Kreatywność przestępców nie zna granic

Cyberprzestępcy zarabiają na swym procederze wielkie pieniądze. Od kilku lat większe niż przynosi handel narkotykami. Nic dziwnego zatem, że z zaciekłością próbują ominąć wszystkie przygotowane przez „dobrą stronę mocy” zabezpieczenia. Celem przestępców jest monetyzacja każdego elementu ich działania. Pozyskują więc fundusze z bezpośrednich kradzieży (na przykład z kart kredytowych, rachunków bankowych), odsprzedaży wrażliwych danych, szantaży (ransomware lub groźba ujawnienia „niewygodnych” informacji), kradzieży energii elektrycznej potrzebnej na wydobycie kryptowalut. Zatem skoro mamy wojnę, trzeba przygotować się do walki.

– Tworząc strategię ochrony przed atakami, najpierw trzeba odpowiedzieć sobie na pytanie, co w rzeczywistości powinno zostać zabezpieczone i w jaki sposób ująć te cele w polityce bezpieczeństwa – mówi Andrzej Bugowski, IBM Business Unit Manager w Tech Dacie. – Do najważniejszych obszarów, których ochrona jest konieczna, należą: infrastruktura IT, identyfikacja użytkowników oraz ich autoryzacja. Trzeba się upewnić, że używane w przedsiębiorstwie aplikacje zostały opracowane z uwzględnieniem najwyższych standardów ochrony. Trzeba także zbierać maksymalnie dużo informacji o funkcjonowaniu zabezpieczanego środowiska, starać się jak najwcześniej identyfikować zagrożenia i przygotować na potencjalne incydenty.

Cryptojacking – kradzież mocy

Wśród „świeżych” pomysłów na prowadzenie cyberataków zdecydowanie wyróżnia się cryptojacking, czyli wykorzystywanie mocy obliczeniowej urządzenia ofiary do kopania kryptowalut. Oczywiście wartość „cyfrowego złota” przejętego przez cyberprzestępców z pojedynczego komputera jest relatywnie niewielka, niższa niż koszt energii elektrycznej, który poniesie ofiara. Jednak przestępcy postępują w myśl zasady, że ziarnko do ziarnka, a zbierze się miarka. Do tego typu działalności zachęcił ich wykładniczy wzrost wartości w 2017 r. takich kryptowalut jak bitcoin, monero czy ethereum.
Stosujący cryptojacking oszuści atakują laptopy, komputery stacjonarne, serwery, a nawet urządzenia mobilne. Kod kopiący kryptowaluty i przesyłający je do cyberprzestępców może być wprowadzony do urządzeń na kilka sposobów. Jednym z popularniejszych jest umieszczenie owego kodu w skrypcie JavaScript i osadzenie na stronie internetowej (przez włamanie się do hostującego ją serwera lub w skrypcie firm trzecich wyświetlających reklamy).

Proces kopania kryptowaluty przez stronę internetową ma jednak podstawową wadę – jest przerywany w momencie zamknięcia przeglądarki lub karty wyświetlającej zainfekowaną witrynę. Poza tym działalność tak umiejscowionego złośliwego kodu kopiącego kryptowaluty łatwo wykryć, wykorzystuje bowiem do maksimum moc procesora. Bazując na tej obserwacji, twórcy przeglądarek internetowych wprowadzili zabezpieczenia, które blokują zbyt zasobożerne procesy. Odpowiedzią cyberprzestępców było wprowadzenie ograniczeń w kodzie, dzięki którym wykorzystuje tylko część mocy obliczeniowej i działa praktycznie niezauważenie. Okazało się także, że istnieją kopiące skrypty dla systemu Android, które rozpoczynają pracę tylko po podłączeniu telefonu lub tabletu do zasilania, co ma uchronić baterię przed szybkim rozładowaniem i uśpić czujność użytkowników.

