Κατά τη διάρκεια του 2020, οι κυβερνοεγκληματίες βρήκαν ποικίλους τρόπους εκμετάλλευσης της πανδημίας σε παγκόσμιο επίπεδο προς όφελός τους. Οι δείκτες δραστηριότητας κυβερνοαπειλών άρχισαν να διαφαίνονται σχεδόν αμέσως μετά την εκδήλωση της πανδημίας.
Αυτό καταγράφει κείμενο – «ανασκόπηση των τάσεων του τοπίου κυβερνοαπειλών για το 2020» της Αρχής Ψηφιακής Ασφάλειας «National CSIRT-CY».
Σύμφωνα λοιπόν με την Αρχή Ψηφιακής Ασφάλειας, κακόβουλη δραστηριότητα διάρκειας πολλών εβδομάδων έκανε χρήση δολωμάτων που σχετίζονται με την νόσο COVID-19. Η δραστηριότητα αυτή υποστηριζόταν μεταξύ άλλων και από έθνη-κράτη. Κακόβουλα ηλεκτρονικά μηνύματα με μολυσμένα αρχεία, προσποιούνταν ότι περιείχαν οδηγίες και μέτρα προφύλαξης για την πανδημία. Τα εν λόγω μηνύματα φαινομενικά αποστέλλονταν από έμπιστες πηγές, όπως ο Παγκόσμιος Οργανισμός Υγείας και το CDC. Αυτές οι τάσεις εμφανίστηκαν σχεδόν αμέσως, αναδεικνύοντας την ταχύτητα με την οποία κακόβουλοι δρώντες προσαρμόζονται για να μπορούν να κινηθούν ώστε να επωφεληθούν από σημαντικές εξελίξεις με ευρύ κοινωνικό αντίκτυπο.
Επιθέσεις στα οικιακά δίκτυα εργαζομένων
Οι κακόβουλοι δρώντες στον κυβερνοχώρο άδραξαν αμέσως της ευκαιρίας που παρουσιάστηκε εξαιτίας της μαζικής μετατόπισης από εταιρικά σε οικιακά δίκτυα λόγω της τηλεργασίας. Κατά το 1ο εξάμηνο του 2020, οι προσπάθειες εκμετάλλευσης αρκετών δρομολογητών και συσκευών IoT ήταν στην κορυφή της λίστας εντοπισμού από IPS. Το Mirai ανέβηκε στην πρώτη θέση ανάμεσα στα πιο ζημιογόνα botnets μέχρι τις αρχές Μαΐου, ενώ πολύ κοντά βρισκόταν και το botnet με την ονομασία Gh0st. Αυτή η τάση είναι αποτέλεσμα των κυβερνοεγκληματιών που επιδιώκουν να αποκτήσουν πρόσβαση σε εταιρικά δίκτυα μέσω των οικιακών δικτύων των εργαζομένων.
Στόχευση προγραμμάτων περιήγησης διαδικτύου
Η τηλεργασία επέτρεψε στους επιτιθέμενους να στοχεύουν άτομα με ποικίλους τρόπους, όπως με κακόβουλο λογισμικό που χρησιμοποιείται σε επιθέσεις phishing με στόχο τους τελικούς χρήστες μέσω των προγραμμάτων περιήγησης διαδικτύου. Για παράδειγμα, κακόβουλο διαδικτυακό λογισμικό που χρησιμοποιείται σε καμπάνιες phishing και άλλων ειδών απάτες ξεπέρασε το ηλεκτρονικό ταχυδρομείο ως τρόπο παράδοσης.
Υπήρξε επίσης σημαντική μείωση της εταιρικής κίνησης στο διαδίκτυο, όπως αναμενόταν, εξαιτίας της χρήσης του διαδικτύου κυρίως από το σπίτι αντί για το γραφείο ή το σχολείο. Ο συνδυασμός αυτών των δύο τάσεων σημαίνει ότι τα προγράμματα περιήγησης διαδικτύου, όχι μόνο οι συσκευές, έχουν καταστεί πρωταρχικοί στόχοι για κυβερνοεγκληματίες ως μέρος της στρατηγικής τους για τη στόχευση όσων τηλεργάζονται.
Το ransomware παραμένει μία συνεχής μάστιγα
Από τις αρχές του 2020 καταγράφηκε αδιάκοπη δραστηριότητα ransomware στοχεύοντας οργανισμούς ανά το παγκόσμιο. Οι επιτιθέμενοι έκρυβαν ransomware σε μηνύματα και συνημμένα με θέμα την COVID-19, συμπεριλαμβανομένων των παραλλαγών των Netwalker, Ransomware-GVZ, και CoViper. Το Ransomware-as-a-Service (RaaS) επέκτεινε επίσης τις προσφορές του, συμπεριλαμβάνοντας το Phobos, ένα ransomware που εκμεταλλεύεται το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) για πρόσβαση στο διαδίκτυο. Η πώληση κακόβουλου λογισμικού χρησιμοποιώντας το μοντέλο RaaS βοήθησε στην αύξηση των επιθέσεων ransomware, καθώς καθίστανται άμεσα διαθέσιμες ακόμα και σε λιγότερο εξελιγμένους κακόβουλους δρώντες.
