79% din atacurile cibernetice vizeaza entitatile guvernamentale si companiile
In ultimul an, 58% din toate atacurile cibernetice ale actorilor statali observate de Microsoft au provenit din Rusia, iar acestea sunt din ce in ce mai eficiente, rata compromiterii cu succes a sistemelor tinta crescand de la 21%, anul trecut, la 32% in acest an.
Actorii statali din Rusia vizeaza din ce in ce mai mult agentiile guvernamentale in scop de colectare de informatii, inregistrandu-se o crestere de la 3% din tintele vizate, acum un an, la 53%; in mare parte este vorba de agentii implicate in politica externa, securitatea nationala sau aparare. Primele trei tari vizate de actorii statali din Rusia au fost Statele Unite, Ucraina si Marea Britanie.
Acestea sunt doar cateva dintre informatiile din cel de-al doilea Raport anual Microsoft Digital Defense.
“Raportul anual Microsoft Digital Defense acopera perioada din iulie 2020 pana in iunie 2021, iar concluziile sale privesc tendintele observate cu privire la activitatea actorilor statali, criminalitatea cibernetica, securitatea lanturilor de aprovizionare, munca in sistem hibrid si dezinformarea”, se mentioneaza intr-un comunicat al Microsoft, remis cotidianului national “Romania libera”.
Activitatea actorilor statali
Rusia nu este singurul actor statal ale carui abordari evolueaza, iar spionajul nu este singurul scop al atacurilor de anul acesta ale actorilor statali.
Dupa Rusia, cel mai mare volum de atacuri, observat de expertii din cadrul Microsoft, a venit din Coreea de Nord, Iran si China; Coreea de Sud, Turcia (o aparitie noua in acest raport) si Vietnam au fost, de asemenea, active, dar reprezinta un volum mult mai mic.
In timp ce spionajul este cel mai comun obiectiv pentru atacurile actorilor statali, unele activitati ale atacatorilor dezvaluie alte obiective, inclusiv:
Iranul, care a vizat de 4 ori mai des Israelul in ultimul an si a lansat atacuri distructive ca parte a tensiunilor sporite dintre cele doua tari
Coreea de Nord, care a vizat companiile de criptomonede pentru obtinere de profit, intrucat economia sa a fost decimata de sanctiuni si de pandemia Covid-19
Desi China nu este unica in ce priveste scopul urmarit, cel de colectare a informatiilor, Microsoft a remarcat faptul ca mai multi actori statali chinezi au folosit o serie de vulnerabilitati neidentificate anterior. Atacurile HAFNIUM care vizeaza Serverele Exchange locale au fost puternic mediatizate, dar, pe langa vulnerabilitatea de tip „zero-day” utilizata in acele atacuri, Microsoft a detectat si a raportat un atac Pulse Secure VPN zero-day si un atac SolarWinds zero-day ceva mai devreme in cursul acestui an, ambele fiind exploatate de actori chinezi.
China foloseste, de asemenea, colectarea de informatii in diverse scopuri. Un actor chinez, CHROMIUM, a vizat entitati din India, Malaezia, Mongolia, Pakistan si Thailanda pentru a culege informatii sociale, economice si politice despre tarile vecine. Un alt actor chinez, NICKEL, a vizat ministere de externe din America Centrala si de Sud si din Europa. Pe masura ce influenta Chinei se schimba odata cu Initiativa Nationala „Belt and Road”, Microsoft se asteapta ca acesti actori sa continue sa utilizeze culegerea de informatii prin mijloace cibernetice pentru a afla date despre investitii, negocieri si influenta. In cele din urma, actorii chinezi sunt remarcabil de persistenti; chiar si dupa ce Microsoft a dezvaluit incercarile Chinei de a colecta informatii cu privire la persoane implicate in alegerile din 2020, actorul sau ZIRCONIUM si-a continuat activitatea in Ziua Alegerilor.