Oprócz tego, że cyberprzestępcy tworzą skrypty osadzane na stronach internetowych, starają się zarażać urządzenia ofiar klasycznymi metodami dystrybucji malware’u. Z punktu widzenia atakującego zaletą tradycyjnego modelu, ale jednocześnie jego wadą, jest to, że złośliwa aplikacja musi być uruchomiona przez cały czas, tylko wtedy przestępca będzie miał zyski. Znika więc ryzyko ręcznego wyłączenia jej przez użytkownika (tak jak w przypadku przeglądarki internetowej), ale obecność uruchomionego przez cały czas procesu wykorzystującego znaczną część mocy obliczeniowej procesora (nawet po wprowadzeniu ograniczeń) wzbudzi czujność modułu heurystycznego w oprogramowaniu antywirusowym. 

Stosujący tę metodę dystrybucji kodu cyberprzestępcy są bardzo skuteczni, przebiegli i bezczelni. Gdy kod napotka „konkurencyjne” oprogramowanie kopiące cyberwaluty, natychmiast zabija ów proces. Hakerzy sprawdzają też, jaki system operacyjny (Windows, macOS, Linux) i w jakiej architekturze (32 lub 64 bity) jest uruchomiony na komputerze ofiary, aby dostarczyć najbardziej efektywny kopiący mechanizm. Zdarza się również, że instalują trojana zdalnego dostępu (RAT), dzięki któremu nie tylko działają w ukryciu na urządzeniu użytkownika, ale także mają nad nim pełną kontrolę (mogą usuwać i modyfikować pliki, przesyłać i pobierać je oraz instalować inne złośliwe oprogramowanie). 
Cryptojacking coraz częściej jest wykrywany na urządzeniach mobilnych z systemem Android. Do uruchomienia kopiącego kodu najczęściej dochodzi w wyniku zainstalowania aplikacji z nieoficjalnego źródła. Nowe wersje Androida są jednak wyposażone w wiele mechanizmów wykrywających oprogramowanie zużywające dużą część mocy obliczeniowej procesora, dzięki czemu wyeliminowanie kopiącego złośliwego kodu jest prostsze niż w przypadku zwykłych komputerów.

Generalnie sposób walki z cryptojackingiem powinien przypominać stosowany wobec innego rodzaju złośliwego kodu. Konieczne jest posiadanie oprogramowania antywirusowego (kod kopiący kryptowaluty nie będzie zbyt często zmieniany, więc rośnie szansa wykrycia go) oraz regularne aktualizowanie systemu operacyjnego i aplikacji (szczególnie przeglądarek internetowych). Dzięki temu zostaną wyeliminowane luki wykorzystywane do wprowadzenia do komputera złośliwego kodu. Na telefonach komórkowych i tabletach warto stosować oprogramowanie do zarządzania (MDM), które dobrze radzi sobie z cryptojackingiem.

Ważne są też działania edukacyjne podjęte z myślą o pracownikach i administracji przedsiębiorstwa. Koniecznie trzeba ich przekonać, by zwracali uwagę, czy komputer nie pracuje wolniej albo czy się nie przegrzewa (co łatwo zaobserwować w przypadku laptopów). Wyraźnym sygnałem obecności w firmie złośliwego kopiącego kodu będzie też zauważalny wzrost wysokości rachunków za energię elektryczną.

Hasło cenniejsze niż wszystko

Na czarnym rynku zestaw – nazwa użytkownika i hasło do (praktycznie dowolnej) usługi – sprzedawany jest kilkakrotnie drożej niż skradzione numery aktywnych kart kredytowych. Dlaczego? Większość osób stosuje te same hasła w wielu internetowych usługach. Loginem zaś bardzo często są ich adresy e-mail. Po zalogowaniu się do jednej usługi w dziale „dane użytkownika” można zdobyć wiele informacji (datę urodzenia, miejsce zamieszkania, odpowiedzi na pytania kontrolne itp.), które ułatwią zalogowanie się do kolejnych lub przeprowadzenie procesu odzyskiwania hasła.

