facebook LinkedIN LinkedIN - follow
IT security , IT Security

Trendy v oblasti kybernetických útoků a nové možnosti jejich odhalení

Václav Zubr


Několikaletým trendem jsou útoky na služby vystavené do internetu. S přesunem pracovníků do domovů se objem těchto útoků ještě navýšil. Útočníci si v nastupujícím roce dají záležet na sofistikovaném provedení útoků a na maximálním vytěžení napadené sítě.


Moderní spam je v češtině a imituje cloudové služby

Nejběžnější hrozbou je dlouhodobě spam. Přesněji řečeno infikované přílohy nebo odkazy vedoucí na podvodné stránky. Aktuálně se tímto kanálem šíří přes 90 % malware. Z velké části se jedná o masové kampaně. Ty jsou pro útočníky poměrně levné na výrobu a mohou je efektivně recyklovat. V loňském roce jsme se setkávali i s lokalizovanými kampaněmi v češtině, ty šířily zejména password stealery kradoucí především přihlašovací údaje uložené ve webových prohlížečích. Práce na lokalizacích se útočníkům často vyplácí. Uživatelé dokážou rozpoznat škodlivou přílohu lépe než dřív. Česky psaný hromadný e-mail s novou neokoukanou tématikou zvyšuje pravděpodobnost otevření přílohy až na 8 %. Zatímco přílohu generických e-mailů psaných v angličtině u nás spouští přibližně dva uživatelé ze sta.

Výrazným trendem, který podle našich dat narůstá poslední tři roky, jsou phishingové e-maily, které se maskují za zprávy z cloudových služeb. Cílem jsou častěji firmy. Útočníci využívají trendu, kdy stále více společností migruje infrastrukturu do cloudu. Nejčastěji se lze setkat s phishingovými e-maily, které imitují služby společnosti Microsoft nebo Google.

Útoky na služby vystavené do internetu neustanou

Desetina incidentů vzniká prostřednictvím jiného kanálu. V loňském roce se jednalo z velké části o útoky na služby vystavené do internetu. Výrazný nárůst útoků na tyto služby jsme zaznamenali s přechodem firem na práci na dálku během pandemie. Toto je dlouhodobě podceňovaný článek zabezpečení.

V průběhu minulého roku se jednalo především o útoky na protokol RDP. Lze očekávat, že zranitelných společností tímto kanálem již nebude tolik. Nárůst útoků na tento protokol byl tak masivní, že lze říct - kdo měl slabě zabezpečené RDP, byl už pravděpodobně kompromitovaný.

Obr. 1: Vývoj útoků na RDP v České republice. Zdroj: ESET
Obr. 1: Vývoj útoků na RDP v České republice. Zdroj: ESET

Nejen na RDP by si však administrátoři měli dávat pozor. Mezi zranitelné služby vystavené do internetu patří také FTP, poštovní či webové servery nebo VPN. Ale útočit lze v podstatě na jakoukoli takovou aplikaci. Přičemž tyto služby představují vážné riziko hlavně při nevhodné konfiguraci nebo neaplikovaných aktualizacích. A útočníci jsou si toho nyní více, než kdy jindy velmi dobře vědomi.

Pokračujícím trendem v roce 2021 budou také útoky na dodavatele služeb, které jsou prostřednictvím internetu propojené s dobře zabezpečenými firemními sítěmi. Jako příklad můžeme uvést úspěšné napadení společnosti SolarWinds. Kyberzločincům se podařilo propašovat svůj backdoor do produktů této firmy a v rámci aktualizací softwaru této společnosti jej dlouhé měsíce distribuovat na tisíce vybraných cílů. Nepozorovaně se tak dostali do mnoha federálních agentur USA, ale neubránili se ani velké technologické společnosti.

Trendy v oblasti incidentů

Očekáváme pokračující trend v pokusech o vytěžení dat z napadených subjektů. Stále více hackerských skupin se snaží podrobně zmapovat síť oběti a před konečnou fází zašifrování důležitých dat a znefunkčněním klíčových systémů ještě exfiltrovat zajímavá data. Ta poté prodávají na černém trhu, nebo s nimi dále vydírají oběť. Nejenže bez zaplacení nedojde ke zpětnému zprovoznění infrastruktury a dešifrování dat, ale ještě budou citlivé soubory jako smlouvy, detailní údaje o zaměstnancích, zákaznících, obchodních partnerech nebo know-how volně zveřejněna na internetu.

Při takových útocích je ve většině případů vektor útoku služba zranitelná z internetu. Za útokem stojí skupina tvořená nejen programátory, ale i zručnými specialisty na penetrační průniky a administrátory. Přestože tyto útoky trvají typicky dny, někdy týdny a cílem je jedna společnost, vidíme je stále častěji. Důvodem je vyšší návratnost investic. Cena za dešifrování je stanovována ručně dle uvážení útočníků a pohybuje se mezi vyššími stovkami tisíc a až jednotkami milionu korun. Výsledný příjem zločinců je tedy mnohem vyšší než v případě rozšířených spamových kampaní za využití generického malware.

