Cisco 2021 – podsumowanie cyberzagrożeń

Cisco 2021 – podsumowanie cyberzagrożeń

O ile ciężko jest jednoznacznie przewidzieć, w którym kierunku podążą cyberprzestępcy w 2022 roku, można śmiało szacować, że ataki na duże organizacje oraz te związane z wyłudzaniem okupów (ang. ransomware) będą rosły w siłę. Ponieważ warto uczyć się na błędach, eksperci Cisco przygotowali zestawienie wybranych, najważniejszych wydarzeń z 2021 roku, których analiza pozwoli lepiej przygotować się na to, co może nadejść w rozpoczynającym się 2022 r.

Cisco 2021

Świat dopiero staje na nogi po jednej z najgroźniejszych kampanii cyberprzestępców i jednym z największych ataków w sieciSolarWinds. Ostatnie dwanaście miesięcy nie oszczędzało społeczności specjalistów odpowiadających za cyberbezpieczeństwo, przynosząc kolejne wyzwania i zagęszczając mapę zagrożeń. Eksperci ds. bezpieczeństwa w sieci mieli w tym czasie do czynienia niemal z każdym typem cyberincydentów – począwszy od odciętych od sieci rurociągów naftowych, przez podmioty związane z cyberterroryzmem finansowane przez rządy, po wyciek danych całej platformy do streamingu gier, Twitch.

Styczeń:

  • Chociaż atak na łańcuch dostaw SolarWinds został odnotowany po raz pierwszy w grudniu 2020 roku, jego skutki były odczuwalne jeszcze na początku 2021 r. Co więcej, wiele pytań związanych z tą kampanią nadal pozostaje bez odpowiedzi.
  • „Łowcy sami stali się zwierzyną”. Analitycy cyberbezpieczeństwa z całej branży zaczęli być celami cyberprzestępców sponsorowanych przez obce rządy. Kilku analityków Cisco Talos znalazło się wśród osób, do których kierowane były złośliwe linki i wiadomości w mediach społecznościowych z fałszywymi kontami mającymi na celu wyłudzenie informacji.

Test Epson EcoTank L3251 – do drukowania w domu i firmie

Luty:

  • Ekspertom Cisco Talos udało się porozmawiać z operatorem złośliwego oprogramowania typu ransomware Lockbit. Dzięki temu otrzymali cenny wgląd w krajobraz ransomware-as-a-service oraz zyskali rzadką relację z pierwszej ręki na temat tego, jak atakujący wybierają swoje cele.
  • Trend związany z bezplikowym złośliwym oprogramowaniem nasilił się wraz z pojawieniem się trojana Masslogger. Ten wariant miał na celu wykradanie danych uwierzytelniania.
  • Rok 2021 nie pozostawił żadnych złudzeń, cyberprzestępcy pracowali dla tych, którzy oferowali najwyższą cenę. Nie byli oni do końca wprost „sponsorowani” przez konkretne państwo atakując inne kraje, ale np. korzystali z ochrony (lub bierności) państwa, z terytorium którego działali. Pierwszą oznaką tego zjawiska była ewolucja działań grupy cyberprzestępców Gamaredon.

Marzec:

  • Kiedy eksperci i analitycy ds. cyberbezpieczeństwa analizowali jeszcze i rozkładali na czynniki pierwsze SolarWinds, na scenie pojawili się nowi gracze, określający się jako HAFNIUM, którzy wykorzystali kilka luk zero-day w Microsoft Exchange Server.
  • Najbardziej niebezpieczna okazała się jedna z luk ujawnionych w ramach tej kampanii, „ProxyLogon”. Atakujący mogli wykorzystać ją, aby docelowo przejąć całkowitą kontrolę nad serwerem.

Kwiecień:

Test Creative T60 – kompaktowe głośniki biurkowe

Maj:

  • Malware LemonDuck, zaobserwowany przez ekspertów Cisco Talos po raz pierwszy w 2020 roku, stał się bardziej zaawansowany. Złośliwe oprogramowanie zaczęło atakować podatne serwery Exchange z wyżej wymienionymi lukami, a atakujący dodali do swojego arsenału narzędzie Cobalt Strike, pierwotnie wykorzystywane do symulacji cyberataków i testów penetracyjnych, zmieniając je w złośliwego trojana.
  • Atakujący wykorzystujący ransomware DarkSide obrali sobie za cel Colonial Pipeline, największy rurociąg naftowy na wschodnim wybrzeżu USA. Wielu stanom groziło, że w ciągu kilku dni skończy się paliwo na stacjach benzynowych, a te, które nim dysponowały, momentalnie podniosły ceny. Stało się to sygnałem alarmowym dla infrastruktury krytycznej w USA.

Czerwiec:

  • Kilka tygodni po ataku na Colonial Pipeline, grupa DarkSide zawiesiła działalność, likwidując swój portal. Ostatecznie, zmienili nazwę, aby powrócić jako BlackMatter.
  • Firma JBS, zajmująca się masową dystrybucją mięsa na całym świecie, została zaatakowana przez oprogramowanie ransomware i ostatecznie musiała zapłacić 11 milionów dolarów okupu. Mimo że nie ucierpiał żaden poziom działalności operacyjnej przedsiębiorstwa, konsumenci w panice kupowali mięso w sklepach spożywczych w Stanach Zjednoczonych, obawiając się jego niedoboru.