In total, Microsoft a notificat de 20.500 de ori in ultimii trei ani clientii despre incercarile tuturor actorilor statali de a le sparge sistemele. Pentru claritate, precizam ca Microsoft nu observa fiecare atac cibernetic global. De exemplu, compania are o vizibilitate limitata asupra atacurilor care vizeaza sistemele locale pe care organizatiile le gestioneaza singure, cum ar fi atacurile Exchange Server de la inceputul acestui an, precum si atacurile care vizeaza clientii altor furnizori de tehnologie. Compania crede ca impartasirea datelor pe care le avem despre aceste amenintari este utila pentru clienti, decidenti si comunitatea de securitate extinsa si ii invita si pe altii sa impartaseasca ceea ce observa din perspectiva lor. Vestea buna este ca vizibilitatea sa asupra amenintarilor si capacitatea de a ajuta la oprirea acestora vor continua sa creasca pe masura ce mai multe organizatii migreaza catre sisteme de tip cloud.
Criminalitatea cibernetica
Criminalitatea cibernetica – in special de tip ransomware – ramane o problema grava care continua sa se extinda, dupa cum reiese din Raportul Microsoft Digital Defense din acest an. Dar, in timp ce actorii statali vizeaza in principal victimele care detin informatii utile, infractorii cibernetici vizeaza victimele cu bani. Drept urmare, tintele au adesea un profil diferit. Atacurile cibernetice asupra infrastructurilor critice – cum ar fi atacul de tip ransomware asupra Colonial Pipeline – ies adesea in evidenta. Cu toate acestea, primele cinci domenii vizate in ultimul an, observate pe baza implicarii echipei Detection and Rapid Response Team (DART), din cadrul Microsoft, in cazuri de ransomware, sunt retail-ul (13%), serviciile financiare (12%), industria de productie (12%), autoritatile (11%) si asistenta medicala (9%). Statele Unite reprezinta, de departe, cea mai vizata natiune care este tinta pentru de trei ori mai multe atacuri de tip ransomware decat urmatoarea cea mai vizata tara. Astfel, din acest punct de vedere, SUA sunt urmate de China, Japonia, Germania si Emiratele Arabe Unite.
In ultimul an, economia „cybercrime-as-a-service” a trecut de la o industrie incipienta, dar cu crestere rapida, la o industrie matura de natura criminala. Astazi, oricine, indiferent de cunostintele tehnice, poate accesa o piata online robusta pentru a achizitiona gama de servicii necesare pentru a executa atacuri in orice scop. Piata are trei componente. In primul rand, pe masura ce cererea a crescut, infractorii se concentreaza din ce in ce mai mult pe crearea de kit-uri specializate de produse pentru infectare gata sa fie folosite, precum si pe cresterea automatizarii, ceea ce duce la reducerea costurilor si cresterea volumului. Exista kit-uri care se vand la pretul de doar 66 USD. In al doilea rand, alta categorie de furnizori pun pe piata credentiale compromise, necesare pentru a accesa sistemele victima si a implementa kit-urile. De asemenea, expertii din cadrul Microsoft au remarcat credentiale care se vand pentru sume de la 1 USD la 50 USD fiecare, in functie de valoarea perceputa a tintei. In al treilea rand, serviciile de escrow cu criptomonede servesc drept brokeri intre cumparatori si vanzatori pentru a asigura garantii ca credentialele si kit-urile au performantele corespunzatoare ofertei. De asemenea, specialisii au identificat si kit-uri sofisticate care nu doar ca furnizeaza date despre victima persoanei care a achizitionat si a implementat kit-ul, ci si furnizeaza in secret date direct entitatii care a creat kit-ul.
Atacurile tip ransomware continua sa fie una dintre cele mai mari amenintari de criminalitate cibernetica si, in ultimul an, au continuat sa evolueze si au devenit si mai disruptive. In loc sa se concentreze asupra atacurilor automate care se bazeaza pe volum si cereri de valoare redusa pentru a genera profit, ransomware-ul cu operare umana foloseste informatii obtinute din surse online, sustrage si studiaza documentele financiare si de asigurare ale victimei si cerceteaza retelele compromise pentru a selecta tintele si a stabili cereri de rascumparare de valoare mult mai ridicata.
