Prognozy dotyczące cyberbezpieczeństwa na rok 2024 – zmiany w krajobrazie cyberataków

Punkty końcowe pozostają jednym z najważniejszych celów cyberataków. Te newralgiczne miejsca stanowią najczęstszy początkowy wektor wejścia cyberprzestępców i zazwyczaj to właśnie tam kryje się większość cennych podmiotów zagrażających danym. W rezultacie ataki wymierzone w punkt końcowy będą się nasilać i będzie to widoczne w kilku kluczowych obszarach.

• Living of the land: przestępcy chcą uniknąć wykrycia po złamaniu systemu. Jednym ze sposobów utrwalania ataków bez wzbudzania zbyt wielu alarmów jest stosowanie technik życia poza ziemią (LOLBins). Ten typ ataku wykorzystuje istniejące pliki binarne – programy i oprogramowanie już zainstalowane w systemie – do przeprowadzenia ataku, zamiast polegać na uruchamianiu oddzielnego złośliwego oprogramowania, które można łatwo zidentyfikować nawet za pomocą starszego oprogramowania antywirusowego. Tego typu wykorzystywanie zasobów widzieliśmy głównie na urządzeniach z systemem Windows, gdzie osoba atakująca wykorzystuje PowerShell, WMI, Harmonogram zadań i inne usługi wbudowane w system operacyjny do uruchamiania lub wyzwalania złośliwych skryptów na punkcie końcowym, ale coraz częściej ugrupowania zagrażające naruszają pliki binarne na urządzeniach z systemem Linux i macOS, takich jak bash. Te taktyki ataków okazały się skuteczne, więc w 2024 r. będziemy nadal obserwować wzrost liczby ataków z ich wykorzystaniem. Uzasadnia to kluczowe znaczenie stosowania technologii EDR/XDR i usług MDR, które mogą korelować zdarzenia w sieci i mogą pomóc zidentyfikować zachowanie związane z incydentem bezpieczeństwa, który może obejmować LOL.
• Podatny na ataki sterownik (BYOVD): zwiększony dostęp przyznany sterownikom w systemie sprawia, że stają się one kuszącym celem dla cyberprzestępców. Internetowi oszuści w coraz większym stopniu wykorzystują podatne na ataki sterowniki, aby uzyskać uprzywilejowany dostęp do systemów, gdzie mogą następnie wykorzystać ten dostęp do ominięcia rozwiązań zabezpieczających na punktach końcowych, zainstalowania i uruchomienia oprogramowania ransomware, bocznego przemieszczania się po sieci organizacji i wydobywania cennych danych. Podobnie jak w przypadku LOLBins, wykorzystanie istniejących sterowników w systemie pomaga atakującemu pozostać niewykrytym przez tradycyjne rozwiązania bezpieczeństwa i często ominąć ochronę podpisu cyfrowego firmy Microsoft. Widzieliśmy na przykład, jak północnokoreańska grupa hakerska Lazarus wykorzystuje sterowniki należące do oprogramowania uwierzytelniającego w celu naruszenia bezpieczeństwa organizacji, która była celem. Zespół Bitdefender przewiduje, że w 2024 r. powinno nastąpić nasilenie ataków wykorzystujących luki w sterownikach w celu naruszenia bezpieczeństwa punktów końcowych.
• Heterogeniczność w systemie Windows: firma Microsoft przedstawiła podsystem Windows dla systemu Android osobom niejawnym w październiku 2021 r. i zezwoliła na tworzenie skryptów w języku Python w pakiecie Microsoft Office w 2023 r. Te nowe funkcje umożliwiają systemowi Windows uruchamianie nienatywnych aplikacji w systemie Windows. Same te dodatki wprowadzają zupełnie nowy zestaw kodu i potencjalnych luk w zabezpieczeniach systemu Windows. Każde nowe oprogramowanie zwiększa powierzchnię ataku, czyli całkowitą liczbę punktów (wektorów ataku), które atakujący może spróbować wykorzystać. Mając na celu zarówno systemy Windows, jak i Android, atakujący mają więcej możliwości znalezienia słabych punktów. Co więcej, korzystanie z podsystemu Android w systemie Windows często wiąże się z pobieraniem aplikacji z boku. Jak już wcześniej informował zespół Bitdefender, cyberprzestępcy uwielbiają infekować pliki APK stron trzecich (pliki wykonywalne Androida) złośliwym oprogramowaniem. Dołączona obsługa skryptów Pythona otwiera drzwi dla dodatkowych ataków wymierzonych w użytkowników korzystających z pakietu Microsoft Office. Zespół Bitdefender zaczął także już dostrzegać pewne pakiety złośliwego oprogramowania wykorzystujące indeks pakietów języka Python (PyPl). Jeśli chcesz chronić się przed tymi zagrożeniami, powinieneś powstrzymać się od bocznego pobierania aplikacji na systemy Android i instalować oprogramowanie, które jest dostępne wyłącznie za pośrednictwem Sklepu Google Play lub Portalu firmy.
• EDR Bypass: rozwiązania do wykrywania i reagowania na punkty końcowe (EDR) zyskały na popularności w 2023 roku, zapewniając organizacjom cenny wgląd w zagrożenia bezpieczeństwa atakujące ich punkty końcowe. W celu udaremniania wykrywania złośliwych ataków, przestępcy opracowali szereg technik pozwalających ominąć wykrywanie EDR. Cyberprzestępcy osiągają to poprzez modyfikację kodu w pamięci, blokowanie przechwyceń trybu użytkownika, całkowite wyłączenie usługi interfejsu skanowania antymalware (AMSI) – AMSI umożliwia rozwiązaniom zabezpieczającym skanowanie kodu wykonywanego w systemach Windows pod kątem zagrożeń – wykorzystując luki w jądrze, manipulując używanymi dziennikami audytu poprzez rozwiązania EDR. Wraz ze wzrostem popularności stosowania EDR, będzie wzrastać także wykorzystanie technik obejścia EDR przez podmioty zagrażające. Dlatego organizacje powinny wdrożyć technologię dogłębnej obrony, która wykorzystuje wiele warstw zabezpieczeń, uzupełniających się nawzajem. Obejmuje to funkcje ochrony procesów, które wzmacniają punkt końcowy przed manipulowaniem bibliotekami DLL i łączą zabezpieczenia w trybie użytkownika i trybie jądra z heurystyką w celu identyfikowania i utrudniania technik obejścia EDR.

Rosnące zagrożenia cyberataków w chmurze

Obciążenia i infrastruktura w chmurze stały się kluczowe dla operacyjnego szkieletu organizacji na całym świecie. Z tym krytycznym poleganiem na środowiskach chmurowych wiąże się podwyższony profil ryzyka, ponieważ nad tymi ekosystemami cloudowymi pojawiają się nowe zagrożenia. W 2023 r. wzrosła liczba cyberataków wymierzonych w architektury natywne w chmurze, takie jak platformy do orkiestracji kontenerów, np. Kubernetes. Podmioty zagrażające w dalszym ciągu wykorzystywały luki w zabezpieczeniach powszechnie używanych usług i coraz częściej nadużywały błędnych konfiguracji obciążeń w chmurze. Zrozumienie tych pojawiających się zagrożeń ma kluczowe znaczenie dla organizacji, aby wzmocnić swoje zabezpieczenia, zapewniając bezpieczeństwo i odporność ich podróży do chmury w 2024 r.

Azure i Azure AD Under Siege: w ubiegłym roku nastąpił gwałtowny wzrost dostępności dostępnych narzędzi typu open source, które są szczególnie przydatne do zarządzania, monitorowania i zabezpieczania obciążeń chmury publicznej, szczególnie w przypadku Microsoft Azure®. Narzędzia te oferują szereg funkcjonalności, od automatyzacji infrastruktury po monitorowanie wydajności. Przewidujemy, że cyberprzestępcy będą chcieli przejąć wiele z tych narzędzi, aby uzyskać nieautoryzowany dostęp do obciążeń w chmurze. Podpinając się do interfejsów programowania aplikacji (API) używanych przez te narzędzia lub wykorzystując podatne sterowniki, cyberprzestępcy będą mogli ujawnić bezpieczeństwo środowisk chmurowych, z którymi łączą się te narzędzia. Dzięki temu cyberprzestępcy będą mogli uzyskiwać dostęp do usługi Azure AD i tworzyć konta z podwyższonym poziomem dostępu, co pozwoli im osłabić zabezpieczenia w organizacjach (np. wyłączyć uwierzytelnianie wieloskładnikowe) lub manipulować istniejącą infrastrukturą administracyjną, taką jak Intune™, w celu uruchamiania złośliwego oprogramowania na hostach. Rozwiązania rozszerzonego wykrywania i reagowania (XDR), które zapewniają ochronę obciążeń w chmurze i platform tożsamości, mogą pomóc w wykryciu zachowań związanych z niewłaściwym użyciem tych narzędzi.

