Obecny okres sprzyja pracy zdalnej oraz owocuje w większą niż zazwyczaj ilość wolnego czasu po pracy, ze względu na przymusowe zamknięcie niemal wszystkich placówek rozrywkowych i sklepów innych niż spożywcze.

Zapraszam w takim razie na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym odcinku zajmiemy się kwestiami bezpieczeństwa chmury i danych w niej przechowywanych. 

Poprzednie części można znaleźć tutaj, tutaj i tutaj.

W ostatniej dekadzie chmura stała się bardzo popularną platformą do przechowywania i przetwarzania dużych ilości danych. Niestety, wraz z rozwojem tej technologii firmy odkryły, że przekazanie wszystkich ich najcenniejszych informacji do zwirtualizowanego magazynu danych może doprowadzić lub już doprowadziło do nieumyślnego, często niekontrolowanego naruszenia tych danych, na gigantyczną i niespotykaną wcześniej skalę.

Misją firmy Sophos od zawsze była ochrona użytkowników przed atakami intruzów nastawionych miedzy innymi na zyski finansowe lub szpiegostwo. Ochrona danych przechowywanych w chmurze wymaga jednak zupełnie innego zestawu narzędzi, ponieważ model zagrożenia różni się znacznie od zagrożeń, które mogą dotknąć  stacje robocze lub serwery.
To, co sprawia, że chmura jest świetną platformą do obliczeń i operacji biznesowych, stwarza również pole do potencjalnych naruszeń bezpieczeństwa. Tempo zmian zachodzących w platformach przetwarzania w chmurze jest coraz szybsze, przez co zapanowanie nad wszystkimi ustawieniami i poprawną konfiguracją takiej chmury staje się coraz trudniejsze.

Największym problemem jest chmura sama w sobie

Elastyczność to kluczowa zaleta w chmurowym przetwarzaniu danych. Przy bardzo małym wysiłku, właściwie przy pomocy kilku kliknięć można włączać i wyłączać zasoby – w zależności od aktualnego obciążenia i potrzeb. Ułatwia to firmom zwiększenie mocy obliczeniowej w celu dostosowania do potrzeb klientów.
Jeśli chodzi o zabezpieczanie chmury, cała ta elastyczność i łatwość, z jaką administrator centrum danych może udostępnić lub zmienić konfigurację całej infrastruktury, może obrócić się później przeciw niemu – jeden fałszywy krok może doprowadzić do przypadkowego otwarcia przez administratora całej bazy danych klientów na świat.

Ponadto, tempo zmian zachodzących w platformach przetwarzania w chmurze może samoistnie przyczyniać się do problemów, których administratorzy mogą nawet nie być świadomi. Gotowe narzędzia do zdalnego zarządzania i administracji, czasem nawet te dostarczane przez samych operatorów chmury, mogą zawierać luki w zabezpieczeniach, które mogą skutkować wyciekiem danych.

Pamiętajmy też o sytuacjach związanych pośrednio z bezpieczeństwem chmury, ale powiązanych dość ściśle z bezpieczeństwem na stacjach końcowych, szczególnie tych z uprawnieniami administracyjnymi. Jeśli komputer administratora zostanie zainfekowany złośliwym oprogramowaniem kradnącym dane uwierzytelniające, jest możliwe, że poświadczenia administracyjne lub dane uwierzytelniające do konta w chmurze zostaną skradzione i wykorzystane do przeprowadzenia kolejnych ataków – tym razem przy użyciu  chmurowego konta  administracyjnego.

Przyczyną większości naruszeń bezpieczeństwa jest zła konfiguracja

Naukowcy Sophos Labs uważają, że przyczyną znaczącej większości naruszeń bezpieczeństwa i wycieków danych z chmury jest jej zła konfiguracja. Najczęściej błędy w konfiguracji nie wynikają ze złej woli administratora. Platformy chmurowe są skomplikowane same w sobie i bardzo często trudno jest zrozumieć i wyobrazić sobie negatywne konsekwencje wprowadzenia konkretnego ustawienia, na przykład w bardzo popularnej usłudze Amazon Simple Storage Service (S3). Dodatkowo, bardzo często jedno ustawienie wpływa na cały szereg innych kontenerów danych i administrator może nie mieć świadomości, że jedna opcja zmieniona w konkretnym kontenerze danych może spowodować upublicznienie danych na innych kontenerach – również przez niego zarządzanych.

