Сигурност

Acronis: Тенденции и прогнози за ИТ заплахите през 2021 г.

Александър Главчев

31% от глобалните компании са били атакувани поне веднъж дневно и поне 1000 организации са се сблъскали с теч на данни заради рансъмуер през 2020 г. Това е един от основните изводи в доклада Acronis Cyber Readiness Report, публикуван през есента. От доставчика на решения за сигурност предупреждават, че през настоящата година се очаква ръст на атаките, като престъпниците ще увеличат фокуса си върху по-малките бизнеси и облачните услуги.

Най-голям отпечатък през 2020 г., разбира се, остави пандемията от COVID-19. Освен очевидните опасности за човешкото здраве и огромното икономическо въздействие обаче коронавирусът промени цифровия свят - начина на работа и начина, по който съвременните хора прекарват свободното си време онлайн.

Огромно количество бизнеси трябваше да преминат към онлайн операции, а правителствата, медицинските и образователните организации трябваше да възприемат нови средства, за да продължат работата си.

Може да се каже, че провеждането на бизнес срещи чрез телекомуникационни приложения е вече нещо обичайно. Твърде често обаче служителите от офисите бяха изпращани вкъщи набързо, без подходяща подкрепа и бяха принудени да ползват собствено оборудване, за да изпълняват работата си.

COVID-19 тактики

След избухването на заразата, очаквано, хората се втурнаха онлайн, за да получат информация за новата пандемия: как могат да се защитят, какви са последните новини, на каква помощ могат да разчитат и т.н. Този интерес доведе до огромен брой измами и други видове експлойти, отчитат от Acronis.

Сред често срещаните примамки за привличане на жертви са фалшивите съобщения за безплатни тестове и финансова подкрепа. Последната версия на зловредния софтуер Trickbot/Qakbot/Qbot например се разпространява чрез фишинг мейли и примамва потребители да попълват формуляр - фалшив документ с вграден скрипт. Целта е човек да бъде подлъган да позволи зареждането на съдържание и изпълнение на скрипта.

Атаки срещу дистанционни работници

Пандемията промени значително пейзажа от заплахи и освети множество рискове, свързани с отдалечени работни операции - включително достъп до вътрешни фирмени сървъри, виртуални конферентни връзки и др.

Според анкета, проведена миналото лято сред 3400 компании и дистанционни работници, почти половината от ИТ мениджърите са се сблъскали с трудности с тяхната сигурност.

92% от глобалните компании са възприели нови технологии, което е довело до ръст при ИТ разходите за 72 на сто от тях. 39% от организациите докладват за атаки, провеждани през системи за видеоконференции.

В средата на април 2020 г. сайтът Vice.com съобщи, че две уязвимости от типа "нулев ден" (т.е. неизвестни за разработчиците дотогава) в приложението Zoom за Windows и macOS са били пуснати в продажба, като цената на Windows RCE (Remote Code Execution) експлойта е била 500 хил. долара.

Zoom стана обект и на масивна фишинг кампания, имаща за цел кражба на пароли за услугата. Много от разговорите в платформата пък изобщо не са защитени с пароли, което доведе до това хакери или просто шегаджии да се намесват в активни разговори, налучквайки техни ID номера. Подобни атаки (т.нар. Zoom-bombing) принудиха училища да преработят свои програми за дистанционно обучение.

Разбира се, Zoom далеч не е единствената платформа, която се радва на повишен интерес не само от страна на обикновени потребители. Поне 50 хил. потребители на Microsoft 365 получиха фишинг съобщения само в рамките на една седмица в края на април.

Не по-малък риск за сигурността на компаниите произтича и от факта, че често служителите трябва да използват лични устройства по време на работа, подчертават от Acronis. Често такива домашни машини не само не разполагат с ефективна киберзащита, но и много потребители не прилагат редовно най-новите пачове за сигурност. За разлика от офисната техника личните компютри не се управляват от ИТ отдела и следователно при тях не се прилагат фирмените политики.

В допълнение към това домашните мрежи често са изложени на други незащитени устройства, често използвани от деца и други членове на семейството. Широколентовите рутери, използвани за достъп до интернет, също могат да бъдат хаквани и потенциално да пренасочат конкретен трафик.

Фокус върху доставчици на услуги

Атаките през 2020 г. показаха, че малки и средни предприятия могат да бъдат компрометирани чрез различни техники. Много от тях ползват облачни управлявани услуги и в този случай рисков може да се окаже лошо конфигурираният софтуер за отдалечен достъп. Според анализаторите киберпрестъпниците използват софтуерните уязвимости, липсата на двуфакторно удостоверяване (2FA) и фишинг тактики, за да получават достъп до инструментите за управление и в крайна сметка до компютрите на клиентите на съответните организации.

Глобалният доставчик на ИТ услуги и решения DXC Technology например съобщи за рансъмуер атака срещу системи от дъщерното си дружество Xchanging. Компанията работи в застрахователната индустрия, но списъкът ѝ с клиенти включва такива от други области. Друг пример е канадският MSP Pivot Technology Solutions, където разкриха кибератака срещу своята ИТ инфраструктура. Това отново стана след рансъмуер атака. Според Acronis този сценарий може да се нарече типичен за 2020 г. и занапред се очакват още подобни случаи.

Какво да се очаква през 2021 г.

От компанията очакват запазване на епидемичната обстановка през настоящата година и потенциално през 2022-ра. Това означава продължаване работата от дома за много от служителите и съответно може да се очаква ръст на атаките срещу тях.

Все пак обаче се задават и известни промени. Очаква се занапред основната цел при рансъмуер атаките да се измества към извличането на ценни данни. Затова защитата на данните и решенията за предотвратяване на загуба и изтичане на данни ще бъдат много важни през следващата година.

Паралелно с това рансъмуерът ще разширява своя обхват отвъд традиционни компютри. Според Acronis нападателите се опитват да се утвърдят в облачната среда, като базите данни и контейнери могат да са особено доходоносна цел.

Вътре в организациите пък все по-рискови стават индустриалните системи за контрол (ICS). За домашните потребители засиленото възприемане на IoT (Интернет на нещата) продукти ще продължи да създава нови цели за атаки, в много случаи само за генериране на DDoS кампании.

Не на последно място, престъпниците ще продължават да подобряват своя арсенал, автоматизирайки провежданите кампании. Инструментите за анализ на големи данни и машинното обучение им позволяват да намират нови жертви и да генерират по-точно персонализирани спам съобщения. Все пак от Acronis отчитат, че въпреки ръста в сферата на криминалния софтуер като услуга повечето групи все още разчитат на ръчни методи за разпространяване на инструментите си в корпоративните мрежи.

Къде сме ние?

11% от клиентите на компанията успешно са блокирали поне една атака през третото тримесечие на 2020 г. Страната с най-много засичания на зловреден софтуер е САЩ с 27,9%, следвана от Германия с 16,7% и Обединеното кралство с 6,1%.

От Acronis цитират независимата AV-Test, която регистрира 400 хил. нови проби на зловреден софтуер на ден през периода. Това на свой ред показва, че киберпрестъпниците автоматизират процеса си и генерират поток от нови заплахи за зловреден софтуер. Повечето от тези заплахи обаче се използват за няколко атаки за много кратък период от време. 19% от пробите са били видени само веднъж. Средният живот на една такава зловредна проба е едва 3 - 4 дни.

В доклада си Acronis са включили доста интересна таблица, показваща броя на откритите случаи на 1000 клиента в 25 страни. Пояснява се, че данните от нея ясно показват, че киберзаплахите са глобален феномен. В тази таблица присъства и България на 22-ра позиция с 351 засичания на зловреден софтуер на 1000 клиента. На 21-во и 23-то място със съответно 351 и 347 засичания са ЮАР и Канада. Начело на класацията са САЩ (2059), Япония (1571) и Индия (1168). Споменатите Германия и Обединеното кралство са на 10-а и 24-та позиция, съответно 601 и 329 засичания на зловреден софтуер за 1000 клиента. 25-а е Швейцария с 311 засичания.

Съвети за повече сигурност

В края на доклада от Acronis са събрали няколко базови съвета, които могат да увеличат сигурността на компаниите в днешната среда. Подчертава се, че сред основните препоръки е използването на качествено решение за защита, по възможност с функции за бекъп на данните.

Според специалистите важен фактор за постигане на максимална сигурност е редовно прилагане на ъпдейти за използваните операционни системи и приложения. Много потребители са склонни да игнорират подобни съобщения, особено когато операционната система иска рестартиране на компютъра.

Друг важен съвет касае използването на решения за виртуални частни мрежи (VPN) при работа с бизнес данни. Това важи с особена сила, имайки предвид огромния брой хора, които в обозримо бъдеще ще продължават да работят от домовете си. VPN софтуерът криптира целия трафик, което го прави по-сигурен, в случай че хакер се опита да прихване връзката.

На последно място (но не и по важност) е засегната и вечната тема за паролите. Те трябва да са силни (комбинациите с 8 символа вече се считат за слаби), различни за всяка услуга и да не се споделят с никого.

X