W ostatnich latach mogliśmy obserwować bardzo szybką ewolucję zagrożeń. Ataki przestały być domeną hakerów, którzy tylko dla rozgłosu planowali spowodować szkody w czyimś systemie informatycznym. Teraz cyberprzestępstwami zajmują się profesjonaliści pragnący z tego procederu mieć jak największe profity. Dlatego powstaje złośliwe oprogramowanie, które nie ma na celu destrukcji, ale dokonywanie przemyślanych ataków zarówno na masową, jak i lokalną skalę.

 

Jest się czego bać

W efekcie malware stał się bardziej wyrafinowany i trudny do wykrycia, bo bez trudu omija tradycyjne zabezpieczenia. Jest tworzony w taki sposób, by radził sobie także z nowymi metodami ochrony – potrafi pozostawać w uśpieniu długi czas i wykrywać obecność w systemie nowych rozwiązań zabezpieczających. Powstają wręcz gotowe zestawy narzędzi do dokonywania ataków, z których mogą korzystać napastnicy mniej obeznani z kodowaniem. Plon zbiera także ransomware, czyli oprogramowanie wymuszające okup. Wśród odmian tego typu złośliwych algorytmów największą „sławą” cieszył się w ostatnim czasie cryptolocker, szyfrujący pliki w komputerach i domagający się opłaty za zdjęcie blokady.

Na celowniku cyberprzestępców są nie tylko największe firmy i instytucje rządowe. Celem nowego rodzaju zagrożeń, czyli ataków ukierunkowanych – Advanced Persistent Threat – może być każde przedsiębiorstwo dysponujące zasobami informatycznymi, które przestępcy zdołają wykorzystać. Użyte do APT złośliwe oprogramowanie przeprowadza rekonesans systemu, by poznać reakcję na poprzednio przeprowadzony atak. Malware może sprawdzać, czy jest uruchomiony na maszynie wirtualnej, i szukać oznak użycia narzędzi wskazujących, że zastosowano technikę obrony zwaną sandboxingiem (to wydzielony wirtualny system, uruchomiony na sprzęcie o bardzo dużej mocy obliczeniowej, którego zadaniem jest wykrywanie zagrożeń niezidentyfikowanych przez pozostałe warstwy ochronne). Aby przeciwdziałać takim wyrafinowanym zabezpieczeniom, malware może być nieaktywny przez wiele miesięcy, by po tym czasie skontaktować się ze zdalnym serwerem typu Command and Control, uruchomionym przez atakujących.