Cisco avertizează: vor urma noi generaţii de Ransomware, mai agresive şi mai profitabile pentru atacatori

Potrivit celui mai recent Raport de Securitate Cibernetică lansat de Cisco (Cisco 2016 Midyear Cybersecurity Report (MCR))., organizaţiile nu sunt pregătite pentru atacuri cu versiuni mai sofisticate de ransomware, iar infrastructurile fragile, mentenanţa necorespunzătoare a reţelei şi viteza redusă de reacţie în detectarea atacurilor oferă atacatorilor timp suficient pentru acţiona.

Astfel, principala provocare pentru companii o reprezintă reducerea spaţiului operaţional pentru atacatori având în vedere ameninţarea pe care o reprezintă pentru fundaţia necesară pentru transformarea digitală.  Studiul mai arată că serverele sunt tot mai des ţinta atacurilor, dar şi că metodele de atac evoluează, în timp ce criptarea e tot mai folosită pentru a masca activitatea infracţională. 

Până acum, programele de tip ransomware s-au dovedit a fi cel mai profitabil tip de malware din istorie.  Cisco estimează că această tendinţă va continua în viitor şi preconizează apariţia unor programe ransomware şi mai distructive, care se răspândesc singure şi pot imobiliza reţele întregi şi implicit companiile. Noile dezvoltări modulare de ransomware vor fi capabile să modifice din timp tacticile de atac pentru a maximiza eficienţa. De exemplu, viitoarele atacuri de tip ransomware vor evita detectarea, fiind capabile să limiteze utilizarea procesorului şi să se sustragă de la acţiuni de comandă şi control. Aceste noi tulpini de ransomware se vor răspândi mai repede şi se vor autoreplica în interiorul organizaţiilor.

Vizibilitatea asupra reţelei şi a dispozitivelor rămâne o provocare. Organizaţiile au nevoie, în medie, de 200 de zile pentru a identifica ameninţări noi. Timpul mediu de detecţie al Cisco (TTD) continuă să fie cu mult sub media industriei, înregistrând un nou minim, de 13 ore pe parcursul perioadei de analiză de şase luni încheiate în aprilie 2016. Performanţa precedentă a fost de 17,5 ore şi a fost înregistrată în perioada încheiată în octombrie 2015. Micşorarea intervalului de detectare este critică pentru reducerea spaţiului operaţional şi minimizarea impactului. Această cifră se bazează pe măsurătorile realizate pe diverse produse de securitate Cisco implementate în întreaga lume.

Pe măsură ce atacatorii inovează, responsabilii de securitate resimt o provocare tot mai mare de a menţine în siguranţă dispozitivele şi sistemele. Sistemele nesecurizate oferă oportunităţi în plus pentru atacatori de a câştiga controlul, de a nu fi detectaţi, de a maximiza daunele şi profitul.  Cisco 2016 Midyear Cybersecurity Report arată că această tendinţă persistă la scară globală. Organizaţii din domenii critice precum sănătatea au cunoscut o creştere graduală semnificativă a atacurilor în ultimele luni, însă nici celelalte verticale nu sunt mai ferite.

Cluburi şi organizaţii, organizaţii de caritate şi neguvernamentale, companii din sectorul electronic au cunoscut o creştere a numărului atacurilor în prima jumătate din 2016. Pe plan mondial, preocupările geopolitice includ politici de reglementare a securităţii cibernetice complexe şi contradictorii în funcţie de ţară. Necesitatea de a controla sau accesa date poate limita şi intra în conflict cu comerţul internaţional în peisajul sofisticat al ameninţărilor.

Atacatorii operează neîngrădiţi

Cu cât atacatorii pot opera nedectaţi mai mult timp, cu atât profiturile sunt mai mari. Cisco raportează că în prima jumătate a anului 2016 profiturile atacatorilor au crescut fulminant din mai multe considerente:

Focus extins: atacatorii îşi extind aria de activitate de la exploatarea vulnerabilităţilor la nivel de dispozitiv client, la server, evitând detecţia şi maximizând eventualele daune şi profituri.

• Vulnerabilităţile Adobe Flash continuă să fie unele dintre ţintele principale pentru atacuri de tip malvertising şi kit-uri de exploatare. În popularul kit de exploatare Nuclear, Flash a totalizat 80% din încercările reuşite de atac.
• Cisco a observat, de asemenea, o nouă tendinţă a atacurilor de tip ransomware care vizează serverele – în special Jboss –10% din serverele Jboss conectate la internet la nivel mondial au fost compromise. Multe dintre vulnerabilităţile Jboss exploatate pentru a compromite aceste sisteme au fost identificate în urmă cu cinci ani, ceea ce înseamnă că patch-urile de bază şi actualizările de la furnizori ar fi putut preveni cu uşurinţă astfel de atacuri.

