Experti z Cisco Talos: aktivity hackerů byly letos bezprecedentní, boom ransomwaru bude pokračovat i napřesrok

Experti Cisco Talos, jednoho z největších soukromých kyberbezpečnostních týmů na světě, hodnotí intenzitu hackerských útoků v právě končícím roce 2021 jako mimořádnou. Velmi pestré bylo rovněž spektrum zaznamenaných napadení. Ještě počátkem roku 2021 se svět potýkal s následky jednoho z vůbec největších útoků v historii (SolarWinds), ale ani v následujících měsících hackeři nespali a kyberbezpečnostní komunita čelila jedné zkoušce za druhou.
Byli jsme svědky ochromení kritické infrastruktury (ropovody Colonial Pipelines), neustálého tlaku státem sponzorovaných hackerů a nakonec došlo k napadení obří streamovací platformy Twitch, jíž hacker ukradl zdrojové kódy a informace o platbách uživatelů.
Cisco Talos připouští, že je velmi obtížné činit jakékoli konkrétnější predikce ohledně roku 2022. Přesto je však podle jeho expertů nepochybné, že hackeři znovu půjdou po „velkých rybách“ a zároveň bude pokračovat boom ransomwarových útoků.
Leden
Útok na dodavatelský řetězec SolarWinds poprvé přišel v prosinci 2020, jeho účinky jsme ale pociťovali i počátkem roku 2021. V té době zůstávalo stále mnoho otázek nezodpovězeno.
Lovci se stali lovenými. Hackeři se po celém světě pokoušeli napadnout experty na kybernetickou bezpečnost. Mezi napadenými byli i analytici Cisco Talos, když se výzkumníci kybernetické bezpečnosti v celém odvětví stali cílem státem sponzorovaných útočníků. S několika analytiky Cisco Talos se hackeři pokoušeli navázat kontakt prostřednictvím sociálních sítí, zřejmě s cílem získat nějaké inside informace. Útočník byl přitom relativně dobře připraven: ovládal dobře angličtinu, pokoušel se o kontakt v obvyklé pracovní době v příslušném regionu apod.
Únor
Cisco Talos se podařilo navázat kontakt s ransomwarovým operátorem zvaným Lockbit. Interview poskytlo cenné poznatky o prostředí ransomware-as-a-service a unikátní popis metod, jakými si útočníci vybírají své cíle.
Na scéně se objevil bez souborový malware Massloger. Tato varianta trojského koně byla zaměřena na krádež přihlašovacích údajů z webových prohlížečů a dalších oblíbených aplikací, jako například Microsoft Outlook, Google Chrome a instant messenger.
V průběhu roku 2021 jsme pozorovali trend, kdy útočníci bez okolků pracují pro nejvyšší nabídku. Byť nebyli přímo státem podporovaní a útočili v jiných zemích, využívali ochranu (nebo spíš nečinnost) své mateřské země. Typickým příkladem je rozšiřování spektra aktivit skupiny Gamaredon, která se původně zaměřovala především na teritorium Ukrajiny.
Březen
Stále jsme ještě řešili kauzu SolarWinds, když první stránky webů i novin obsadila skupina Hafnium, která se zaměřila na několik zero-day zranitelností v Microsoft Exchange Serveru.
Jako mimořádně nebezpečná se ukázala zranitelnost zvaná Proxylogon, jejíž zneužití v součásti řetězce dalších slabin potenciálně umožnilo útočníkovi získat plnou kontrolu nad serverem.
Duben
Přetrvávající covid pandemii provází široké používání komunikačních platforem a platforem umožňujících interaktivní spolupráci, jako Slack nebo Discord. Skupina Cisco Talos varovala před stále intenzivnějšími pokusy útočníků použít pro šíření malwaru právě tyto důvěryhodné servery zaměřené na komunikaci a spolupráci.
Květen
LemonDuck, malware pro těžbu kryptoměn, se od své premiéry v roce 2020 pořádně zdokonalil. Začal cílit na zranitelné servery Exchange a do svého arzenálu přidal Cobalt Strike.
Hackeři z ransomwarové skupiny DarkSide se zaměřili na společnost Colonial Pipeline, největší síť ropovodů na východním pobřeží USA. Útok způsobil kritický nedostatek benzínu na mnoha čerpacích stanicích a velký růst cen. Kauza Colonial Pipeline se stala budíčkem pro kritickou infrastrukturu USA.
