Pe unde mai intră hackerii în companie: atacatorii exploatează vulnerabilitățile 5G și ale dispozitivelor de rețea

Situația prin care am trecut în 2020 va aduce multe schimbări structurale și strategice, nu doar în viața noastră de zi cu zi, ci și în domeniul atacurilor țintite, nu în ultimul rând datorită câmpului de atac, acum mult mai extins.

Noii vectori de atac, cum ar fi exploatarea vulnerabilităților 5G și a dispozitivelor de rețea, se vor aplica alături de atacuri în mai multe etape și acțiuni pozitive împotriva activităților care permit atacuri cibernetice, cum ar fi vânzările zero-day.

Prognoza a fost dezvoltată pe baza schimbărilor la care a asistat echipa globală de cercetare și analiză (GReAT) a Kaspersky în 2020 și au fost publicate pentru a sprijini comunitatea din domeniul securității cibernetice cu câteva jaloane și perspective noi. Acestea din urmă, împreună cu o serie de previziuni privind amenințările din industrie și tehnologie, au fost create pentru a ajuta la pregătirea pentru provocările care urmează.

„Trăim într-o lume atât de mercantilă, încât este probabil ca în viitor să se întâmple unele evenimente și procese, pe care nu le-am putut înțelege încă. Cantitatea și complexitatea schimbărilor la care am asistat, care au afectat mediul amenințărilor cibernetice ar putea dicta multe scenarii pentru ceea ce urmează să apară”, spune David Emm, cercetător principal în domeniul securității la Kaspersky. „Mai mult, nu există echipe de cercetare a amenințărilor în lume care să aibă o vizibilitate deplină a operațiunilor actorilor de amenințare APT. Da, lumea este un loc haotic, dar experiența noastră anterioară arată că am fost capabili să anticipăm multe dezvoltări APT și, prin urmare, să ne pregătim mai bine pentru a le face față. Vom continua să urmăm această cale, înțelegând tactica și metodele din spatele campaniilor și activităților APT, împărtășind ideile pe care le învățăm și evaluând impactul acestor campanii țintite. Ceea ce contează aici este să urmărim situația îndeaproape și să fim întotdeauna gata să reacționăm, iar noi suntem încrezători în acest sens.”

Conexiuni între atacuri

Una dintre tendințele cheie și, potențial, cele mai periculoase, pe care cercetătorii Kaspersky le anticipează este schimbarea abordării atacurilor de către atacatorii cibernetici. Anul trecut atacurile ransomware țintite au atins un nou nivel prin utilizarea malware-ului generic ca mijloc de a obține un punct de pornire inițial în atacarea rețelelor vizate. S-au observat conexiuni între acestea și rețelele subterane recunoscute, cum ar fi Genesis, care de obicei tranzacționează informațiile furate. Cercetătorii Kaspersky cred că actorii APT vor începe să folosească aceeași metodă pentru a-și compromite țintele.

În consecință, organizațiile ar trebui să acorde o atenție sporită malware-ului generic și să efectueze activități importante de răspuns la incidente pe fiecare computer compromis pentru a se asigura că malware-ul generic nu a fost utilizat ca mijloc de implementare a amenințărilor mai sofisticate.

Alte previziuni în ceea ce privește amenințările țintite pentru 2021 includ:

• Mai multe țări care utilizează pârghii legale ca parte a strategiei lor cibernetice. Previziunile anterioare ale Kaspersky referitoare la folosirea principiului de „naming and shaming”, cu privire la atacurile APT efectuate de părțile ostile s-au dovedit a fi reale și mai multe organizații vor urma acest exemplu. Expunerea seturilor de instrumente ale grupurilor APT, efectuată la nivel guvernamental, va determina mai multe state să facă același lucru, afectând astfel activitățile și evoluțiile atacatorilor prin eliminarea seturilor de instrumente existente.
• Mai multe companii din Silicon Valley vor lua măsuri împotriva brokerilor zero-day. În urma cazurilor scandaloase în care vulnerabilitățile de tip zero-day din aplicațiile populare au fost exploatate pentru spionaj asupra unei varietăți de ținte, este foarte posibil ca mai multe corporații din Silicon Valley să ia poziție împotriva brokerilor zero-day în efortul de a-și proteja clienții și reputația.
• Atacurile intensificate asupra dispozitivelor de rețea. Cu regimul de muncă de la distanță, securitatea organizațională a devenit o prioritate și va apărea un interes mai mare pentru exploatarea dispozitivelor de rețea, cum ar fi gateway-urile VPN. Pot apărea, de asemenea, încercările de obținere a informațiilor esențiale pentru a accesa VPN-urile corporative prin intermediul angajaților care lucrează la distanță.
• Obținerea banilor „prin amenințări”. Schimbările în strategia bandelor de ransomware conduc la consolidarea unui ecosistem ransomware încă divers, dar destul de restrâns. După succesul strategiilor anterioare de atac direcționat, mai multe grupări mari de ransomware vor începe să își concentreze activitățile și să obțină capabilități de tip APT – cu banii pe care grupurile le-au obținut, vor putea investi fonduri mari în noi seturi de instrumente avansate, cu bugete comparabile cu cele ale unora dintre grupurile APT sponsorizate de state.
• Atacuri mai periculoase vor rezulta dintr-un atac dirijat, conceput să afecteze infrastructura critică sau daunele colaterale – întrucât viețile noastre au devenit și mai dependente de tehnologie cu un camp de atac mult mai larg ca oricând.
• Apariția vulnerabilităților 5G. Pe măsură ce adoptarea acestei tehnologii crește, și mai multe dispozitive devin dependente de conectivitatea pe care o oferă, atacatorii vor avea o motivație și mai puternică pentru a căuta vulnerabilități pe care le pot exploata.
• Atacatorii vor continua să exploateze pandemia COVID-19. Deși nu a provocat schimbări în tacticile, tehnicile și procedurile atacatorilor cibernetici, virusul a devenit un subiect important de interes. Deoarece pandemia va continua până în 2021, atacatorii nu vor înceta să exploateze acest subiect pentru a obține acces în sistemele țintă.