Metode de atac: În prima jumătate a anului 2016, atacatorii au continuat să-şi îmbunătăţească metodele pentru a valorifica lipsa de vizibilitate a organizaţiilor.

• Exploatările Windows Binary s-au intensificat şi au devenit principala metodă de atac web în ultimele şase luni. Atacă profund infrastructura de reţea şi sunt şi mai greu de identificat şi rezolvat.
• Atacurile via Facebook au căzut pe locul doi

Acoperirea urmelor: Atacatorii se folosesc tot mai mult de criptare pentru a masca diverse operaţiuni. 

• Cisco a remarcat o utilizare sporită a monedelor virtuale, extensiilor Transport Layer Security şi protocoalelor Tor, care permit comunicarea anonimă pe web.
• Programele malware criptate HTTPS utilizate în campaniile de malvertising au crescut semnificativ cu 300% din decembrie 2015 până în martie 2016. Malware-ul criptat permite atacatorilor să-şi ascundă activitatea web şi să-şi mărească durata de operare.

Organizaţiile se luptă să reducă numărul vulnerabilităţilor şi să elimine decalajele

În ciuda atacurilor sofisticate, a resurselor limitate şi infrastructurii învechite, organizaţiile se străduiesc să ţină pasul cu atacatorii. Datele sugerează că e cu atât mai puţin probabil ca organizaţiile să adopte măsuri adecvate de mentenanţă a reţelei, cum ar fi instrumentele de patching, cu cât tehnologia e mai critică pentru operaţiunile de afaceri. De exemplu:

• În segmentul browser-erelor, 75-80% din utilizatorii Google Chrome – care are o funcţie de actualizare automată – folosesc cea mai nouă versiune a browser-ului sau o versiune anterioară.
• Java înregistrează migraţii lente; o treime din sistemele examinate rulează Java SE6, la care Oracle va renunţa în curând (versiunea curentă este SE10).
• În Microsoft Office 2013, versiunea 15x, 10% sau mai puţin din populaţia care deţine o versiune avansată utilizează cele mai noi service pack-uri.

Mai mult decât atât, Cisco a constatat că o mare parte din infrastructura acestora nu era protejată sau funcţiona cu vulnerabilităţi cunoscute. Această problemă este sistemică în rândul furnizorilor şi a dispozitivelor finale. Cercetătorii Cisco au examinat 103.121 de dispozitive Cisco conectate la internet şi au constatat  că:

• Fiecare dispozitiv rula, în medie, 28 de vulnerabilităţi cunoscute
• Dispozitivele rulau activ vulnerabilităţi cunoscute care însumau o medie de 5,4 de ani
• Mai mult de 9% au vulnerabilităţi cunoscute, mai vechi de 10 ani

Prin comparaţie, Cisco a analizat şi infrastructura software pe un eşantion de peste 3 milioane de instalări. Majoritatea au fost Apache şi OpenSSH cu un număr mediu de 16 vulnerabilităţi cunoscute, care rulau în medie de peste 5 ani.

Actualizările de browser sunt cel mai uşor de realizat pentru dispozitivele finale, în timp ce aplicaţiile enterprise şi infrastructura de server sunt mult mai dificil de actualizat şi pot cauza probleme de continuitate a activităţii. În esenţă, cu cât este mai critică o aplicaţie pentru operaţiunile de business, cu atât este mai puţin probabil să fie gestionată în mod curent, acest fapt ducând la crearea de decalaje şi oportunităţi pentru atacatori.

Măsuri pentru protecţia business-ului

Cercetătorii Talos de la Cisco au observat că organizaţiile care urmează câţiva paşi simpli, dar importanţi pot spori foarte mult securitatea operaţiunilor lor, inclusiv:

• Îmbunătăţirea mentenanţei reţelei, prin monitorizarea acesteia; implementarea de patch-uri şi actualizarea la timp; securizarea inclusiv a e-mailului şi web-ului şi implementarea de soluţii firewall de generaţie viitoare şi IPS.
• Integrarea măsurilor de securitate, printr-o abordare arhitecturală a securităţii versus implementarea unor produse de nişă.
• Măsurarea timpului de detecţie, insistarea pe cel mai rapid timp pentru descoperirea ameninţărilor şi remedierea lor imediată. Includerea metricilor în politica de securitate a organizaţiei pe termen lung.
• Protejarea utilizatorilor de oriunde ar lucra, nu doar sistemele cu care aceştia interacţionează atunci când accessează reţeaua companiei.
• Realizarea de back-up-uri pentru datele critice şi asigurarea faptului că nu riscă compromiterea.