Minulý rok byl co se týče kybernetické oblasti velmi bouřlivý. Při geopolitických a ekonomických událostech, které dělají svět stále komplikovanější a nejistější, potřeba efektivní globální kybernetické ochrany před hrozbami stále roste. Útočníci stále pracují v globálním měřítku na nových hrozbách s nasazením nových hráčů a kromě toho využívají nové způsoby nebo inovují starší. Žádná organizace nebo jednotlivec není skutečně v bezpečí před kybernetickými hrozbami. Potřeba stále monitorovat
a zkoumat hrozby, které se znovuobjevují a vyvíjí se rychlým tempem a ve velkém měřítku, neustále roste.
Ransomware je stálicí mezi hrozbami pro mnohé organizace po celém světě. Rozvíjí se co do rozsahu a kultivovanosti včetně koordinace a spolupráce s dalšími kybernetickými hrozbami skrz undergroundová fóra. Triky, které mají za cíl podvést jednotlivce, kompromitovat jejich zařízení a získat osobní informace, jsou stále chytřejší a nebezpečnější a je stále těžší je odhalit, ať už pro napadené nebo pro bezpečnostní nástroje. Stále také pokračuje trend využívání kybernetických útoků v rámci politických, ekonomických a územních ambicí prostřednictvím států provádějících špionáž, válečné akce a dezinformační kampaně, jak je to patrné například na Ukrajině, Tchaj-wanu, Izraeli nebo dalších zemích.
Níže si můžete přečíst předpovědi kybernetických odborníků zkoumajících hrozby z Trellix Advanced Research Center týkající se trendů, taktik a hrozeb na které by si měli dát uživatelé v roce 2024 pozor.
Hrozba umělé inteligence
Undergroundový vývoj škodlivých LLMs
Nedávné pokroky ve vývoji umělé inteligence přinesly vznik Large Language Models (LLMs) schopných generovat text, podobný lidskému. Zatímco LLMs prokazují technologický potenciál k využití nástroje kladným způsobem, jejich dvojí povaha znamená potenciální zranitelnost vůči zneužití.
Například GPT-4, Claude a PaLM2 dosáhly velkého vývoje v generování souvislého textu, v odpovídání na složité dotazy, řešení problémů a v neposlední řadě v programování. Dostupnost a snadné použití těchto pokročilých LLMs jsou novou cestou pro útočníky. Na rozdíl od dřívějších méně sofistikovaných AI systémů se dnešní systémy nabízejí útočníkům jako silný, ekonomicky efektní nástroj bez potřeby rozsáhlé odbornosti, času a zdrojů.
Budování infrastruktury pro phishingové kampaně ve velkém měřítku se stalo levnějším a dostupnějším dokonce i pro jednotlivce s omezenými technickými dovednostmi. Nástroje jako FraudGPT a WormGPT tvoří již významnou součást sítí kyberzločinců. Jako platformy pro koordinovaný vývoj phishingových
e-mailů, padělaných webových stránek, stejně jako vytváření malwaru a zranitelností navržených k obejití detekce tisíců uživatelů, slouží populární fóra na darknetu. Aplikace LLMs mohou zmírnit značné problémy, kterým útočníci čelí. V roce 2024 se očekává zrychlení vývoje zneužívání těchto nástrojů.
Vzkříšení „Script Kiddies“
Dostupnost a bezplatnost softwaru je to, co původně vedlo k vzestupu „Script Kiddies“ – lidí s malými nebo žádnými technickými znalostmi, kteří využívají automatické nástroje nebo skripty k provedení kybernetických útoků. Ačkoli jsou občas považovaní za nezkušené amatéry nebo za rádoby „Blackhaty“ rostoucí dostupnost AI nástrojů umožňujících využití škodlivého malwaru, představují „Script Kiddies“ významnou a rostoucí hrozbu pro trh.
Internet je teď plný nástrojů využívajících AI, které slouží k usnadnění života. Některé známější jako ChatGPT, Bard nebo Perplexity AI používají bezpečnostní mechanismy, které brání v psaní škodlivého kódu. To se ale nedá říct o ostatních nástrojích využívajících AI, zejména o těch, které jsou vyvíjeny na dark webu.
