro Linux a nově také zacílení na Docker, což by potenciálně mohlo usnadnit využití cloudových prostředí pro nekalé účely.
„Firmy by si měly uvědomit, že zranitelnosti jsou pro ně pastí, kterou je možné prostřednictvím ransomwaru aktivovat. Není to binární hrozba. Počet možných způsobů provedení útoku stále roste a není možné si nalhávat, že všechny zranitelnosti už byly odhaleny a aktualizované. Organizace by proto měly vycházet z předpokladu, že jejich obrana už byla prolomena, a začít používat strategii nulové důvěry,“ uvádí Charles Henderson, ředitel IBM X-Force.
Podle analýzy X-Force je průměrná životnost skupin pachatelů ransomware 17 měsíců – následně buď zaniknou, nebo zmizí a vynoří se pod jinou značkou. Například skupina REvil, která byla v roce 2021 zodpovědná za 37 % všech útoků, fungovala díky změně značky po čtyři roky. Je proto pravděpodobné, že se i navzdory tomu, že ji koordinovaná akce několika států v polovině roku 2021 vyřadila z provozu, po nějaké době opět vynoří.
Policejní zásahy mohou útočníky nejenom zpomalit, ale také je zatěžují náklady na změnu značky a opětovné vybudování infrastruktury. Hrací pole se neustále mění, a proto je pro organizace důležité modernizovat svou infrastrukturu a ukládat data do prostředí, které je pomůže chránit – ať už je to lokálně, nebo v cloudu. To útočníkům odejme jejich klíčovou výhodu, protože přístup ke kritickým datům je v hybridním cloudovém prostředí těžší.
Zpráva X-Force poukazuje na to, že v roce 2021 bylo odhaleno rekordní množství zranitelností a jejich počet v průmyslových řídících systémech oproti minulému roku vzrostl o 50 %. Ačkoliv bylo v posledním desetiletí takových zranitelností odhaleno více než 146 000, až v posledních letech začaly organizace mnohem výrazněji urychlovat digitalizaci procesů, a to především v důsledku pandemie. To naznačuje, že celý proces ještě nedosáhl svého vrcholu.
Zároveň ale zaznamenala složka X-Force 33% nárůst oproti předchozímu roku s tím, že dvě nejčastěji zneužívané zranitelnosti v roce 2021 se vyskytly v široce používaných firemních aplikacích (Microsoft Exchange, knihovna Apache Log4J). Náročnost práce se zranitelnostmi může dále růst s tím, jak digitální infrastruktura dál expanduje, a kvůli nutnosti provádět audity a údržbu mohou být organizace časem zcela zavalené. To ukazuje, jak důležité je v provozu vycházet z předpokladu, že k prolomení ochrany už mohlo dojít, a chránit svou architekturu prostřednictvím strategie nulové důvěry.
V roce 2021 divize X-Force zaznamenala, že stále více útočníků směřuje své útoky na kontejnery, jako je Docker – což je podle RedHat zdaleka nejpoužívanější prostředí pro provoz kontejnerů. Útočníci si uvědomili, že kontejnery jsou pro mnoho organizací společné, takže hledají způsoby, jak maximalizovat návratnost svých investic díky malwaru použitelnému na různé platformy, který může posloužit jako výchozí bod pro útoky na další komponenty infrastruktury jejich obětí.
Zpráva z roku 2022 také upozorňuje, že útočníci dále investují do dříve nevídaného malwaru pro Linux. Data od organizace Intezer ukazují, že počet ransomwarových balíčků pro Linux obsahující nový kód vzrostl o 146 %. Útočníci se dále snaží rozšířit škálu svých operací v cloudovém prostředí, což znamená, že se firmy musí zaměřit na vyšší transparentnost své hybridní infrastruktury. Prostředí hybridního cloudu jsou založená na interoperabilitě a otevřené standardy mohou pomoci organizacím najít slepá místa a urychlit a automatizovat bezpečnostní reakci.
Mezi další zjištění ze zprávy za rok 2022 patří:
• Asie v čele zájmu – Podle zjištění IBM byl v roce 2021 každý čtvrtý útok zamířen proti organizacím sídlícím v Asii, která tak zaznamenala více kybernetických útoků než jakýkoliv jiný region. Finanční služby a výrobní organizace společně zaznamenaly téměř 60 % všech útoků v Asii.
• Phishing po telefonu – Nejčastější příčinou kybernetických útoků byl v roce 2021 phishing. V penetračních testech X-Force Red se četnost kliknutí v phishingových kampaních ztrojnásobila v případech, kdy byly kombinovány s telefonáty.