Společnost Sophos ve své studii Sophos 2021 Threat Report popisuje, jak bude ransomware a rychle se měnící chování útočníků, od pokročilého po základní úroveň, formovat prostředí hrozeb a IT bezpečnosti v roce 2021.
Tři klíčové trendy podle Sophosu zahrnují:
1) Rozdíly mezi ransomwarovými úročníky se zvětší
Odborníci uvádí, že na špičkové úrovni budou rodiny ransomwaru útočící na nejhodnotnější cíle i nadále zdokonalovat a měnit své taktiky, techniky a postupy, aby byly ještě více skryté a maximálně sofistikované, když budou cílit na větší organizace a požadovat mnohamilionové výkupné.
Na druhé straně očekává Sophos zvýšení počtu začínajících, teprve se učících útočníků, kteří hledají ransomware k pronájmu ovládaný prostřednictvím nabídek, který jim umožňuje cílit na velké množství menších kořistí.
Dalším trendem ransomwaru je podle společnosti „sekundární vydírání“, kdy kromě zašifrování dat útočníci ukradnou citlivé nebo důvěrné informace a hrozí jejich zveřejněním, pokud nebudou splněny jejich požadavky.
„V průběhu roku 2020 zaznamenal Sophos jasný trend směrem k tomu, že se protivníci odlišují, pokud jde o jejich dovednosti a cíle,“ říká Chester Wisniewski, principal research scientist ve společnosti Sophos.
„Viděli jsme však také rodiny ransomwaru, které sdílejí nejlepší nástroje a vytvářejí samozvané kolaborativní ‘kartely’,“ upřesňuje a upozorňuje, že prostředí kyberhrozeb se nikdy neocitne ve vakuu.
„Jestliže nějaká hrozba pomine, nějaká jiná ji rychle nahradí. V mnoha ohledech je téměř nemožné předvídat, jakým směrem se ransomware vydá, ale trendy útoků, diskutované ve studii Threat Report, budou pravděpodobně pokračovat i v roce 2021,“ uzavírá.
2) Každodenní hrozby budou vyžadovat pozornost z hlediska zabezpečení
Každodenní hrozby jako je komoditní malware, včetně loaderů a botnetů nebo lidmi řízení prvotní poskytovatelé přístupu jsou podle Sophosu navrženy tak, aby zajistily oporu v cíli, shromažďovaly základní data a sdílely je zpět do command-and-control sítě, která jim poskytne další pokyny.
Pokud za těmito typy hrozeb stojí lidští operátoři, zkontrolují každý kompromitovaný stroj z hlediska jeho geolokace a dalších ukazatelů vysoké hodnoty, a poté prodají přístup k nejlukrativnějším cílům tomu, kdo nabídne nejvyšší cenu, jako je například velký provozovatel ransomwaru.
„Komoditní malware může vypadat jako písečná bouře nízkoúrovňového hluku, která ucpává bezpečnostní výstražný systém. Z toho, co Sophos analyzoval, je zřejmé, že obránci musí tyto útoky brát vážně kvůli tomu, kam až by mohly vést,“ podotýká Wisniewski.
Jakákoli infekce podle něj může zapříčinit jakoukoliv další infekci. „Mnoho bezpečnostních týmů bude mít pocit, že jakmile byl malware zablokován nebo odstraněn a napadený stroj vyčištěn, bylo incidentu zabráněno,“ říká s tím, že podcenění drobných’ infekcí se může ukázat jako velmi nákladné.
3) Všechny typy protivníků budou stále více zneužívat legitimní nástroje
Zneužití legitimních nástrojů podle expertů společnosti Sophos umožňuje protivníkům vyhnout se detekci, zatímco se pohybují po síti, dokud nejsou připraveni zahájit hlavní část útoku, například spustit ransomware.
Pro útočníky sponzorované národními státy je další výhodou, že použití běžných nástrojů ztěžuje jejich identifikaci. V roce 2020 například společnost informovala o široké škále standardních útočných nástrojů, které nyní protivníci používají.
„Zneužívání každodenních nástrojů a technik k maskování aktivních útoků se nejdříve objevilo v hodnocení prostředí hrozeb společnosti Sophos během roku 2020. Tato technika zpochybňuje tradiční bezpečnostní přístupy, protože zpozorování známých nástrojů automaticky nespustí poplach,“ říká Wisniewski.
V této oblasti si podle něj přichází na své rychle se rozvíjející pole lidmi řízeného lovu hrozeb a řízené reakce na hrozby. Lidští odborníci poznají jemné anomálie a stopy, které je třeba hledat, jako je například legitimní nástroj používaný ve špatnou dobu nebo na špatném místě.
„Pro trénované lovce hrozeb nebo IT manažery využívající funkce Endpoint Detection and Response (EDR) jsou tyto náznaky cennými indikátory, které mohou varovat bezpečnostní týmy před potenciálním vetřelcem a probíhajícím útokem,“ dodává.
Zdroj: Sophos