Sophos 2023 Threat Report: Zločinci „jdou po penězích“ - obchodují s kyberkriminalitou, spouštějí pokročilejší ransomwarové útoky a zdvojnásobují krádeže přihlašovacích údajů

Ransomware zůstává pro organizace jednou z největších kybernetických hrozeb
 Sophos, celosvětový lídr v oblasti inovací a poskytování kybernetické bezpečnosti jako služby, zveřejnil svoji každoroční studii Sophos 2023 Threat Report. Studie podrobně popisuje, jak se prostředí kybernetických hrozeb dostalo na novou úroveň komerčního využití a pohodlí pro potenciální útočníky, když byly díky rozšíření kybernetické kriminality jako služby odstraněny téměř všechny překážky pro páchání kybernetické kriminality. Studie rovněž uvádí, že ransomware zůstává jednou z největších hrozeb kybernetické kriminality pro organizace, útočníci inovují své vyděračské taktiky a stále roste poptávka po ukradených přístupových údajích.
Zločinecká tržiště, jako je Genesis, již dlouho umožňují nákup malwaru a služeb použitelných pro malwarové útoky („malware jako služba“), stejně jako prodej ukradených přihlašovacích údajů a dalších dat ve velkém. V posledním desetiletí s rostoucí popularitou ransomwaru vzniklo celé odvětví „ransomware-as-a-service“. V roce 2022 se tento model „as-a-service“ rozšířil a je možné zakoupit téměř všechny části sady nástrojů pro realizaci kyberzločinů – od počáteční infekce až po způsoby, jak se vyhnout odhalení.
„Nejedná se jen o obvyklé případy, jako je prodej malwaru a sad na realizaci podvodů a phishingu,“ řekl Sean Gallagher, hlavní výzkumník hrozeb ve společnosti Sophos. „Kyberzločinci z vyšších pater nyní prodávají nástroje a schopnosti, které byly dříve výhradně v rukou některých nejsofistikovanějších útočníků, jako služby jiným subjektům. V loňském roce jsme se například setkali s inzeráty na službu OPSEC-as-a-service, kde prodejci nabízeli útočníkům pomoc při skrývání infekcí Cobalt Strike, a viděli jsme službu scanning-a-service, která poskytuje kupujícím přístup k legitimním komerčním nástrojům, jako je Metasploit, aby mohli najít a následně zneužít zranitelnosti. Komoditizace téměř všech složek kybernetické kriminality ovlivňuje prostředí hrozeb a otevírá příležitosti pro jakýkoli typ útočníka s jakoukoli úrovní dovedností.“
S rozvojem odvětví „as-a-service“ se stále více komoditizují i hackerská tržiště, která fungují jako běžné podniky. Prodejci nástrojů na páchání kyberzločinů inzerují nejen své služby, ale také vystavují nabídky práce, aby získali útočníky s odlišnými dovednostmi. Některá tržiště nyní mají speciální stránky s poptávkami pomoci a nábory zaměstnanců, kde také zájemci o práci zde inzerují své dovednosti a kvalifikace.
„Dřívější ransomwaroví útočníci byli poměrně limitováni v rozsahu činnosti, protože jejich operace byly centralizované a členové skupiny vykonávali každý aspekt útoku. Když se ale ransomware stal nesmírně ziskovým, hledali způsoby, jak svou produkci rozšířit. Začali tedy části svých činností outsourcovat a vytvořili celou infrastrukturu na podporu ransomwaru. Nyní si z úspěchu této infrastruktury vzali příklad další kyberzločinci a následují je,“ řekl Gallagher.
Jak se infrastruktura kyberzločinu rozšiřovala, ransomware se stával velmi populární – a vysoce ziskový. V uplynulém roce ransomwarové skupiny pracovaly na rozšíření své potenciální útočné služby tím, že se zaměřili na jiné platformy než Windows a zároveň začali používat nové jazyky, jako jsou Rust a Go, aby se vyhnuli odhalení. Některé skupiny, zejména Lockbit 3.0, diverzifikovaly své operace a vytvářely „inovativnější“ způsoby vydírání obětí.