Zdarzało się wręcz, że cyberprzestępcy organizowali „konkursy” z bardzo atrakcyjnymi, chociaż nieistniejącymi w rzeczywistości nagrodami, w których trzeba było założyć konto i podać wiele danych bardzo istotnych dla bezpieczeństwa. Z powodu naiwności użytkowników skuteczność tego typu działania jest przeogromna, a niebezpieczeństwo dla przedsiębiorstw duże, bowiem wiele osób w niewiele znaczących serwisach stosuje te same hasła, co w pracy.
Atak, w ramach którego cyberprzestępcy próbują uzyskać dostęp do wielu kont użytkowników, nazwany został credential stuffingiem. Obrona przed nim jest bardzo trudna (ale nie niemożliwa), bo jej główne narzędzie to edukacja użytkowników, a z ich przyzwyczajeniami walczyć wyjątkowo ciężko. Możliwa jest jednak automatyzacja niektórych działań zabezpieczających. Większość ataków typu credential stuffing uruchamia się za pomocą botów, których działaniu zapobiegnie firewall aplikacji sieciowych. Dobrym rozwiązaniem jest zastosowanie systemów pojedynczego logowania (SSO) oraz dwuskładnikowego uwierzytelniania. W większych przedsiębiorstwach warto rozważyć wprowadzenie systemu zarządzania tożsamością użytkowników.

Jeżeli współpracujący z klientem integrator ma wpływ na kształt jego internetowych aplikacji, koniecznie należy zadbać o szyfrowanie wszystkich przesyłanych informacji. Warto monitorować nieudane próby uwierzytelniania oraz klasyfikować je. Ułatwi to zaobserwowanie pewnych prawidłowości statystycznych i odróżnienie użytkowników, którzy zawsze zapominają haseł, od działających „w ich imieniu” botów. Dobrym rozwiązaniem jest modyfikacja formularza logowania i wprowadzenie dynamicznych pól. Ich zmieniająca się lokalizacja na ekranie lub kolejność występowania utrudni stworzenie zautomatyzowanego skryptu.

Ransomware wciąż na fali

Szantażujące, szyfrujące oprogramowanie ransomware niewątpliwie było w 2017 r. zagrożeniem numer jeden. Można by zakładać, że po serii bardzo udanych tego typu ataków (m.in. WannaCry, NotPetya i Bad Rabbit), wielokrotnie nagłaśnianych w najważniejszych na świecie mediach, dziś każdy użytkownik komputera zdaje sobie sprawę z zagrożenia. Niestety, to założenie nieprawidłowe.

Dwiema najskuteczniejszymi metodami ochrony przed ransomware’em jest tzw. higiena użytkowania komputera (odwiedzanie tylko zaufanych stron, wyczulenie na e-maile phishingowe, korzystanie z antywirusa). A gdy już do zaszyfrowania danych dojdzie – zapewnienie sobie możliwości odzyskania danych z backupu. Niestety, na te metody przestępcy też znaleźli sposób. Analitycy zagrożeń wykryli już „buszujące” w Internecie kody ransomware’u, które nie były wykrywane przez moduły heurystyczne żadnego pakietu antywirusowego i omijały wszelkie zabezpieczenia zainstalowane u użytkowników prywatnych i w małych firmach. Jest też sposób na zbyt wyczulonych użytkowników. Nawet jeśli nie otworzą linka z oszukańczego e-maila, zaufają swoim znajomym, którym… cyberprzestępcy zapłacą prowizję od skutecznie przeprowadzonego ataku. Tego typu ryzyko mogą na firmę sprowadzić zwolnieni z pracy użytkownicy, a przy okazji zyskać niezłą „odprawę”.

Pułapki czyhają również na osoby, które wykonują regularny backup. Ransomware z reguły szyfruje nie tylko dane na komputerze, na którym został zainstalowany i uruchomiony, ale też na dołączonych do niego zewnętrznych pamięciach oraz udziałach sieciowych (np. z serwera NAS). Poza tym istnieje ryzyko, że świeżo zaszyfrowane pliki nadpiszą te właściwe, gdy kopie backupowe wykonywane są cały czas na tym samym nośniku. W takiej sytuacji zawsze trzeba pamiętać o włączeniu wersjonowania plików (przechowywania kilku wersji). Zalecane jest też tworzenie backupu na nośnikach wymiennych.