Je otázkou času, kdy útočníci získají přístup k AI neomezeně generující škodlivé kódy, falešné videa
a další. Tím pádem by provádět sofistikované útoky ve velkém měřítku bylo pro útočníky jednodušší než kdykoli předtím. Rozsáhlé používání těchto nástrojů využívajících zranitelnosti navíc povede k ztížení analýz příčin útoku. Tato oblast by se měla v roce 2024 pečlivě sledovat.
Hlasové podvody generované umělou inteligencí založené na sociálním inženýrství
Růst podvodů s využitím uměle vytvořených hlasů je znepokojující trend představující významné riziko pro jednotlivce i organizace. Tyto podvody využívají taktik takzvaného sociálního inženýrství, kdy podvodníci používají psychologické manipulační techniky, aby jednotlivce přiměli k určitému jednání, jako je sdělení osobních informací nebo provedení finanční transakce. Uměle vytvořené hlasy mohou vzbuzovat důvěru a naléhavost, proto jsou oběti náchylnější k manipulaci.
Nedávné pokroky v rozvoji umělé inteligence výrazně zlepšily kvalitu uměle vytvořených hlasů. Dokážou velmi přesně napodobovat vzorce a nuance lidské řeči, tudíž je těžké odlišit reálný a falešný hlas. Dostupnost a možnost použití nástrojů AI jednotlivci bez technické odbornosti posiluje postavení podvodníků.
Dalším klíčovým faktorem je škálovatelnost. Podvodníci mohou uměle vytvořených hlasů využít k automatizaci a zesílení podvodných aktivit. Mohou oslovovat mnoho potenciálních obětí současně s personalizovanými hlasovými zprávami nebo hovory a tím zvýšit dosah a účinnost. Detekce těchto hlasů je velkou výzvou, zejména pro ty, kteří tuto technologii tolik neznají. Rostoucí autentičnost hlasů brání obětem rozlišit mezi podvodnými a skutečnými komunikacemi. Podvody také nejsou omezeny jazykovými bariérami, tudíž mohou oslovovat oběti v různých geografických oblastech nebo jazykových prostředích.
Útoky typu phishing a vishing jsou na vzestupu. Je jen logickým krokem, že s rozvojem technologie uměle vytvořených hlasů, budou tyto aplikace používány při telefonních rozhovorech se záměrem předstírat legitimní subjekty ke zvýšení účinnosti svých podvodů.
Měnící se trendy v chování aktérů hrozeb
Útoky na dodavatelské řetězce cílené na řešení Managed File Transfers (MFT)
Řešení pro řízený přenos souborů (MFT), která jsou určena k bezpečné výměně citlivých dat mezi subjekty, jsou ze své podstaty truhlou plnou důvěrných informací. Jedná se o duševní vlastnictví, údaje o zákaznících, finanční záznamy a mnoho dalšího. Řešení MFT hrají klíčovou roli v moderních obchodních činnostech a organizace na ně spoléhají, aby usnadnily bezproblémové sdílení dat jak interně, tak externě. Jakékoli narušení nebo ohrožení těchto systémů může vést k významným provozním výpadkům, poškození pověsti a finančním ztrátám. Tím pádem jsou atraktivním cílem útočníků používajících ransomware, kteří jsou si vědomi potenciálního dopadu, který zvýší sílu jejich vyděračských požadavků.
Složitost sytému MFT a jejich integrace do interní podnikové sítě často vytváří bezpečnostní slabiny
a zranitelnosti, kterých můžou útočníci využít. Příkladem může být zneužití MFT Go-anywhere skupinou CI0P a narušení systému MOVEit, čímž se z jednoho úspěšného zneužití stalo rozsáhlé narušení dodavatelského řetězce globálního softwaru. V příštím roce se očekává, že těchto typu útoků bude přibývat. Organizacím se doporučuje důkladné prověření svých řešení pro řízený přenos souborů, implementování DLP a šifrování citlivých dat.
