1 comment

Cisco avertizează: vor urma noi generații de Ransomware, mai agresive și mai profitabile

by on 29/07/2016
 

Organizațiile nu sunt pregătite pentru atacuri cu versiuni mai sofisticate de ransomware, iar infrastructurile fragile, mentenanța necorespunzătoare a rețelei și viteza redusă de reacție în detectarea atacurilor oferă atacatorilor timp suficient pentru acționa, relevă cel mai recent Raport de Securitate Cibernetică lansat de Cisco (Cisco® 2016 Midyear Cybersecurity Report (MCR)).

Astfel, principala provocare pentru companii o reprezintă reducerea spațiului operațional pentru atacatori având în vedere amenințarea pe care o reprezintă pentru fundația necesară pentru transformarea digitală. Studiul mai arată că serverele sunt tot mai des ținta atacurilor, dar și că metodele de atac evoluează, în timp ce criptarea e tot mai folosită pentru a masca activitatea infracțională.

Până acum, programele de tip ransomware s-au dovedit a fi cel mai profitabil tip de malware din istorie. Cisco estimează că această tendință va continua în viitor și preconizează apariția unor programe ransomware și mai distructive, care se răspândesc singure și pot imobiliza rețele întregi și implicit companiile. Noile dezvoltări modulare de ransomware vor fi capabile să modifice din timp tacticile de atac pentru a maximiza eficiența. De exemplu, viitoarele atacuri de tip ransomware vor evita detectarea, fiind capabile să limiteze utilizarea procesorului și să se sustragă de la acțiuni de comandă și control. Aceste noi tulpini de ransomware se vor răspândi mai repede și se vor autoreplica în interiorul organizațiilor.

Vizibilitatea asupra rețelei și a dispozitivelor rămâne o provocare. Organizațiile au nevoie, în medie, de 200 de zile pentru a identifica amenințări noi. Timpul mediu de detecție al Cisco (TTD) continuă să fie cu mult sub media industriei, înregistrând un nou minim, de 13 ore pe parcursul perioadei de analiză de șase luni încheiate în aprilie 2016. Performanța precedentă a fost de 17,5 ore și a fost înregistrată în perioada încheiată în octombrie 2015. Micșorarea intervalului de detectare este critică pentru reducerea spațiului operațional și minimizarea impactului. Această cifră se bazează pe măsurătorile realizate pe diverse produse de securitate Cisco implementate în întreaga lume.

Pe măsură ce atacatorii inovează, responsabilii de securitate resimt o provocare tot mai mare de a menține în siguranță dispozitivele și sistemele. Sistemele nesecurizate oferă oportunități în plus pentru atacatori de a câștiga controlul, de a nu fi detectați, de a maximiza daunele și profitul. Cisco 2016 Midyear Cybersecurity Report arată că această tendință persistă la scară globală. Organizații din domenii critice precum sănătatea au cunoscut o creștere graduală semnificativă a atacurilor în ultimele luni, însă nici celelalte verticale nu sunt mai ferite.

Cluburi și organizații, organizații de caritate și neguvernamentale, companii din sectorul electronic au cunoscut o creștere a numărului atacurilor în prima jumătate din 2016. Pe plan mondial, preocupările geopolitice includ politici de reglementare a securității cibernetice complexe și contradictorii în funcție de țară. Necesitatea de a controla sau accesa date poate limita și intra în conflict cu comerțul internațional în peisajul sofisticat al amenințărilor.

Atacatorii operează neîngrădiți

Cu cât atacatorii pot opera nedectați mai mult timp, cu atât profiturile sunt mai mari. Cisco raportează că în prima jumătate a anului 2016 profiturile atacatorilor au crescut fulminant din mai multe considerente:

Focus extins: atacatorii își extind aria de activitate de la exploatarea vulnerabilităților la nivel de dispozitiv client, la server, evitând detecția și maximizând eventualele daune și profituri.

  • Vulnerabilitățile Adobe Flash continuă să fie unele dintre țintele principale pentru atacuri de tip malvertising și kit-uri de exploatare. În popularul kit de exploatare Nuclear, Flash a totalizat 80% din încercările reușite de atac.

  • Cisco a observat, de asemenea, o nouă tendință a atacurilor de tip ransomware care vizează serverele – în special Jboss –10% din serverele Jboss conectate la internet la nivel mondial au fost compromise. Multe dintre vulnerabilitățile Jboss exploatate pentru a compromite aceste sisteme au fost identificate în urmă cu cinci ani, ceea ce înseamnă că patch-urile de bază și actualizările de la furnizori ar fi putut preveni cu ușurință astfel de atacuri.

