Cyberprzestępcy do realizacji swoich celów często wykorzystują ludzką potrzebę otrzymywania informacji i przygotowują ataki w taki sposób, aby trafiały ofiary w czułe punkty. Nie inaczej jest w przypadku pandemii koronawirusa. Analitycy FortiGuard Labs firmy Fortinet przeanalizowali ataki wykorzystujące temat COVID-19. Douglas Jose Pereira dos Santos i Jonas Walker opowiadają, w jaki sposób przeprowadzane są ataki nawiązujące do pandemii, jakie typy złośliwego oprogramowania są używane przez cyberprzestępców oraz co sprawia, że są oni tak skuteczni. Zwracają także uwagę na rolę edukacji i cyberhigieny.
Które elementy związane z ostatnimi atakami mają największe znaczenie i dlaczego?
Douglas: Kampanie cyberprzestępcze stają się coraz bardziej popularne, ponieważ na całym świecie pojawia się dezinformacja i strach związany z pandemią. Atakujący chętnie to wykorzystują. Teraz, bardziej niż kiedykolwiek wcześniej, należy być wyjątkowo czujnym, szczególnie jeśli wiadomość e-mail lub przekazana inną formą komunikacji wydaje się być pilną i/lub pochodzi z niezaufanych źródeł. Niektórzy uważają, że bycie przesadnie ostrożnym przynosi efekt odwrotny do zamierzonego. Mimo to myślę, że nie ma niczego gorszego, niż zniszczenie dorobku firmy przez nieuważne kliknięcie w złośliwy link lub załącznik.
Jak zaczyna się większość tych ataków i jakie rodzaje podatności są wykorzystywane?
Jonas: Większość tych ataków rozpoczyna się za pośrednictwem wiadomości poczty elektronicznej, zazwyczaj rozsyłanych jako masowy spam. Widzimy jednak, że pojawiają się również ataki precyzyjnie ukierunkowane, także typu DDoS (ang. Distributed Denial of Service), w trakcie których system IT ofiary „bombardowany” jest zapytaniami kierowanymi z tysięcy zainfekowanych komputerów – z intensywnością powodującą zatrzymanie jego pracy i niedostępność dla użytkowników. Co więcej, teraz, gdy większość pracowników wykonuje swoje obowiązki zdalnie i uczestniczy w wideokonferencjach, a także ogląda filmy, przegląda strony internetowe, robi zakupy i gra w gry online, infrastruktury wielu użytkowników nie są na to przygotowane. Ponadto, zagrożenia bazujące na komunikatach w wiadomościach e-mail wykorzystują poczucie niebezpieczeństwa związanego z pandemią, a hakerzy często podszywają się pod rządowe organizacje zdrowotne, placówki pozarządowe lub dostawców sprzętu medycznego.
Douglas: Warto mieć to na uwadze – jeśli nagle pojawi się wiadomość e-mail oferująca coś, co „pomoże rozwiązać kluczowy problem organizacyjny”, prawdopodobnie jest to działanie cyberprzestępcze.
Jakie są najczęstsze zagrożenia związane z wykorzystaniem motywów COVID-19?
Jonas: Celem kampanii e-mailowych jest wprowadzenie złośliwego kodu do systemu. Najczęściej są nim narzędzia wykradające informacje (tzw. infostealer), oprogramowanie szyfrujące ransomware oraz trojany RAT (Remote Access Trojan), które pozwalają hakerom monitorować i kontrolować komputer lub sieć. W czasach, gdy wiele osób robi zakupy online, a także korzysta z cyberwalut, cyberprzestępcy chcą to wykorzystać.
Douglas: Zagrożenia bazujące na oprogramowaniu ransomware zazwyczaj skierowane są wobec kluczowych zasobów przedsiębiorstwa lub instytucji. Cyberprzestępcy wykorzystują fakt, że w obecnych czasach firma, która jest celem, jest bardziej skłonna zapłacić okup w nadziei na odzyskanie i uruchomienie dostępu do swoich systemów. Obecnie jednak obserwujemy poprawę w skuteczności wykrywania oprogramowania ransomware.
Czy cyberprzestępcy wykorzystują jakieś nowe techniki lub triki do prowadzenia ataków i jak bardzo są one zaawansowane?
Douglas: Techniki te nie są zbyt nowe, ale wciąż pozostają zaawansowane. Wiele z nich bazuje na zaciemnianiu kodu i uniemożliwianiu wykrycia złośliwego oprogramowania z wykorzystaniem wirtualnych maszyn, narzędzi analitycznych czy debugowania. Jest ono często dostarczane przez znajdujące się w dokumentach złośliwe makra. Czasami też do użytkowników trafiają proste pliki wykonywalne, w których po zdekompilowaniu lub uruchomieniu można wykryć skrypt AutoIT, często stosowany, gdy autor złośliwego kodu chce utrudnić wykrycie go przez oprogramowania antywirusowe.
Jonas: Wykorzystywane są bardzo dobrze znane zaawansowane techniki ataku, w tym tzw. warstwy zaciemniania kodu, co wskazuje na zagrożenia, które skutecznie włamują się do sieci i powinny być traktowane bardzo poważnie. W obecnych czasach cyberprzestępcy wykorzystują fakt, że ludzie są przestraszeni i niespokojni. Bazują także na tym, że wiele firm musiało szybko przebudować swoje sieci, aby wspierać pracowników zdalnych, co, jak wiadomo, często prowadzi do zaniedbań w obszarze cyberhigieny.
Jak firmy i indywidualne osoby mogą się chronić przed tymi atakami?
Douglas: Należy przede wszystkim skoncentrować się na szkoleniu pracowników w zakresie cyberbezpieczeństwa, a także na wytworzeniu świadomości dotyczącej cyfrowych zagrożeń, które mogą przecież dotyczyć każdego procesu czy interakcji. Posiadanie solidnego zabezpieczenia poczty elektronicznej, wyposażonego w środowisko testowe sandbox, może również powstrzymać te zagrożenia przed wniknięciem do sieci. Ważne jest, aby uniemożliwić trafienie wiadomościom phishingowym do skrzynek odbiorczych pracowników. Teraz, gdy wiele przedsiębiorstw korzysta z nowego zdalnego środowiska, nadszedł czas, aby usunąć wszelkie luki w zabezpieczeniach, które mogły zostać pominięte.