Hrozby malwaru se stávají polyglotními
V posledních letech je patrný nárůst využívání programovacích jazyků jako Golang, Nim a Rust pro vývoj škodlivého malwaru. V porovnání s C nebo C + + je jejich využití stále malé, očekává se ale, že se to do budoucna změní.
Díky jednoduchosti se jazyk Go stal oblíbeným pro tvorbu lehkého a rychlého škodlivého softwaru. Nim je díky svému zaměření na výkon užitečný pro vytváření složitého malwaru. Funkce správy paměti jazyka Rust jsou zajímavé pro skupiny zaměřující se na ransomware a další aktéry hrozeb, kteří se zabývají šifrováním malwaru.
Vzhledem k tomu, že jsou jazyky Nim a Rust poměrně nové, oproti jazykům C nebo Python je zde zavedených méně bezpečnostních nástrojů a to představuje pro odborníky na kybernetickou bezpečnost, kteří se snaží identifikovat malware, značnou výzvu.
V posledních měsících byl zaznamenán nárůst malwaru založeném na jazyce Golang. V roce 2024 se tedy očekává výrazný nárůst malwaru z těchto jazyků.
Vydírání ransomwarem ve více vrstvách
Finančně motivované ransomwarové skupiny hledají nové způsoby, jak své oběti vydírat o další peníze a tlačit je k zaplacení výkupného. Začalo se objevovat, že útočníci skrz ransomware kontaktují klienty svých obětí a to jim umožňuje získat výkupné nejen od přímé oběti jejich útoku, ale také od všech klientů oběti, kteří mohou být zcizenými daty ovlivněni.
Jelikož skupiny využívají k vydírání média a veřejný prostor, již v roce 2022 došlo k úniku dat jedné z nejvýznamnějších australských pojišťoven. Současně s výkupným pro pojišťovnu zveřejnili útočníci velkou část lékařských údajů, což vedlo k tlaku veřejnosti a úředníků, aby bylo útočníkům zaplaceno za stažení důvěrných informací. Vzhledem k citlivosti údajů chodili jednotliví klienti do pojišťovny
a nabízeli, že zaplatí za odstranění svých vlastních údajů. Při sledování podobné události v roce 2023 skupina útočníků vyhrožovala, že bude kontaktovat klienty společností, které napadla a nabídne jim možnost zaplatit za odstranění jejich osobních údajů.
Očekává se, že dojde ke změně prostředí, kde budou útočníci ransomwarem útočit a budou se častěji zaměřovat na subjekty zpracovávající nejen citlivé ale i intimní informace, které lze využít k vydírání klientů. Nebylo by překvapením, kdyby se v ohrožení opět ocitlo odvětví zdravotnictví, sociálních médií, vzdělávání a SaaS.
Zabezpečení voleb musí začít ochranou „Human-in-the-Loop“
Kritická hrozba pro bezpečnost voleb se skrývá již v základu a často začíná u e-mailů nebo SMS zpráv, kde se útočníci aktivně zaměřují na volební úředníky prostřednictvím kreativního phishingu s cílem kompromitace. Stačí se podívat tři roky nazpět, kdy byl tento způsob využit k zaměření se na klíčové úředníky ve čtyřech státech. Nebude tomu jinak ani v nadcházejících volebních obdobích, pokud nebudou chráněny osoby zapojené do voleb na všech úrovních – od městských a krajských volebních úředníku až po dobrovolníky.
Kybernetické útoky, jako je spear phishing a propracované vydávání se za voliče, nadále využívají e-mail jako hlavní vstupní bránu, protože jej lze velmi dobře přizpůsobit a tím pádem se zvýší úspěšnost zneužití. Všichni, kteří se budou v roce 2024 podílet na volbách by měli nadále pečlivě kontrolovat
e-maily a nedůvěřovat nerozpoznatelných hypertextovým odkazů. Mimořádný pozor by si měli dát na e-maily, kde se útočníci vydávají za někoho jiného, bussiness email compromise (BEC) a spear phishing a zvážit využití řešení pro detekci a zastavení škodlivých souborů a adres URL.
