Belépőszintű és nagyvadakra hajtó támadásokra egyaránt számíthatunk 2021-ben, de figyelnünk kell a kisebb veszélyességű vírusokra is, a támadók pedig egyre cselesebbek lesznek – derül ki egy friss kiberbiztonsági jelentésből.

A Sophos kiberbiztonsági cég közzétette a 2021-es fenyegetettségi jelentését. Az elemzés az elmúlt 12 hónap fenyegetései alapján vetíti előre, hogy a legjellemzőbb idei trendek milyen hatással lehetnek 2021-ben a digitális biztonságra.
Nagyvadakra hajtó és tanuló-jellegű zsarolóvírusok
A felső kategóriában a nagyvadakra hajtó zsarolóvírus családok tovább finomítják és változtatják az eszközeiket, technikáikat, hogy nehezebben lehessen ezeket felfedezni, komplexitásukban pedig közelebb kerüljenek az állami támogatású hacker csoportokhoz.
Ezek nagyobb szervezeteket céloznak meg, váltságdíj követeléseik pedig több millió dollárra rúgnak. Idén ide volt sorolható a Ryuk és a RagnarLocker is. A Sophos arra is számít, hogy a spektrum másik végén nőni fog a belépőszintű, tanuló-jellegű támadók száma, akik menü alapú bérelhető zsarolóvírusokat keresnek, mint amilyen a Dharma, amelyekkel nagyobb mennyiségben tudnak kisebb prédákat megcélozni.
Egy másik zsarolóvírus trend a “másodlagos zsarolás”, ahol a támadók az adatok titkosítása mellett el is lopják azokat, valamint az érzékeny és bizalmas információk nyilvánosságra hozatalával is fenyegetnek, ha a követeléseiket nem teljesítik. Ilyen megközelítést használ egyebek mellett a Maze, a RagnarLocker, a Netwalker és a REvil.
“A zsarolóvírusok üzleti modellje dinamikus és komplex, a támadók képességeik és célpontjaik alapján különböztetik meg magukat. Olyan zsarolóvírus családokat is láttunk, amelyek megosztják a legjobb eszközöket és sajátos stílusú, kollaboratív kartelleket hoznak létre” – mondja Chester Wisniewski, a Sophos vezető kutatója.
Hozzáteszi: úgy tűnt, hogy néhány társaság, mint például a Maze is, összecsomagolt és egy életre nyaralni ment. Néhány eszközük és technikájuk azonban egy új jövevény, az Egregor leple alatt újból felbukkant. Ha egy fenyegetés eltűnik, egy másik gyorsan elfoglalja a helyét. Szinte lehetetlen előre meghatározni több szempontból is, hogy hogyan fejlődik a zsarolóvírus a jövőben, de az idei támadási trendek valószínűleg folytatódni fognak 2021-ben is.
A botnetek, loaderek is tovább élnek
Ezek az úgynevezett Initial Access Brokerek a kisebb veszélyességű vírusok közé tartoznak. Arra tervezték őket, hogy megvessék a lábukat a célpont hálózatában, alapvető fontosságú adatokat gyűjtsenek, és megosszák az információkat a vezérlő-hálózatukkal, amely további utasításokat ad majd nekik.
Ha valódi emberek állnak operátorként az ilyen típusú fenyegetések mögött, minden megfertőzött gépet ellenőriznek a földrajzi elhelyezkedésük és más értékesebb célpontra utaló jelek alapján, majd a legjövedelmezőbb célpontokhoz való hozzáférést eladják a legmagasabb ajánlatot tévő licitálónak, legyen az akár egy jelentős zsarolóvírus-művelet üzemeltetője. Példa erre Idén a Ryuk, amely a Buer Loadert használta a zsarolóvírus célba juttatására.
Radar alatt repülő támadók
A támadók egyre többször élnek vissza legitim eszközökkel, jól ismert segédprogramokkal és gyakran használt weboldalakkal, hogy elkerüljék a lebukást és a biztonsági intézkedéseket, illetve megakadályozzák az elemzéseket és az azonosítást.
A legitim eszközök segítségével a támadók “a radar alatt repülhetnek” a hálózaton belül mozogva, míg készen nem állnak a támadás fő részének elindítására, ami lehet akár egy zsarolóvírus is. Az államilag szponzorált támadók előnyben vannak, hiszen az általános eszközök használata megnehezíti az azonosítást.
További trendek 2021-re
A Sophos friss jelentése további trendeket is beazonosított 2021-re. Ezek közé sorolhatók a szervertámadások, ilyenkor a támadók Windowst és Linuxot is futtató szerver platformokat céloznak meg, és arra használják fel azokat, hogy a szervezeteket belülről támadják meg.
A COVID 19 járvány is komoly hatással van az IT biztonságra, leginkább azzal, hogy az általában gyengébb védelmi szinttel bíró homeoffice-ba költözés nyomán megnőttek a biztonsági kihívások.
A felhő környezetet sem kerülik el a fenyegetések. A szakértők szerint a felhő alapú rendszerek sikeresen kiszolgálták az informatikai környezetekre vonatkozó nagyvállalati biztonsági elvárások nagy részét, de a járvány nyomán kialakult helyzetben a tradicionális nagyvállalati hálózatoktól eltérő kihívásokkal is kénytelenek szembesülni.
A támadások középpontjában maradnak a jövőben is az olyan általános szolgáltatások, mint az RDP(távoli menedzsment) és a VPN(virtuális magánhálózati) csomópontok. A támadók az RDP-t arra is használják, hogy a feltört hálózatokon belül laterálisan(a megszokottól eltérő irányban is) mozogjanak.
Velünk maradnak a “potenciálisan kéretlen”-ként megjelölt szoftveralkalmazások, melyek nagy mennyiségű hirdetést jutattak célba, a jövőben azonban már olyan taktikák részét képezik, melyek egyre inkább megkülönböztethetetlenek a nyílt vírusoktól.
Újból megjelent a már rég elfeledett VelvetSweatshop bug is – a Microsoft Excel egy korábbi verziójának alapértelmezett jelszó funkciója – amely arra szolgál, hogy makrókat és más ártalmas tartalmat rejtsen el a dokumentumokban és elkerülje a fejlett védelmeket.
A szakértők fontosnak tartják az epidemiológiai megközelítés alkalmazását is a nem látható és ismeretlen digitális fenyegetések számszerűsítésére, hogy áthidalhatóak legyenek az azonosítás, kockázat felmérés és a prioritás-meghatározás területén jelen lévő rések.