Cryptojacking je minulostí, místo něj nastoupí phishing

Evergreenem minulých let byly coin minery. Těžba bitcoinů (i dalších měn) je ovšem čím dál tím náročnější na výkon a tím pádem méně zisková. Proto lze při vysoké ceně této komodity očekávat také krádeže virtuálních měn za využití phishingu nebo crypto stealerů nejen na platformě Windows, ale i Android.

Útoky na kryptoměny reagují na vývoj na burze, a to se zhruba měsíčním zpožděním. Běžným typem hrozby, které nyní v ESETu pozorujeme v Česku ve větší míře, jsou falešné investiční stránky.

Jak se proti moderním útokům chránit

Díky tomu, že většina útoků zůstane i nadále necílených, je poměrně snadné firemní sítě ochránit. Prvním krokem by mělo být ochránit nejčastější cesty, jak se mohou útočníci do sítě vůbec dostat – tedy e-maily. Masové spamy se obecně zaměřují na domácí uživatele a SMB sektor. Tyto uživatelské skupiny bývají totiž méně chráněné a také méně informované. Právě nedostatek zkušeností řadových zaměstnanců je výrazným rizikem. Což je důvod, proč klademe tak zásadní důraz na školení zaměstnanců, kteří s e-maily pracují. Podle průzkumu, který jsme realizovali v listopadu 2020 s agenturou Median, se pravidelně vzdělává v oblasti bezpečnosti jen 25 % zaměstnanců, téměř polovina pak žádným kurzem neprošla. Přitom takový kurz může prakticky ze dne na den výrazně zvýšit bezpečnost firemních sítí.

Obr. 2: Vzdělávání zaměstnanců v oblasti bezpečnosti. Zdroj: Median a ESET
Obr. 2: Vzdělávání zaměstnanců v oblasti bezpečnosti. Zdroj: Median a ESET
Proběhly či probíhají ve Vaši firmě školení kybernetické bezpečnosti (například jak poznat podvodný e-mail) během druhé vlny pandemie koronavíru (říjen–listopad)?

Krom podpory uživatelů, aby riziko sami rozeznali, doporučujeme používat sandbox. Ten provádí spuštění a analýzu podezřelých vzorků mimo vnitřní síť, díky čemuž dokáže bezpečně a účinně odhalit i zcela nové hrozby, které za standardních okolností nemusí být vždy okamžitě blokovány. Systém automaticky odesílá k analýze veškeré soubory, které mohou představovat hrozbu. Jedná se o spustitelné soubory, skripty, případně i dokumenty s aktivním obsahem. V rámci bezpečného prostředí na výkonných serverech jsou vzorky analyzovány za využití nejpokročilejších detekčních technologií včetně systémů robustního strojového učení. V rámci sítě zákazníka je potenciální hrozba buď proaktivně blokována, dokud není znám výsledek analýzy nebo dochází k blokaci až zpětně, okamžitě po kontrole souboru.

Druhým zmíněným vektorem byly služby vystavené do internetu. Jejich zásadní problém tkví v tom, že si firmy často ani neuvědomují, že právě jejich řešení je zranitelné. Administrátoři by měli velmi dbát na korektní nastavení těchto aplikací. Vynikajícím pomocníkem je také software, který monitoruje síť. Pro minimalizaci rizika tzv. supply chain attacks by se administrátoři měli řídit konceptem Zero Trust, provádět důslednou autentizaci ideálně za využití druhého faktoru a nezapomínat na auditování. Pokud je však škodlivý kód ukryt v rozsáhlé legitimní aplikaci, je jeho nalezení velmi složité. Přesto dnes již existují nástroje, jakými lze takový typ útoku odhalit a síť účinně chránit. Jedním z nejlepších nástrojů jsou EDR systémy.

Jak správně nastavit bezpečnou VPN

Má-li firma fungovat, zaměstnanci se hlavně v dnešní době musí k firemním systémům nebo datům připojovat z domova. Administrátoři proto často interní systémy zpřístupní zaměstnancům jednoduše přes internet. Zvyšují tím však plochu, na kterou lze útočit. Poté stačí, aby některá z těchto aplikací nebyla aktualizována nebo s ohledem na bezpečnost korektně nastavena a problém je na světě.

Proto je ideální použít šifrovaný kanál, kterým se propojí zařízením zaměstnance na home officu přímo s firemní sítí zaměstnavatele. Uživatel je uvnitř interní sítě, má přístup ke všem pracovním nástrojům, jak je zvyklý, ale veškeré služby jsou pro útočníky stále skryty – nedostupné z internetu. Útočná plocha je minimalizována. Avšak i samotná VPN může být zneužita. Pro mitigaci doporučujeme dodržovat alespoň základních pravidel:

  • Mít vždy aktuální software pro VPN
  • Používat komplexní hesla
  • Nastavit zamykání účtů
  • Zprovoznit dvoufaktorové ověřování
  • Sledovat neúspěšné pokusy o přihlášení
Václav Zubr Václav Zubr
Autor článku pracuje ve společnosti ESET na pozici technického specialisty a Pre-Sales Engineera, ve které objasňuje schopnosti dnešního malwaru, moderních útoků a detekčních systémů.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.