Účast ve volbách nese kromě posílené postavení také zodpovědnost. Každý účastník si musí být vědom možné přítomností útočníků se snahou ovlivnit proces nezákonnými prostředky a musí být na to připraven.
Nově vznikající hrozby a metody útoku
Odhalení tichého nárůstu vnitřních hrozeb
V posledních letech představují interní hrozby mnohostranné riziko, které postihuje veřejné i soukromé organizace po celém světě. Může to být jakákoli osoba – zaměstnanec, dodavatel, partner nebo někdo s neoprávněným přístupem, kdo měl nebo má přístup k aktivům organizace včetně zařízení, informací, sítí a systémů. Na základě nedávné analýzy, vzrostl počet interních hrozeb za poslední dva roky o 47 %, což si na řešení a zamezení těchto incidentů vyžádalo celkové ztráty přes 15 milionu dolarů.
Tato hrozba narušuje důvěrnost a integritu organizace a zároveň pomáhá útočníkům shromažďovat zpravodajské informace, provádět sabotážní akce a používat zákeřné metody k dosažení jejich nekalých cílů. S připojováním dalších zařízení a přetrváním pracovních sil na dálku a v režimu hybrid budou interní hrozby narůstat. Rychle se rozvíjející charakter interních hrozeb představuje pro lidi, procesy
a technologie velkou výzvu. Pro organizace je udržení důvěry zainteresovaných stran zásadní, aby tyto hrozby dokázaly identifikovat, vyhodnocovat a řídit.
Rostoucí bitva o QR kódy
Alarmující nárůst představuje trend phishingových kampaní založených na QR kódech. Náš každodenní život se stává stále více závislým na digitálních interakcích a útočníci přizpůsobují své taktiky tak, aby využili nových zranitelností. QR kódy původně navržené kvůli efektivitě a pohodlí, představují pro kyberzločince lákavý cíl útoku.
Jedním z hlavních důvodů zneužívání QR kódů je přirozená důvěryhodnost. Lidé si během pandemie zvykli je používat bez většího přemýšlení, protože byly součástí každodenního života. Tento pocit důvěry zneužili útočníci, kteří do nich vkládají škodlivé odkazy nebo přesměrovávají oběti na falešné webové stránky. Očekává se i nárůst zneužití QR kódu k distribuci malwaru.
Snadné vytváření a šíření QR kódů otevírá bránu phishingu a šíření malwaru. Jelikož může QR kód vytvořit kdokoli a vložit do něj škodlivé odkazy, stává se to pro kyberzločince efektivní a dostupnou metodou cílení na oběti. Tento způsob zneužití se stává velmi diskrétním způsobem, jak mohou útočníci doručit svůj škodlivý obsah. Že se stali obětí phishingu, si totiž uživatelé můžou uvědomit až příliš pozdě, což ztěžuje detekci i prevenci.
Tradiční emailové produkty tyto útoky nedokážou odhalit, což z nich činí atraktivní možnost pro útočníky. Potenciál úspěchu těchto phishingových kampaní bude narůstat, protože útočníci nadále zdokonalují své taktiky a vytvářejí přesvědčivější návnady. Uživatelé musí dbát zvýšené opatrnosti při skenování kódů zejména z neznámých a podezřelých zdrojů.
Nenápadný útok na Edge devices
V oblasti edge devices, která je často přehlížená, dochází k nenápadnému posunu v souvislosti s hrozbami. Tyto nenápadné komponenty včetně firewallů, routrů, VPN, switchů, multiplexorů a bran se stávají novou oblastí pro skupiny APT (Avanced Persistent Threat). To, čím se odlišují, je rafinovanost hrozeb, nejde o snadno předvídatelné zranitelnosti IoT, ale spíš o méně nápadné problémy, které představují samotná edge devices.
