41% komputerów firmowych było celem zagrożeń lokalnych, których źródłem były np. zainfekowane pamięci USB lub inne nośniki wymienne. Eksperci zauważyli również 7% wzrost udziału szkodliwych programów wykorzystujących luki w zabezpieczeniach (tzw. exploitów) tworzonych z myślą o platformie Android, co potwierdza rosnące zainteresowanie cyberprzestępców danymi przechowywanymi na urządzeniach mobilnych pracowników. Ataki te zostały dokładnie zaplanowane – cyberprzestępcy zbadali wcześniej kontakty i dostawców atakowanej firmy, a nawet prywatne zainteresowania i aktywność internetową poszczególnych pracowników. Wiedza ta została następnie wykorzystana do zidentyfikowania legalnych stron internetowych, które miały zostać zainfekowane i rozprzestrzeniać szkodliwe oprogramowanie, przy czym ataki często powtarzały się na przestrzeni czasu.
Polowanie na pieniądze
W 2015 r. cyberprzestępcy i ugrupowania APT poświęcali wiele uwagi organizacjom oferującym usługi finansowe, takim jak banki, fundusze inwestycyjne oraz giełdy i kantory, w tym te obsługujące kryptowalutę.
Przykładem takiego ataku był Carbanak, w którym szkodliwe oprogramowanie przeniknęło do sieci banków, wyszukując krytyczne systemy, które pozwoliłoby mu pobrać pieniądze. W jednym skutecznym ataku cyberprzestępcy byli w stanie ukraść od 2,5 do 10 milionów dolarów. Ugrupowanie cyberszpiegowskie Wild Neutron również polowało przez większość 2015 r. na branżę inwestycyjną oraz organizacje obsługujące kryptowalutę Bitcoin i firmy zajmujące się połączeniami i przejęciami.
Dywersyfikacja
Eksperci z Kaspersky Lab zaobserwowali rosnącą dywersyfikację celów ataków. Przykładem może być chińskie ugrupowanie Winnti, które w 2015 r. zmieniło swoje cele – z firm zajmujących się tworzeniem gier wideo na organizacje z branży farmaceutycznej i telekomunikacyjnej.
“Przyszły krajobraz cyberzagrożeń dla firm obejmuje nowy wektor ataków – infrastrukturę, ponieważ niemal wszystkie cenne dane organizacji są przechowywane na serwerach w centrach danych. Spodziewamy się również bardziej rygorystycznych standardów bezpieczeństwa organów regulacyjnych, co może przyczynić się do większej liczby aresztowań cyberprzestępców w 2016 r.” – powiedział Jurij Namiestnikow, starszy badacz ds. bezpieczeństwa IT, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Wzrost liczby programów ransomware
W 2015 r. podwoiła się liczba ataków szkodliwych programów szyfrujących dane i żądających zapłacenia okupu za przywrócenie dostępu – rozwiązania Kaspersky Lab wykryły takie zagrożenia na ponad 50 tysiącach komputerów firmowych. Być może wynika to z tego, że okup otrzymany od organizacji może być znacznie wyższy niż od osób indywidualnych. W przypadku firm istnieje również większe prawdopodobieństwo zapłacenia okupu. Wiele organizacji po prostu nie jest w stanie funkcjonować, jeśli ich informacje, znajdujące się na kilku krytycznych komputerach lub serwerach, zostaną zaszyfrowane i będą niedostępne.
“Organizacje, które padły ofiarą oprogramowania ransomware, mogą otrzymać żądanie okupu w zamian za powstrzymanie ataku DDoS, odszyfrowanie plików lub zachowanie poufności skradzionych informacji. Warto pamiętać, że mimo zapłaconego okupu cyberprzestępcy nie zawsze honorują umowę. Dlatego ofiary takich ataków powinny niezwłocznie kontaktować się z organami ścigania i ekspertami ds. bezpieczeństwa” – dodał Jurij Namiestnikow.
Kaspersky Lab zaleca firmom, aby podjęły działania w celu ograniczenia ryzyka i rozszerzyły swoją wiedzę na temat najnowszych zagrożeń. Podstawowe zasady bezpieczeństwa w sieciach korporacyjnych nie zmieniają się: należy prowadzić szkolenia dla pracowników, ustanowić solidne procesy bezpieczeństwa oraz w pełni wykorzystywać nowe technologie i metody, ponieważ każda dodatkowa warstwa ochrony zmniejsza ryzyko skutecznego ataku na sieć.
W celu zminimalizowania ryzyka infekcji oprogramowaniem ransomware firmy powinny stosować ochronę przed szkodliwymi programami wykorzystującymi luki w zabezpieczeniach systemów operacyjnych i aplikacji, a także zadbać o to, aby ich rozwiązania bezpieczeństwa były wyposażone w metody pozwalające na identyfikację szkodliwego kodu na podstawie działań wykonywanych w systemie.
Pełny raport poświęcony zagrożeniom dla firm w 2015 r. jest dostępny na stronie https://kas.pr/KSB2015_Business_pdf.