Ransomware nadal silny

Największe w skali i skutkach ataki oprogramowania szyfrującego ransomware – WannaCry i Petya – miały miejsce w 2017 r. Twórcy narzędzi ochronnych wyciągnęli z nich wiele wniosków, dzięki którym dziś już nie tak łatwo doprowadzić do tego typu ataku z wykorzystaniem niepotrzebnie otwartych portów lub niezałatanych aplikacji. Wykorzystują fakt, że zachowanie oprogramowania ransomware przebiega według tego samego schematu: w krótkim czasie zmieniana jest treść i nazwa bardzo dużej liczby plików, więc gdy takie działanie zostanie zaobserwowane, proces, który je zainicjował, może zostać natychmiast zablokowany. I choć w ostatnich miesiącach spadła liczba infekcji, nie oznacza to jednak, że ataki typu ransomware powoli przechodzą do historii. Są prowadzone obecnie z większą precyzją, a zarażenie komputera ofiary następuje najczęściej z wykorzystaniem inżynierii społecznej. Przestępcy bowiem precyzyjnie dobierają podmioty, które zostaną zaatakowane. Pod uwagę biorą chociażby to, czy firmę będzie w ogóle stać na opłacenie okupu oraz czy ze względu na ryzyko utraty reputacji będzie skłonna to zrobić.

Przełomowe przejście od sporadycznych ataków do przestępczości zorganizowanej nastąpiło w momencie pojawienia się kilku rodzin oprogramowania ransomware, w tym SamSam i GandCrab. Ta druga zapewniła sobie pozycję lidera w drugiej połowie 2018 r., kiedy osiągnęła 50 proc. udziału w swoim segmencie „rynku”. Co prawda pierwszych ofiar GandCrab dosięgnął już w styczniu, ale swoje możliwości pokazał w pełni właśnie w drugiej połowie ubiegłego roku. Domagał się wygórowanego okupu, w niektórych przypadkach sięgającego 700 tys. dol. Inne rodziny oprogramowania ransomware dominują pod względem rozległości działania i liczby infekcji, ale żadna nie przyniosła twórcom korzyści większych niż GandCrab.

DDoS wraca do łask

Rok 2018 charakteryzował się znaczącym stałym spadkiem liczby ataków DDoS, co mogło sugerować, że preferujący wcześniej tę metodę cyberprzestępcy zwrócili się w kierunku innych źródeł przychodów. Komputery zombie, które znajdują się pod kontrolą centrów command & control, zamiast do zmasowanego uderzenia mogły być wykorzystywane do nielegalnego kopania kryptowalut. Ale w I kwartale 2019 r. trend się odwrócił. Analitycy z Kaspersky Lab zauważyli, że liczba kampanii DDoS w tym okresie wzrosła o 84 proc. w porównaniu z zanotowaną w poprzednim kwartale.

Odnotowano szczególnie wyraźny wzrost liczby ataków trwających ponad godzinę. Było ich dwukrotnie więcej, a średnia długość zwiększyła się o 487 proc. Statystyki te potwierdzają hipotezę, że cyberprzestępcy wciąż rozwijają swoje techniki i z czasem potrafią przeprowadzać dłuższe, trudniejsze do zorganizowania uderzenia.

Już od kilku lat kampanie DDoS przeprowadzane są jako usługa, głównie dla klientów podejmujących nieczystą grę konkurencyjną. Zdarzały się też sytuacje, że dana firma była ofiarą długotrwałego ataku, jej giełdowa wartość spadała, a następnie (zupełnie „przypadkowo”) przejmował ją inny podmiot. Dlatego celem instytucji pilnujących porządku w cyberprzestrzeni jest wykrywanie „sklepów” z tymi usługami. Przez ostatnie miesiące wiele z nich zostało zamkniętych, ale – zgodnie z regułą, że rynek nie znosi próżni – na ich miejsce pojawiły się nowe.

Na szczęście obrona przed atakami DDoS nie należy do trudnych. Najważniejsze jest, aby usługi kluczowe dla funkcjonowania firmy, od których zależy jej reputacja, udostępniać z centrów danych dużych operatorów, którzy dysponują bardzo szerokim, redundantnym pasmem łączności internetowej, a oprócz tego inwestują w rozwiązania anty-DDoS i zatrudniają ekspertów, którzy potrafią szybko i skutecznie zareagować w przypadku problemów. Ma to szczególne znaczenie w kontekście faktu, że cyberprzestępcy będą próbowali zwiększyć siłę rażenia i albo atakować z wykorzystaniem bardzo dużej liczby komputerów zombie albo generować pakiety wysyłane do infrastruktury ofiary, których nie rozpoznają rozwiązania ochronne.

 

5G: większy transfer, więcej ataków

Prawdopodobnie już w przyszłym roku będziemy dość swobodnie mogli korzystać z mobilnej sieci 5G, zapewniającej transfer 10 Gb/s. Szybki bezprzewodowy internet umożliwi szereg zastosowań, m.in. obsługę urządzeń IoT i samochodów autonomicznych. Jego dobrodziejstwa odczują też posiadacze inteligentnych domów, użytkownicy biurowców i mieszkańcy miast. Eksperci nie mają jednak wątpliwości – szybszy transfer wpłynie na rozwój zagrożeń. I to na dwa sposoby. Po pierwsze, pojawią się ciekawe możliwości użycia nowatorskich rozwiązań, a więc do sieci trafi więcej urządzeń, z których część na pewno nie zostanie właściwie zabezpieczonych. Po drugie, szybciej będzie można niezauważenie wykraść duże ilości danych, przez co skala ataków może stać się jeszcze bardziej dotkliwa.