Lipiec:

  • Był to kolejny miesiąc, kiedy atakujący zaczęli wykorzystywać zestaw błędów zero-days Microsoft, tym razem lukę w usłudze Print Spooler systemu Windows. Atak ten był znany pod określeniem „PrintNightmare”.
  • Obchodzony w Stanach Zjednoczony Dzień Niepodległości (4 lipca) w minionym roku nie był czasem wolnym dla specjalistów ds. cyberbezpieczeństwa. Musieli zmierzyć się z kolejnym atakiem na łańcuch dostaw. Tym razem cyberprzestępcy obrali za cel dostawcę usług zarządzanych Kaseya, aby zainfekować ofiary ransomware REvil.

OPPO Find N – sprawdziliśmy jak działa składany smartfon

Sierpień:

  • PrintNightmare znów o sobie przypomniał, tym razem jako exploit wykorzystywany przez grupę ransomware Vice Society. Zespołowi Cisco Talos Incident Response udało się wykryć wiele organizacji, które padły ofiarą ransomware’u w wyniku zastosowania tej techniki.
  • Wraz z rosnącą popularnością aplikacji do dzielenia się zasobami w Internecie, cyberprzestępcy znajdywali kolejne sposoby, aby wykorzystać je do ataków. Platformy typu „proxyware” pozwalają użytkownikom zarobić na dodatkowej przepustowości łącza, którą „wynajmują” innym. Jak wynika z badań Cisco, w niepowołanych rękach umożliwiają one wykorzystanie przepustowości sieci użytkowników bez ich wiedzy, działając w tle na zainfekowanym urządzeniu.

Wrzesień:

  • Atakujący podszywali się pod stronę Amnesty International, aby rozprzestrzeniać fałszywe antywirusy, które rzekomo usuwają oprogramowanie szpiegowskie Pegasus z urządzeń mobilnych. Zamiast tego, instalowało ono złośliwe oprogramowanie i wykradało informacje o ofiarach.
  • Telenowela, której głównym bohaterem jest ransomware-as-a-service rozpoczynała właśnie kolejny sezon, kiedy jeden z członków grupy cyberprzestępczej Conti (autorów oprogramowania ransomware o tej samej nazwie) ujawnił podręcznik jej działania. Dało to kilka wskazówek na temat sposobu funkcjonowania grupy.
  • Rosyjska grupa APT Turla dodała do swojego arsenału nowe oprogramowanie typu backdoor, które w zasadzie służy jako ostatnia deska ratunku, aby pozostać na maszynach ofiar.

Test D-Link DCS-6100LH – kontrola mieszkania z drugiego końca świata

Październik:

  • W krajobrazie zagrożeń pojawił się nowy program ładujący złośliwe oprogramowanie (ang. loader) o nazwie SQUIRRELWAFFLE.

Listopad:

  • Przy okazji kolejnej odsłony luk zero-day Microsoft ostrzegał o aktywnych atakach na Windows Installer, które mogły pozwolić cyberprzestępcom na podniesienie swoich uprawnień do poziomu administratora. W międzyczasie luki w serwerze Exchange nadal były celem ataku ransomware’u Babuk.
  • Amerykańskie organy ścigania aresztowały dwie osoby w związku z ich domniemanym udziałem w ataku na łańcuch dostaw firmy Kaseya w ramach działań grupy REvil. W związku z tym pojawiła się również informacja o nagrodzie w wysokości 10 milionów dolarów za wszelkie informacje prowadzące do aresztowania lidera REvil.
  • W Stanach Zjednoczonych podpisano ustawę infrastrukturalną o wartości 1 biliona dolarów, która umożliwiła m.in. dostęp do 2 miliardów dolarów finansowania inwestycji związanych z bezpieczeństwem cybernetycznym. Samorządy lokalne będą mogły ubiegać się o dotacje w 2022 r. w celu zwiększenia bezpieczeństwa infrastruktury krytycznej i szkoleń z zakresu cyberbezpieczeństwa.
  • Po zlikwidowaniu na początku 2021 r. trojana Emotet przez międzynarodowe organy ścigania, botnet znów wypłynął na powierzchnię i wykazuje oznaki życia.

Recenzja Tapo C110 i Tapo C210 – ciągła ochrona mienia

Grudzień:

  • Eksperci Talos odkryli serię kampanii złośliwego oprogramowania autorstwa cyberprzestępcy o pseudonimie „Magnat”. Wykorzystuje on fałszywe rozszerzenie dla przeglądarki Google Chrome.
  • Luka Log4j rujnuje wszystkim sezon świąteczny, zmuszając zespoły cyberbezpieczeństwa do pracy w godzinach nadliczbowych, a programistów do ciągłego wprowadzania łatek.

źródło: Cisco

Dodaj komentarz

%d bloggers like this: