Cyberprzestępcy zarabiają na swym procederze wielkie pieniądze. Od kilku lat większe niż przynosi handel narkotykami. Nic dziwnego zatem, że z zaciekłością próbują ominąć wszystkie przygotowane przez „dobrą stronę mocy” zabezpieczenia. Celem przestępców jest monetyzacja każdego elementu ich działania. Pozyskują więc fundusze z bezpośrednich kradzieży (na przykład z kart kredytowych, rachunków bankowych), odsprzedaży wrażliwych danych, szantaży (ransomware lub groźba ujawnienia „niewygodnych” informacji), kradzieży energii elektrycznej potrzebnej na wydobycie kryptowalut. Zatem skoro mamy wojnę, trzeba przygotować się do walki.

Tworząc strategię ochrony przed atakami, najpierw trzeba odpowiedzieć sobie na pytanie, co w rzeczywistości powinno zostać zabezpieczone i w jaki sposób ująć te cele w polityce bezpieczeństwa – mówi Andrzej Bugowski, IBM Business Unit Manager w Tech Dacie. – Do najważniejszych obszarów, których ochrona jest konieczna, należą: infrastruktura IT, identyfikacja użytkowników oraz ich autoryzacja. Trzeba się upewnić, że używane w przedsiębiorstwie aplikacje zostały opracowane z uwzględnieniem najwyższych standardów ochrony. Trzeba także zbierać maksymalnie dużo informacji o funkcjonowaniu zabezpieczanego środowiska, starać się jak najwcześniej identyfikować zagrożenia i przygotować na potencjalne incydenty.

Cryptojacking – kradzież mocy

Wśród „świeżych” pomysłów na prowadzenie cyberataków zdecydowanie wyróżnia się cryptojacking, czyli wykorzystywanie mocy obliczeniowej urządzenia ofiary do kopania kryptowalut. Oczywiście wartość „cyfrowego złota” przejętego przez cyberprzestępców z pojedynczego komputera jest relatywnie niewielka, niższa niż koszt energii elektrycznej, który poniesie ofiara. Jednak przestępcy postępują w myśl zasady, że ziarnko do ziarnka, a zbierze się miarka. Do tego typu działalności zachęcił ich wykładniczy wzrost wartości w 2017 r. takich kryptowalut jak bitcoin, monero czy ethereum.
Stosujący cryptojacking oszuści atakują laptopy, komputery stacjonarne, serwery, a nawet urządzenia mobilne. Kod kopiący kryptowaluty i przesyłający je do cyberprzestępców może być wprowadzony do urządzeń na kilka sposobów. Jednym z popularniejszych jest umieszczenie owego kodu w skrypcie JavaScript i osadzenie na stronie internetowej (przez włamanie się do hostującego ją serwera lub w skrypcie firm trzecich wyświetlających reklamy).

Na czym polega Cyber Kill Chain?

Cyber Kill Chain to lista faz cyberataku. Została opracowana przez amerykański koncern zbrojeniowy Lockheed Martin. Jest świetnym narzędziem do opisywania sposobu ataku cyberprzestępców na firmę. 

1. Rozpoznanie. Na długo przed rozpoczęciem ataku przestępcy przeprowadzają rozpoznanie środowiska, aby znaleźć jego słabe punkty. Zbierają dane pracowników, adresy 
e-mail i inne informacje, aby znaleźć najkorzystniejszą formę ataku.
2. Zbrojenie. Jeśli zachodzi taka konieczność, wnioski z fazy nr 1 wykorzystywane są do modyfikacji narzędzi przestępczych lub tworzenia nowych, które pozwolą dostać się 
do środowiska IT ofiary i przeprowadzić atak.
3. Dostawa. Gdy przestępcy są gotowi do ataku, starają się dostarczyć złośliwy kod. Mogą wykorzystać do tego celu różne narzędzia: e-mail, zainfekowane strony internetowe, 
ale też podrzucone pod siedzibę przedsiębiorstwa pendrive’y.
4. Eksploatacja. W tym momencie rozpoczyna się prawdziwe włamanie. Wykorzystując słabe strony zabezpieczeń, hakerzy uruchamiają złośliwy kod w środowisku ofiary.
5. Instalacja. Złośliwy kod pobiera „zadania” z zarządzanego przez przestępców centrum Command & Control. 
6. Zdalne zarządzanie. Cyberprzestępcy mają zdalną kontrolę nad wybranymi elementami
 środowiska IT ofiary, mogą więc przystąpić do podjęcia akcji.
7. Cel akcji osiągnięty. Przestępcy miewają różne cele – zaszyfrowanie dysku i zażądanie okupu, wykradzenie poufnych danych, nazw i haseł użytkowników itd.

O cyberatakach trzeba myśleć nie jak o pojedynczych incydentach, ale jak o ciągłym procesie. Ochrona nie może skupiać się wyłącznie na przeciwdziałaniu w fazie nr 3, czyli dostarczeniu złośliwego kodu, ponieważ atak prawdopodobnie rozpoczął się wcześniej i będzie trwał znacznie dłużej, w zależności od celu cyberprzestępców. Warto podkreślić, że nie każdy rodzaj ataku jest podzielony na fazy zamieszczone na omawianej liście. Skupia się ona na atakach z wykorzystaniem złośliwego kodu, ale nie uwzględnia wielu działań mających na celu zmanipulowanie użytkowników (social engineering).