Czy dzięki ransomware’owi cyberprzestępcy mają przewagę? Trudno powiedzieć, wiele bitew z nimi zostało wygranych, ale na pewno nie można mówić o zbliżającym się końcu wojny. Producenci rozwiązań zabezpieczających twierdzą, że wkrótce konieczne będzie zatrudnienie sztucznej inteligencji, analizującej znacznie dokładniej działanie uruchamianego na komputerach kodu, niż robią to obecnie rozwiązania typu sandbox. 

Natomiast na pewno nie wolno rezygnować z oprogramowania antywirusowego, gdyż wykrywa wszystkie znane już moduły szyfrujące. Można też zaproponować klientowi wdrożenie narzędzi wprowadzających do środowiska użytkownika białe listy aplikacji i analizujących przebieg uruchomionych procesów. Potrafią wykryć trwającą przez dłuższy czas próbę otwierania dużej liczby plików i zmiany ich zawartości, co jednoznacznie wskazuje na trwający proces szyfrowania. Naturalnie konieczne jest kontynuowanie działań edukacyjnych. Gdy prowadzą je przedstawiciele współpracującego z klientem VAR-a lub integratora, jest szansa, że pracownicy podejdą do szkolenia poważniej niż w przypadku prowadzonego przez dział IT. Zawsze też należy wykonywać backup (i weryfikację spójności skopiowanych danych). Nie tylko ze względu na ransomware.

Uporczywe ataki wciąż w modzie

Już od kilku lat za jedno z największych zagrożeń uznawane są ataki typu Advanced Persistent Threat, kierowane przeciwko precyzyjnie wybranym firmom i prowadzone według starannie przygotowanej strategii, po wcześniejszym rozpoznaniu. 

– Ochrona przed występującymi dziś zagrożeniami musi być wszechstronna – mówi Michał Jarski, VP Sales EMEAA w firmie Wheel Systems. – Nie można już bazować wyłącznie na firewallach i zabezpieczeniach sygnaturowych, ponieważ cyberprzestępcy zwykle nie atakują od frontu, ale przez konta uprawnionych użytkowników. Konieczne stało się skrupulatne obserwowanie wszystkich obszarów związanych z IT, które mogą być wykorzystane do ataku: każdy podłączony do sieci system jest potencjalnym punktem wejścia. Należy zwrócić uwagę szczególnie na procesy, w obsługę których zaangażowani są użytkownicy o wyższych uprawnieniach, przede wszystkim na logowanie. Najważniejsze jest szybkie ustalenie, czy loguje się właściwa osoba, czy ktoś podszywający się pod uprawnionego użytkownika. Nagrywanie zainicjowanych przez nich zdalnych sesji jest zawsze dobrym pomysłem, bo może być to jedyny dowód incydentu.

Zespół Global Research & Analysis Team (GReAT), działający w strukturach firmy Kaspersky Lab, wskazał, że w I kwartale 2018 r. miało miejsce ujawnienie luk w procesorach firm AMD i Intel, które mogą zostać wykorzystane do przeprowadzenia ataków typu APT (chociaż na razie zademonstrowano tylko ataki przykładowe, udowadniające istnienie luki). Co prawda producenci systemów operacyjnych wydali już aktualizacje, ale wiadomo, że nie wszyscy administratorzy podchodzą wystarczająco skrupulatnie do ich instalacji. Trudno też zakładać, że wkrótce nastąpi masowa wymiana sprzętu na pozbawiony wad.
Eksperci podkreślają, że cyberprzestępcy coraz częściej do przeprowadzania ataków będą wykorzystywali luki w zabezpieczeniach sprzętu sieciowego (przede wszystkim routerów), jako kolejnego elementu infrastruktury IT, którego oprogramowanie powinno być na bieżąco aktualizowane, a nie jest. Jako przykład można wskazać ujawniony w marcu atak na routery MikroTik przeprowadzony przez grupę Slingshot. Ciekawostką było wykrycie złośliwego oprogramowania wykorzystanego przeciwko organizatorom igrzysk olimpijskich w koreańskim Pyeongchang.