Az új jelentés szerint az egészségügyi-, a termelő és az energetikai vállalatokkal szembeni kibertámadások megduplázódtak az előző évihez képest: a kiberfenyegetés célpontjai olyan szervezetek voltak, amelyek nem engedhették meg a leállást az egészségügyi erőfeszítések vagy a kritikus ellátási lánc kiesésének kockáztatása nélkül.
A leginkább támadott iparágak 2020-ban a feldolgozóipar és az energetika voltak, ezeket követte a pénzügyi és a biztosítási szektor.
A bűnözők kihasználták azt is, hogy közel 50 százalékkal növekedett a gyártásban és az energetikában is létfontosságú ipari vezérlőrendszerek (ICS) sebezhetősége.
„A világjárvány átalakította azt, hogy mit tekintünk kritikus infrastruktúrának, és ezt a támadók is felismerték. Számos szervezet először kényszerült a védekezés frontvonalába – függetlenül attól, hogy a koronavírussal kapcsolatos kutatás, az oltóanyaggyártás, az élelmiszerlánc vagy a védőfelszerelések gyártása a profilja” – mondta el Nick Rossmann, az IBM X-Force, a kibertámadások felderítésével és az incidensek kezelésével foglalkozó szervezetének a vezetője.
A jelentés néhány fontos megállapítása
- A kiberbűnözők felgyorsítják a Linux malware elterjedését. Az Intezer szerint az elmúlt évben a Linuxhoz kapcsolódó rosszindulatú programok száma 40 százalékkal nőtt, 2020 első hat hónapjában pedig 500 százalékkal emelkedett a Go (Golang) programnyelven írt rosszindulatú programok száma. A támadók felgyorsítják a Linux malware-re való áttérést, amely könnyebben futtatható különböző platformokon, beleértve a felhőkörnyezeteket is.
- A pandémia határozza meg a leginkább hamisított brandek körét. A leggyakrabban hamisított márkák top 10-es listáját többek között olyan cégek vezetik, amelyek a távolságtartás és a távmunka alatti kapcsolattartáshoz kínálnak megoldásokat, mint például a Google, Dropbox és a Microsoft. Ugyancsak a lista elején vannak az online kereskedelmi brandek, az Amazon és a PayPal, valamint a YouTube és a Facebook, amelyekre a hírfogyasztás miatt támaszkodtak az emberek tavaly. Meglepő módon a hetedik leggyakrabban hamisított márka 2020-ban az Adidas volt, amely valószínűleg a Yeezy és a Superstar nevű sneakerek iránti keresletnek köszönhető.
- A Ransomware támadások jövedelmező üzleti modellé váltak. Zsarolóvírusok álltak majdnem minden negyedik olyan támadás mögött, amelyre az X-Force 2020-ban reagált. A támadások agresszíven fejlődnek és kettős zsarolási taktikát alkalmaznak. Az X-Force értékelése szerint ennek a modellnek az alkalmazásával a Sodinokibi – a 2020-ban leggyakrabban megfigyelt ransomware csoport – nagyon jövedelmező évet zárt tavaly. Az X-Force becslései szerint a csoport óvatos becsléssel is több mint 123 millió dollárt keresett az elmúlt évben, úgy, hogy az áldozatainak mintegy kétharmada fizetett váltságdíjat.
Veszélyben a felhőkörnyezet
A Covid-19 járvány idején sok vállalkozás igyekezett felgyorsítani a felhőre való átállását. „Egy nemrégiben készült Gartner felmérés szerint a ma felhőszolgáltatásokat használó szervezetek csaknem 70 százaléka tervezi növelni felhőalapú kiadásait a Covid-19 okozta zavarok nyomán. Mivel a Linux jelenleg a felhőben zajló munkafolyamatok 90 százalékát látja el, és miközben az X-Force számításai szerint a Linuxhoz kapcsolódó kártékony programokcsaládok száma 500 százalékkal nőtt az elmúlt évtizedben, a felhőkörnyezetek a támadók elsőszámú támadási útvonalává válhatnak.
A nyílt forráskódú rosszindulatú programok növekedése miatt az IBM úgy véli, hogy a kiberbűnözők előtt több lehetőség is áll jövedelmezőségük javítására – csökkenthetik a költségeket, növelhetik a hatékonyságot és lehetőségeket kereshetnek a nyereségesebb támadásokra. A jelentés különféle bűnözői csoportokat emel ki, mint például az APT28, az APT29 és a Carbanak, amelyek a nyílt forráskódú rosszindulatú programok felé fordulnak, amely azt jelzi, hogy ez a tendencia az elkövetkező évben további, felhő alapú támadások motorja lesz.
A jelentés azt is kiemeli, hogy a támadók kihasználják a felhő infrastruktúra dinamikusan bővíthető számítástechnikai teljesítményét, áthárítva az áldozatul kiszemelt szervezetekre annak vaskos használati díjját. Erre utal, hogy
az Intezer 2020-ban több mint 13 százalékban új, korábban nem észlelt kódot fedezett fel a Linux alapú kriptobányász malware programokban.
Mivel a támadók figyelme a felhőkörnyezetekre irányul, az X-Force azt javasolja, hogy a szervezetek mérlegeljék a zero–trust megközelítést a biztonsági stratégiájukban. A vállalkozásoknak a legérzékenyebb adataik védelme érdekében biztonsági infrastruktúrájuk központi elemévé kell tenniük a bizalmas számítástechnikát (confidential computing). A használatban lévő adatok titkosításával a szervezetek csökkenthetik egy rosszindulatú támadás kockázatát, még akkor is, ha a támadók képesek hozzáférni az érzékeny környezetekhez.