Edge devices mají své specifické vlastnosti, problém je však v jejich přirozené neschopnosti detekovat narušení. Na rozdíl od tradičních síťových prvků to není tak jednoduché jako připojit další IDS nebo IPS. Brány do našeho digitálního světa jsou ze své podstaty první a poslední linií obrany. To z nich činí cíle i slepá místa. Rozvíjející se taktika APT skupin v kombinaci s množstvím architektur edge services představuje ohromnou výzvu. Řešení pro platformy jako jsou MIPS nebo ARM jsou stále v počátcích, pokud jde o spolehlivou detekci narušení. Pro prostředí hrozeb, které je neustálou hrou kočky s myší, je toto oblast, kde jsou myši neustále nepolapitelné.
S tím, jak se stále posouváme v digitálním věku, kdy v našich životech neustále rozšiřujeme počet připojených zařízení a služeb, není kybernetické bojiště vždy tam, kde bychom ho očekávali. Rok 2024 s sebou přináší novou skutečnost – nedostatečně prozkoumané zranitelnosti našich gateways, routerů a VPN jsou pečlivě zkoumány a důmyslně využívány. Abychom ochránili svá digitální zařízení, musíme se přizpůsobit a posílit obranu proti nenápadným ale odhodlaným protivníkům.
Python v excelu vytváří nový potenciální vektor pro útoky
Se zavedením obranných opatření společnosti Microsoft, která blokují internetová makra v aplikaci Excel, došlo k očekávanému poklesu používání maker ze strany útočníků. Místo toho zkoumají alternativní vektory pro své nejnovější útoky, včetně méně známých nebo málo využívaných, jako jsou dokumenty OneNote. S nedávným vytvořením a uvedením Pythonu v aplikaci Excel se očekává, že by právě toto by mohlo být novým cílem kyberzločinců.
Vzhledem k tomu, že jsou funkce jazyka Python v aplikaci Excel stále zkoumána, je zaručeno, že bude tato nová technologie využita jako součást kybernetických útoků. Kód Pythonu je spuštěn na platformě Azure, může tedy přistupovat k místním souborům pomocí funkce Power Query. Společnost Microsoft při vytváření pamatovala na bezpečnost a tvrdí, že neexistuje žádná možná souvislost mezi kódem Pythonu a makry jazyka Visual Basic for Applications (VBA). Navíc poskytuje velmi omezený přístup k místnímu počítači a internetu, přičemž využívá pouze podmnožinu distribuce Anaconda pro Python.
Stále ale existuje možnost, že by to mohlo být zneužito prostřednictvím zranitelnosti nebo chybné konfigurace, na kterou by útočník přišel. Omezení Microsoftu zužují herní pole, avšak tato funkce je stále novým hřištěm pro útočníky.
LOL drivers mění pravidla hry
Mnoho bezpečnostních incidentů z poslední doby ukázalo, že zranitelné ovladače představují významnou hrozbu. Podepsané zranitelné ovladače přitahují pozornost, protože mohou být využity ke skryté persistenci a k vyřazení bezpečnostních řešení již v prvních fázích útoku. Při takových útocích útočníci dostanou na zařízení obětí legitimní ovladače podepsané platným certifikátem a schopné běžet s právy kernelu. Úspěšné zneužití umožňuje útočníkům navýšit oprávnění na úroveň jádra, což jim poskytuje nejvyšší úroveň přístupu a kontroly nad systémovými prostředky cíle.
Projekt ZeroMemoryEx Blackout, nástroj Terminator od společnosti Spyboy a nástroj Aukill jsou příklady zranitelných technik ovladačů pro obcházení bezpečnostních kontrol a spouštění škodlivých kódů, které se nedávno dostaly na titulní stránky novin. Existují funkce a iniciativy na ochranu před tímto útokem, například Vulnerable Driver Blocklist společnosti Microsoft a projekt LOL Drivers. Nevylučuje to ale snadnost a jednoduchost provedení útoku s rostoucí pravděpodobností napadení a dostupností zranitelných ovladačů. Tím pádem se v roce 2024 očekává více takovýchto zranitelných útoků, které budou mít široký dopad.
Zdroj: https://www.trellix.com/about/newsroom/stories/research/trellix-2024-threat-predictions/
Kontaktujte marketing[@]comguard.cz pro bližší informace. Rádi Vám pomůžeme.