Pojawienie się robaków natywnych w chmurze: zwiększone wykorzystanie DevOps w chmurze i rosnąca popularność platform kontenerowych, takich jak Kubernetes, Docker, OpenShift i inne, zwiększyło potencjalny obszar ataku cyberprzestępców. Podmioty zagrażające będą nadal wykorzystywać błędne konfiguracje w tych środowiskach chmurowych, aby uzyskać dostęp do organizacji. Spodziewamy się wzrostu liczby robaków natywnych dla chmury, które rozprzestrzeniają złośliwe oprogramowanie w całych środowiskach chmurowych. Wykorzystując naturę tych wzajemnie powiązanych platform, robaki te mogą potencjalnie spowodować wiele szkód w bardzo krótkim czasie. Zespół Bitdefender zaobserwował pojawienie się samoreplikujących się odmian robaków wykorzystywanych w programach wydobywania kryptowalut. Organizacje działające w chmurze powinny korzystać z profesjonalnych usług zarządzania stanem zabezpieczeń w cloudzie celem zidentyfikowania i rozwiązania konfiguracji, które mogą narazić firmy na nowe zagrożenia w chmurze.

Pojawiające się powierzchnie ataku: nowe granice

Punkty końcowe i obciążenia w chmurze nadal będą głównymi celami cyberataków w 2024 r. Możemy spodziewać się, że ugrupowania zagrażające będą rozszerzać sposoby ataków na drogocenne zasoby.

• Ukierunkowanie na aplikacje komunikacyjne: w roku 2024 nastąpi wzrost liczby ataków z wykorzystaniem aplikacji komunikacyjnych, takich jak Slack® i Teams™, zamieniając te platformy w pola bitew. Swobodny, często niekontrolowany charakter tych aplikacji sprawia, że są głównymi celami infiltracji. W 2023 r. zgłoszono lukę w zabezpieczeniach usługi Teams™, która umożliwia ugrupowaniom zagrażającym wysyłanie za pośrednictwem platformy złośliwych plików do niczego niepodejrzewających ofiar. Nastąpił znaczny wzrost rozprzestrzeniania się szkodliwego oprogramowania DarkGate za pośrednictwem programów Skype® i Teams™. Ze względu na charakter stosowanych narzędzi będą one nadal stanowić podatny wektor ataku cyberprzestępczości. Dlatego firmy i organizacje powinny stosować na swoich punktach końcowych wielowarstwowe zabezpieczenia, obejmujące skuteczną ochronę sieci, która może przechwycić przesyłanie złośliwych plików przez te platformy.
• Przenoszenie interakcji użytkowników i niezarządzanych urządzeń: gdy pracownicy wracają do hybrydowej praktyki pracy, cyberprzestępcy dążą do przeniesienia interakcji użytkowników do mniej kontrolowanych środowisk przy użyciu różnych urządzeń i platform. 70% incydentów zbadanych przez zespół Bitdefender MDR w 2023 r. ma swoje źródło w niezarządzanych urządzeniach, co jasno pokazuje skuteczność ataków na ten sprzęt. W 2024 r. sposoby ataków na te urządzenia będą nadal ewoluowały. Przedsiębiorstwa muszą zachować czujność przed atakami phishingowymi wykorzystującymi kody QR lub atakami, w których podmiot zagrażający wykorzystuje numery telefonów lub przejęte konta w celu inicjowania czatów prowadzących do ujawnienia wrażliwych danych użytkownika. Organizacje muszą stosować sztywne zasady dotyczące urządzeń przenośnych, aby zapobiegać zagrożeniom wynikającym z korzystania z urządzeń niezarządzanych, a pracowników należy zachęcać do instalowania na swoich urządzeniach solidnych zabezpieczeń antywirusowych zdolnych do wykrywania złośliwych wiadomości.
• Zwiększone wykorzystanie przez cyberprzestępców języków i struktur programowania niezależnych od platformy: opracowując swoje ataki, podmioty zagrażające lubią zarzucić jak najszerszą sieć. W 2023 r. Bitdefender zaobserwował intensyfikację ataków napisanych w językach programowania niezależnych od platformy, takich jak Rust, Go i Swift. Rust stał się popularnym wyborem wśród cyberprzestępców ze względu na swoje bezpieczeństwo, niezawodność i szybkość. W połączeniu z wykorzystaniem tych języków niezależnych od platformy zaobserwowano również zwiększone wykorzystanie frameworków typu open source, takich jak Havok i Sliver, wykorzystywanych w połączeniach dowodzenia i kontroli przez grupy cyberprzestępcze. Korzyści dla atakujących polegają na możliwości złamania zabezpieczeń dowolnego systemu operacyjnego.
• Wykorzystywanie luk w zabezpieczeniach procesorów: w 2023 r. odkryto kilka ważnych luk w zabezpieczeniach procesorów takich, jak problem z redundantnym prefiksem firmy Intel (CVE-2023-23583) i pobieranie próbek danych (CVE-2022-40982) oraz inicjacja AMD (CVE-2023-20569) i ZenBleed (CVE-2023-20593). Luki te mogą umożliwiać podmiotom zagrażającym wyciek poufnych informacji poza granicami uprawnień, a nawet przeprowadzanie ataków DoS na zaatakowane systemy. Ze względu na swój charakter błędy te są trudne do naprawienia i często wymagają aktualizacji systemu operacyjnego lub mikrokodu. Wiele z nich może wymagać całkowitej ponownej kompilacji aplikacji. Chociaż Bitdefender nie zaobserwował jeszcze, aby internetowi przestępcy wykorzystywali te błędy, możliwe, że w 2024 r. grupy cyberprzestępcze będą atakować te luki.
• Konflikty globalne prowadzące do nasilenia haktywizmu: wraz z rozwojem konfliktów na całym świecie możemy spodziewać się wzrostu cyberprzestępczości wspieranej bezpośrednio przez państwo lub niezwiązane grupy o interesach nacjonalistycznych. Wojna cybernetyczna w dalszym ciągu jest skutecznym narzędziem osiągania celów politycznych, społecznych lub narodowych. Cele mogą polegać na zakłócaniu infrastruktury krytycznej, kradzieży wrażliwych danych lub wpływaniu na opinię publiczną. W ciągu ostatnich kilku lat zaobserwowano znaczny wzrost ataków na infrastrukturę krytyczną, przeprowadzanych przez podejrzane grupy sponsorowane przez państwo, a biorąc pod uwagę obecne konflikty na Bliskim Wschodzie, w krajach europejskich i na innych terytoriach, częstotliwość i zakres tego typu incydentów będzie jedynie eskalować. W 2024 r. Biorąc pod uwagę motywację stojącą za wieloma tego typu atakami (np. cyberdżihad), możemy spodziewać się pewnego poziomu nieprzewidywalności ich przeprowadzenia.