Μια νέα αλλαγή που έφεραν χειριστές ransomware, πέρα από την κρυπτογράφηση δεδομένων και την απαίτηση λύτρων, είναι η δημοσίευση των δεδομένων αναρτώντας τα σε δημόσιους διακομιστές. Εάν το θύμα αρνηθεί να καταβάλει τα λύτρα που ζητούνται, οι χειριστές απειλούν με δημοσιοποίηση των δεδομένων. Αυτό υπογραμμίζει την ανάγκη κρυπτογράφησης των ευαίσθητων δεδομένων ανεξάρτητα από τη χρήση που τους γίνεται.
Επιπλέον, κανένας κλάδος δεν γλίτωσε από δραστηριότητα ransomware. Τα στοιχεία δείχνουν ότι οι πέντε πιο στοχευμένοι τομείς από επιθέσεις ransomware ήταν η εκπαίδευση, ο κυβερνητικός τομέας, οι τηλεπικοινωνίες, ο κατασκευαστικός τομέας και ο τομέας των μεταφορών. Δυστυχώς, η αυξημένη διαθεσιμότητα του RaaS και η εξέλιξη ορισμένων παραλλαγών υποδηλώνουν ότι η επικράτηση του ransomware θα συνεχιστεί.
Η OT εξακολουθεί να εμπεριέχει ρίσκο
Οι ομάδες επιχειρησιακής τεχνολογίας (OT) συνέχισαν να διασφαλίζουν την ασφάλεια βιομηχανικών συστημάτων ελέγχου (ICS) από κυβερνοαπειλές. Οι επιχειρηματικές δραστηριότητες διατρέχουν όλο και περισσότερο κίνδυνο, χάρη κυρίως στον αυξανόμενο αριθμό στρατηγικών εισβολής που γίνονται όλο και πιο περίπλοκες με την πάροδο του χρόνου. Οι προκλήσεις που εισάγει η COVID-19, όπως η τηλεργασίας και η υιοθέτηση νέων τεχνολογιών σχεδιασμένων για την υποστήριξη των εργαζομένων από το σπίτι, έχουν καταστήσει τους κινδύνους ακόμα μεγαλύτερους.
Το EKANS αποτελεί ένα παράδειγμα επιθέσεων ransomware που στοχεύουν περιβάλλοντα OT. Επιπρόσθετα, το πλαίσιο κατασκοπείας Ramsay – που σχεδιάστηκε για την συλλογή και την εξαγωγή ευαίσθητων αρχείων μέσα από κλειστά δίκτυα ή δίκτυα με υψηλούς περιορισμούς – αποτελεί παράδειγμα εγκληματιών οι οποίοι βρίσκουν νέους τρόπους να διεισδύσουν σε αυτών των ειδών δίκτυα. Και ενώ οι απειλές που στοχεύουν συστήματα εποπτικού ελέγχου και απόκτησης δεδομένων (SCADA) είναι λιγότερες από αυτές σε πληροφοριακά συστήματα, αυτό δεν μειώνει τη σημασία της τάσης που παρατηρείται.
Αντιμετώπιση των απειλών
Οι κυβερνοεπιθέσεις που έλαβαν χώρα το 2020 ήταν αξιοσημείωτες όχι μόνο για τη δραματική κλίμακα και την ταχεία εξέλιξή τους, αλλά και για την επίδειξη ικανότητας των κυβερνοεγκληματιών να αξιοποιούν τρέχοντα γεγονότα, όπως η πανδημία. Αυτό το επίπεδο ευελιξίας απαιτεί από τους οργανισμούς προσαρμογή των αμυντικών τους στρατηγικών, όχι μόνο για την σωστή προστασία από τα κύματα απειλών, αλλά ως μέρος της προσέγγισης τους σε κάθε είδους προσπάθειες μετασχηματισμού.
Οι οργανισμοί πρέπει να διασφαλίσουν ότι έχουν την απαραίτητη ορατότητα που χρειάζεται σε ολόκληρη την ψηφιακή τους υποδομή. Λαμβάνοντας υπόψη τον ραγδαίο ρυθμό αλλαγών που εντοπίστηκαν σε ολόκληρο το τοπίο κυβερνοαπειλών, η προσθήκη αυτοματισμών και πληροφοριών βασισμένων σε τεχνητή νοημοσύνη είναι ζωτικής σημασίας για την πρόληψη και την αντίδραση σε συμβάντα σε πραγματικό χρόνο σε κάθε ολοκληρωμένη στρατηγική ασφάλειας.