Metode de atac: În prima jumătate a anului 2016, atacatorii au continuat să-și îmbunătățească metodele pentru a valorifica lipsa de vizibilitate a organizațiilor.

  • Exploatările Windows Binary s-au intensificat și au devenit principala metodă de atac web în ultimele șase luni. Atacă profund infrastructura de rețea și sunt și mai greu de identificat și rezolvat.

  • Atacurile via Facebook au căzut pe locul doi

Acoperirea urmelor: Atacatorii se folosesc tot mai mult de criptare pentru a masca diverse operațiuni.

  • Cisco a remarcat o utilizare sporită a monedelor virtuale, extensiilor Transport Layer Security și protocoalelor Tor, care permit comunicarea anonimă pe web.

  • Programele malware criptate HTTPS utilizate în campaniile de malvertising au crescut semnificativ cu 300% din decembrie 2015 până în martie 2016. Malware-ul criptat permite atacatorilor să-și ascundă activitatea web și să-și mărească durata de operare.

Organizațiile se luptă să reducă numărul vulnerabilităților și să elimine decalajele

În ciuda atacurilor sofisticate, a resurselor limitate și infrastructurii învechite, organizațiile se străduiesc să țină pasul cu atacatorii. Datele sugerează că e cu atât mai puțin probabil ca organizațiile să adopte măsuri adecvate de mentenanță a rețelei, cum ar fi instrumentele de patching, cu cât tehnologia e mai critică pentru operațiunile de afaceri. De exemplu:

  • În segmentul browser-erelor, 75-80% din utilizatorii Google Chrome – care are o funcție de actualizare automată – folosesc cea mai nouă versiune a browser-ului sau o versiune anterioară.

  • Java înregistrează migrații lente; o treime din sistemele examinate rulează Java SE6, la care Oracle va renunța în curând (versiunea curentă este SE10).

  • În Microsoft Office 2013, versiunea 15x, 10% sau mai puțin din populația care deține o versiune avansată utilizează cele mai noi service pack-uri.

Mai mult decât atât, Cisco a constatat că o mare parte din infrastructura acestora nu era protejată sau funcționa cu vulnerabilități cunoscute. Această problemă este sistemică în rândul furnizorilor și a dispozitivelor finale. Cercetătorii Cisco au examinat 103.121 de dispozitive Cisco conectate la internet și au constatat că:

  • Fiecare dispozitiv rula, în medie, 28 de vulnerabilități cunoscute

  • Dispozitivele rulau activ vulnerabilități cunoscute care însumau o medie de 5,4 de ani

  • Mai mult de 9% au vulnerabilități cunoscute, mai vechi de 10 ani

Prin comparație, Cisco a analizat și infrastructura software pe un eșantion de peste 3 milioane de instalări. Majoritatea au fost Apache și OpenSSH cu un număr mediu de 16 vulnerabilități cunoscute, care rulau în medie de peste 5 ani.

Actualizările de browser sunt cel mai ușor de realizat pentru dispozitivele finale, în timp ce aplicațiile enterprise și infrastructura de server sunt mult mai dificil de actualizat și pot cauza probleme de continuitate a activității. În esență, cu cât este mai critică o aplicație pentru operațiunile de business, cu atât este mai puțin probabil să fie gestionată în mod curent, acest fapt ducând la crearea de decalaje și oportunități pentru atacatori.

Cisco sugerează următoarele măsuri pentru protecția business-ului

Cercetătorii Talos de la Cisco au observat că organizațiile care urmează câțiva pași simpli, dar importanți pot spori foarte mult securitatea operațiunilor lor, inclusiv:

  • Îmbunătățirea mentenanței rețelei, prin monitorizarea acesteia; implementarea de patch-uri și actualizarea la timp; securizarea inclusiv a e-mailului și web-ului și implementarea de soluții firewall de generație viitoare și IPS.

  • Integrarea măsurilor de securitate, printr-o abordare arhitecturală a securității versus implementarea unor produse de nișă.

  • Măsurarea timpului de detecție, insistarea pe cel mai rapid timp pentru descoperirea amenințărilor și remedierea lor imediată. Includerea metricilor în politica de securitate a organizației pe termen lung.

  • Protejarea utilizatorilor de oriunde ar lucra, nu doar sistemele cu care aceștia interacționează atunci când accessează rețeaua companiei.

  • Realizarea de back-up-uri pentru datele critice și asigurarea faptului că nu riscă compromiterea.

comments
 
Leave a reply »

 

Leave a Response