Számítógépes bűnözők népszerű fogyasztói márkáknak álcázva
A 2021-es jelentés kiemeli, hogy a kiberbűnözők leggyakrabban olyan márkának álcázzák magukat, amelyekben a fogyasztók megbíznak.
A világ egyik legbefolyásosabb márkájának tartott Adidas vonzónak tűnt a kiberbűnözők számára ahhoz, hogy kiaknázzák a fogyasztói keresletet:
az áhított tornacipőt kereső felhasználókat olyan rosszindulatú weboldalakra terelték, amelyeket úgy terveztek, hogy legitim webhelyeknek tűnjenek. Amint egy felhasználó meglátogatta ezeket valódinak kinéző domaineket, a kiberbűnözők lecsaptak: online fizetési csalásokkal, adatlopással, személyi hitelesítő adatok begyűjtésével vagy rosszindulatú programok telepítésével próbálkoztak.
A jelentés szerint az Adidas hamisításának többsége a Yeezy és a Superstar sneakerekhez kapcsolódik. 2019-ben csak a Yeezy termékcsalád állítólag 1,3 milliárd dollárt termelt, és a sportruházat gyártó óriás kínálatában az egyik legnépszerűbb sportcipő volt. A jövedelmező termékcsalád következő darabjának 2020 elejére időzített piacra dobásával a kiberbűnözők a saját profitszerzési igényüket is kielégítették.
A Ransomware volt a 2020-as év leggyakoribb támadási fajtája
A jelentés szerint 2020-ban több ransomware–támadás volt, mint 2019-ben, és az X-Force által megfigyelt zsarolóvírusos támadások 60 százalékára kettős zsarolási stratégia volt jellemző, amelynek során a támadók az adatokat egyrészt titkosították, másrészt el is lopták majd azok kiszivárogtatásával fenyegettek, ha a váltságdíjat nem kapják meg.
Az X-Force által azonosított adatsértések 36 százaléka olyan ransomware-támadásokból származott 2020-ban, amelyek valószínűleg adatlopással is jártak, ami arra utal, hogy
az adatsértések és a ransomware-támadások összefonódnak.
A 2020-ban bejelentett legaktívabb ransomware–csoport a Sodinokibi (más néven REvil) volt, amely az X-Force által megfigyelt összes ransomware-esemény 22 százalékáért volt felelős. Az X-Force becslései szerint a Sodinokibi körülbelül 21,6 terabájt adatot lopott el áldozataitól, és az áldozatok közel kétharmada váltságdíjat is fizetett, 43 százalékuknak az adatai kiszivárogtak. Az X-Force becslései szerint
a csoport több mint 123 millió dollárt keresett tavaly.
A Sodinokibihez hasonlóan a jelentés megállapította, hogy a legeredményesebb ransomware–csoportok 2020-ban az adatlopásokra és kiszivárogtatására összpontosítottak, valamint ún. ransomware-as-a-service kartelleket hoztak létre, és működésük kulcsfontosságú aspektusait kiszervezték olyan számítógépes bűnözőknek, akik a támadások különféle típusaira specializálódtak. Ezekre az agresszívabb ransomware támadásokra válaszul az X-Force azt javasolja a szervezeteknek, hogy korlátozzák az érzékeny adatokhoz való hozzáférést és védjék a kiemelt jogosultságú fiókokat privilegizált hozzáférés-kezeléssel (PAM), valamint identitás- és hozzáférés-kezeléssel (IAM).
A jelentés további fontos megállapításai a következők:
- Több támadás használja ki a sérülékenységeket, mint amennyi adathalászatra épül – A 2021-es jelentésből kiderül, hogy az áldozatok digitális környezeteinek legsikeresebb támadási módja a sérülékenységek keresése és kihasználása volt (35 százalék) tavaly – első alkalommal az évek során –, amelyet az adathalászat (31 százalék) követett.
- Európa megérezte a 2020-as támadásokat – A jelentés szerint az X-Force által megfigyelt támadások 31 százaléka Európát érintette. Itt volt a legtöbb ransomware által elkövetett támadás. Mindemellett Európában több belső fenyegetést észleltek, mint bármely más régióban, és kétszer annyi ilyen támadás történt, mint Észak-Amerikában és Ázsiában együttvéve.
A jelentés azokat az adatokat tartalmazza, amelyeket az IBM 2020-ban gyűjtött, hogy beható információkat nyújtson a globális fenyegetettségről, és tájékoztassa a biztonsági szakembereket a szervezeteik számára leginkább releváns fenyegetésekről.
Az X-Force Threat Intelligence Index több mint 130 országban naponta több mint 150 milliárd biztonsági esemény vizsgálatára alapozza megfigyeléseit. Ezenkívül az adatokat az IBM-en belül több forrásból gyűjtik össze és elemzik, beleértve az IBM X-Force (az IBM kibertámadások felderítésével és az incidensek kezelésével foglalkozó szervezete), az X-Force Red (az IBM etikus hekkeléssel foglalkozó szervezete), az IBM menedzselt kiberbiztonsági szolgáltató részlege, valamint a Quad9 és az Intezer szevezetek által szolgáltatott adatokat, amelyek mind hozzájárultak a 2021-es jelentés összeállításához.