Combaterea criminalitatii cibernetice in mediul de lucru de tip hibrid
Pe masura ce amenintarile online cresc in volum, grad de sofisticare si impact, cu totii trebuie sa luam masuri pentru a consolida prima linie de aparare. Implementarea de masuri fundamentale de „igiena” cibernetica – asemenea periatului dintilor pentru a va proteja impotriva cariilor sau cuplarii centurii de siguranta pentru a va proteja viata – sunt pasi de baza pe care trebuie sa-i facem cu totii.
Mai putin de 20% dintre clientii Microsoft utilizeaza functii puternice de autentificare, cum ar fi multi-factor authentication (MFA). Compania ofera aceasta functie gratuit, iar organizatiile o pot activa ca mod de lucru prestabilit pentru utilizatorii lor. De fapt, daca organizatiile doar ar aplica MFA, ar folosi sisteme anti-malware si si-ar mentine sistemele actualizate, ar fi protejate de peste 99% din atacurile pe care le vedem astazi.
Desigur, companiile de tehnologie precum Microsoft joaca un rol important in dezvoltarea de software securizat, implementarea de produse si servicii avansate de securitate cibernetica pentru acei clienti care doresc sa le implementeze si detectarea si oprirea amenintarilor. Insa organizatiile care iau masuri de baza pentru a se proteja vor merge mai departe decat cele mai sofisticate masuri pe care companiile tehnologice si autoritatile le-ar putea adopta pentru a proteja. Vestea buna este ca, in ultimele 18 luni, s-a vazut o crestere cu 220% a utilizarii de mijloace puternice de autentificare, deoarece companiile s-au preocupat sa isi sporeasca securitatea pentru lucrul la distanta. Vestea proasta este ca mai avem un drum lung de parcurs. O parte a solutiei trebuie sa fie formarea mai multor profesionisti in domeniul securitatii cibernetice, care pot ajuta organizatiile de toate tipurile sa ramana in siguranta, si compania va avea mai multe de impartasit despre munca noastra in acest domeniu in urmatoarele saptamani
Exista trei tendinte care ne ofera, de asemenea, speranta:
In primul rand, guvernul SUA a luat masuri fara precedent pentru a face pasi in ce priveste securitatea cibernetica folosind legi si reglementari deja finalizate. Ordinul executiv anuntat in luna mai a ajuns la un nivel de reglementare ridicat pentru a face guvernul federal al SUA, si cei cu care lucreaza, un mediu mai sigur, iar Casa Alba (care a preluat conducerea in a stabili un parteneriat cu sectorul privat in mijlocul atacurilor Exchange Server, efectuate de HAFNIUM anul acesta), a stabilit un nou standard pentru colaborarea legata de incidente.
In al doilea rand, autoritatile din intreaga lume introduc si adopta noi legi care impun cerinte precum raportarea obligatorie atunci cand organizatiile descopera atacuri cibernetice, astfel incat agentiile guvernamentale competente sa inteleaga natura problemei si sa poata investiga incidentele folosindu-si resursele.
In al treilea rand, atat autoritatile, cat si companiile comunica in mod voluntar atunci cand sunt victime ale unor atacuri. Aceasta transparenta ii ajuta pe toti sa inteleaga mai bine problema si permite un angajament sporit din partea autoritatilor si a celor care au competenta de a oferi un prim raspuns la incidente.
Tendintele sunt clare: actorii statali folosesc din ce in ce mai mult si vor folosi in continuare atacuri cibernetice pentru orice obiective politice ar avea, indiferent ca este vorba despre spionaj, perturbarea activitatii sau distrugere. Microsoft anticipeaza ca mai multe tari se vor alatura listei celor care se angajeaza in operatiuni cibernetice ofensive si ca acestea vor deveni mai indraznete, persistente si daunatoare, cu exceptia cazului in care ar exista consecinte mai grave. Si piata criminalitatii cibernetice va continua sa devina mai sofisticata si mai specializata, cu exceptia cazului in care ne concentram cu totii eforturile pentru a o opri. Se lucreaza mai mult ca niciodata pentru a contracara aceste preocupari, dar va trebui sa ne asiguram ca ele vor ramane in topul prioritatilor pe agendele nationale si internationale in urmatorii ani.