Zmiany w krajobrazie cyberbezpieczeństwa – kluczowe wnioski

W perspektywie roku 2024 krajobraz cyberwojny przechodzi wstrząsające zmiany, napędzane przez przyspieszającą integrację narzędzi sztucznej inteligencji (AI), większy nacisk na środowiska chmurowe oraz rosnący obszar powierzchni ataku powodowany przez heterogeniczne platformy i praktyki pracy. Oczywiste jest, że chociaż wyzwania są ogromne, istnieją również istotne powody do optymizmu. Ten sam postęp technologiczny, który ośmielił cyberprzestępców, zapewnia także obrońcom solidniejsze i wyrafinowane narzędzia. Rządy, organizacje i eksperci ds. cyberbezpieczeństwa w coraz większym stopniu współpracują, dzielą się wiedzą i zasobami, aby wyprzedzać zagrożenia. Ten wspólny wysiłek jest świadectwem odporności i zdolności adaptacyjnych społeczności zajmującej się cyberbezpieczeństwem.

Organizacje, które koncentrują się na gotowości, mają największe szanse na pomyślne przetrwanie tych burzliwych czasów. Wkraczając w rok 2024, organizacje powinny przyjąć plan obejmujący skuteczne zapobieganie, ochronę, wykrywanie i reagowanie, aby stworzyć nie tylko elementy zdrowej strategii cyberbezpieczeństwa, ale także filary, na których zbudowana jest ich odporność.

Jeśli chciałbyś dowiedzieć się, w jaki sposób możesz zapewnić odpowiednią ochronę dla swojej firmy za pomocą systemów antywirusowych Bitdefender z linii GravityZone, to zachęcamy Cię, abyś odwiedził tę stronę.