Červen
Pár týdnů po útoku na Colonial Pipeline skupina DarkSide uzavřela svůj platební portál a oznámila ukončení aktivit. Ukázalo se však, že jen změnila značku a po rebrandingu se vrátila jako BlackMatter.
Největší světový zpracovatel masa, JBS Group, byl zasažen ransomwarovým útokem a nakonec zaplatil vyděračům 11 milionů dolarů. Útok způsobil nákupní paniku a v amerických obchodech zákazníci v obavách z nedostatku ve velkém skupovali maso.
Červenec
Další problémy Microsoftu se zero-day zranitelností. Tentokrát útočníci začali zneužívat řadu vážných zranitelností Windows ve službě pro zařazování tisku zvaných jako PrintNightmare.
Ani v Den nezávislosti v USA si kyberbezpečnostní experti neoddechli. Tentokrát museli řešit útok na dodavatelský řetězec. Ransomware REvil byl distribuován prostřednictvím využití dříve neidentifikované zranitelnosti v kódu serveru Kaseya VSA, nástroje pro monitorování a správu systému. Hackeři dokázali šířit škodlivý kód jako důvěryhodnou aktualizaci distribuovanou z ohroženého serveru do klientských systémů.
Srpen
PrintNightmare znovu na scéně. Tentokrát se využití této zranitelnosti chopili hackeři z ransomwarové skupiny Vice Society.
Hackeři objevili další zlatý důl. Podle poznatků Cisco Talos stále častěji zneužívají proxyware platformy pro sdílení síťového provozu. Útočníci se pokouší do počítače oběti nainstalovat software pro sdílení internetového připojení, který je ovšem registrován na jejich účet. V případě úspěchu tak nic netušící oběť sdílí své internetové připojení, ale odměnu za tuto službu inkasuje hacker. Často se tak navíc děje v kombinaci s těžbou kryptoměn.
Září
Hackeři zneužili důvěryhodnosti Amnesty International. A nabízeli jejím jménem falešný antivirový software, který měl z mobilů odstranit spyware Pegasus (vyvinut především na špehování novinářů). Místo toho však domnělý antivir instaloval malware a kradl data.
Z hackerské skupiny Conti vynesl některý z nespokojených členů takzvaný playbook. Ten obsahuje například informace o metodách, jimiž gang útočí, a také podrobné pokyny pro méně zkušené hackery, jak používat Conti ransomware. Materiál poskytl bezpečnostním odborníkům mimořádně cenné informace o hackerské komunitě.
Říjen
Odhalen nový spamový útočník SQUIRRELWAFFLE šířící se prostřednictvím spamových kampaní a infikující systémy novým zavaděčem malwaru. Podle Cisco Talos se tato rodina malwaru šíří velmi rychle a mohla by se stát dalším velkým hráčem v prostoru spamu.
Listopad
Americké trestní orgány zatkly dvě osoby za jejich údajnou účast na útoku ransomwarové skupiny REvil na dodavatelský řetězec Kaseya. Nabídly také odměnu 10 milionů dolarů za jakékoli informace vedoucí k zatčení vůdce REvilu.
V USA je byl schválen zákon o infrastruktuře s předpokládanými investicemi ve výši 1 bilion dolarů. Zákon otevírá prostor i pro opatření k posílení kybernetické bezpečnosti ve výši zhruba 2 miliardy dolarů.
Emotet se vrátil na scénu. FBI a Europol se ještě na počátku roku mohli chlubit, že se podařilo rozbít síť botnetů, jejichž prostřednictvím hackeři šířili trojan Emotet. Po deseti měsících se ale Emotet znovu objevil. Nejúspěšnější a nejrozšířenější malware roku 2020 tak bude pravděpodobně škodit i dále.
Prosinec
Cisco Talos objevila sérii malwarových kampaní hackera s přezdívkou Magnat. Útoky jsou zaměřeny především na rozšíření prohlížeče Google Chrome. Nevinně vypadající instalace softwaru spouští v systému škodlivý zavaděč, který v systému umístí mimo jiné zloděje hesel.
Jeden z nejvážnějších bezpečnostních problémů přišel až na konci roku. Byla odhalena zranitelnost nástroje Apache Log4j, která v postižených systémech umožňuje vzdálené spuštění kódu bez autentizace, což může vést k získání kontroly nad serverem. Zranitelnost lze zneužít k automatizovanému šíření malwaru, exfiltraci dat a nasazování ransomwaru. Okamžitě po oznámení chyby se v ohromném měřítku objevily pokusy o zneužití této chyby.