„Když hovoříme o rostoucí sofistikovanosti zločineckého podsvětí, vztahuje se to i na svět ransomwaru. Například Lockbit 3.0 nyní nabízí programy odměn za odhalení chyb ve svém malwaru a sdílení nápadů na zlepšení svých činností ze zločinecké komunity. Jiné skupiny přešly na „model předplatného“ za přístup k získaným datům a další je prodávají v aukcích. Ransomware se stal především byznysem,“ řekl Gallagher.
Rozvíjející se ekonomika podsvětí nejenže podnítila růst ransomwaru a odvětví „as-a-service“, ale také zvýšila poptávku po krádežích přihlašovacích údajů. S rozšířením webových služeb lze různé typy přihlašovacích údajů a dat, zejména cookies, využít mnoha způsoby k získání lepší pozice při útocích na sítě, a to i při obcházení vícefaktorového ověřování. Krádeže přístupových údajů také zůstávají jedním z nejjednodušších způsobů, jak začínající zločinci mohou získat přístup na hackerská tržiště a začít svou „kariéru“.
Sophos analyzoval také následující trendy:
■ Na prostředí kybernetických hrozeb měla globální dopady válka na Ukrajině. Bezprostředně po invazi došlo k explozi finančně motivovaných podvodů, zatímco nacionalismus vedl k roztříštění kriminálních aliancí mezi Ukrajinci a Rusy, zejména mezi pobočkami ransomwarových skupin.
■ Zločinci nadále využívají legitimní spustitelné soubory a jinak neškodné binární soubory (LOLBins) k různým typům útoků, včetně těch ransomwarových. V některých případech útočníci nasazují legitimní, ale zranitelné systémové ovladače v rámci útoků typu „bring your own driver“, aby se pokusili vypnout řešení na detekci a reakci v koncových bodech a vyhnuli se tak odhalení.
■ V centru nových typů kybernetické kriminality jsou nyní mobilní zařízení. Nejenže útočníci stále využívají falešné aplikace k šíření malwarových injektorů, spywaru a malwaru spojeného s bankovnictvím, ale na popularitě získávají i novější formy kybernetických podvodů, jako jsou například schémata typu „porcování prasete“. A tato trestná činnost se již netýká pouze uživatelů systému Android, ale také majitelů telefonů s iOS.
■ Znehodnocení Monery, jedné z nejoblíbenějších kryptoměn pro kryptominery, vedlo k poklesu jednoho z nejstarších a nejoblíbenějších typů kryptozločinů – kryptominingu. Těžební malware se ale nadále šíří prostřednictvím automatizovaných „botů“ v systémech Windows i Linux.
Chcete-li se dozvědět více o měnícím se prostředí hrozeb v roce 2022 a o tom, co to bude v roce 2023 znamenat pro bezpečnostní týmy, přečtěte si celou studii Sophos 2023 Threat Report.
Studie se skládá z výzkumu a poznatků Sophos X-Ops, nového mezioperačního týmu, který propojuje tři zavedené týmy odborníků na kybernetickou bezpečnost ve společnosti Sophos (SophosLabs, Sophos SecOps a Sophos AI). Sophos X-Ops zahrnuje více než 500 odborníků na kybernetickou bezpečnost po celém světě, kteří mají jedinečné schopnosti, aby mohli nabídnout kompletní, multidisciplinární obraz stále složitějšího prostředí hrozeb. Chcete-li se dozvědět více o každodenních kybernetických útocích a taktikách, technikách a postupech, sledujte Sophos X-Ops na Twitteru a přihlaste se k odběru aktuálních výzkumů hrozeb a článků i zpráv o bezpečnostních operacích z první linie kybernetické bezpečnosti. Více na   www.sophos.com (22.11.2022)