Duże wycieki danych, spowodowane złą konfiguracją chmury stają się coraz częstsze i niestety – będą coraz częstsze. Naruszenia integralności danych dotykają firmy z różnych sektorów gospodarki, od Netflixa po firmę Ford. W obu tych przypadkach naruszenie danych polegało na udostępnieniu dużej ilości wewnętrznych danych firmy, zwanych jeziorami danych, na zewnątrz, przez co dostęp do tych danych miała dowolna osoba spoza organizacji. Pod koniec 2019 roku badacze bezpieczeństwa odkryli znajdujące się na serwerach Amazona duże ilości danych, należące do dostawcy rozwiązań do archiwizacji. Dane te należały do klientów tej firmy i w założeniu nie powinny ujrzeć światła dziennego. Stało się jednak zupełnie inaczej – kompletne kopie zapasowe kont utworzonych w usłudze One Drive były widoczne w sieci. Konta, do których dostęp mógł mieć każdy, zawierały poufne dane firmowe, wrażliwe dane z działów HR oraz inne dokumenty dotyczące pracowników. Na domiar złego, znajdowały się one na serwerach Amazona od 2014 roku. Do dnia dzisiejszego nie udało się ustalić, czy dostęp do tych danych miał ktoś poza osobami rzeczywiście do tego upoważnionymi.

Mając wgląd i świadomość konsekwencji pozornie nieszkodliwych zmian w konfiguracji usługi chmurowej, a także mając możliwość monitorowania samej chmury pod kątem złośliwych lub podejrzanych działań lepiej zabezpieczamy się przed utratą, czy narażeniem na wypłynięcie wrażliwych danych do informacji publicznej.

Brak widoczności wykonywanych działań dodatkowo zaciemnia obraz sytuacji

Niestety, wielu użytkowników platform przetwarzania danych w chmurze nie ma możliwości dokładnego monitorowania tego, co robią ich maszyny w serwerowni znajdującej się nawet kilkaset kilometrów dalej. Przestępcy bardzo dobrze o tym wiedzą i właśnie z tego powodu atakują platformy chmurowe – mogą działać w instancjach chmurowych przez dłuższy czas, zanim właściciele tych instancji zorientują się, że coś w ogóle jest nie tak.

Jednym z najbardziej jaskrawych przykładów zagrożenia opisanego powyżej jest użycie Magecart, złośliwego kodu JavaScript, którego napastnicy używali w ciągu ostatniego roku bardzo intensywnie do infekowania stron przenoszących użytkowników do koszyków sprzedawców internetowych za pomocą kodu uwierzytelniającego lub karty płatniczej. Mechanizm ataku wyglądał zazwyczaj następująco:  osoby rozprzestrzeniające kod Magecart wykorzystywały błędne konfiguracje w instancjach przetwarzania w chmurze w celu zmodyfikowania kodu JavaScript odpowiadającego za obsługę koszyka na zakupy, a następnie przesyłali ten zmodyfikowany kod z powrotem do instancji przetwarzania w chmurze. W ten sposób atak był uwierzytelniony, ponieważ wszystko zdawało się pochodzić od zaufanego właściciela sklepu internetowego.

Atak z użyciem kodu Magecart dotyczył bardzo wielu znanych firm, między innymi Ticketmaster, Pacific Airways, czy British Airways. Co istotne, firmy zorientowały się, że złośliwy kod znajduje się na stronach płatności za ich usługi dopiero w momencie, gdy zaczęli zgłaszać się do nich klienci, którzy użyli swoich kart kredytowych i danych bankowych i zaobserwowali nieautoryzowane transakcje.

Hipotetyczny przykład naruszenia bezpieczeństwa danych w chmurze

Bezpieczeństwo instancji w chmurze może zostać naruszone na wiele sposobów i z wielu różnych powodów.

Niektórzy przestępcy próbują rozprzestrzeniać złośliwe koparki kryptowalut na duże platformy chmurowe, pomimo malejącego zwrotu z inwestycji, jakie zapewniają takie programy –  zasoby wymagane do kryptomingu nie należą do przestępcy:

W naszym hipotetycznym scenariuszu duża firma zatrudniająca kilkunastu programistów używa popularnej platformy zarządzania kodem źródłowym do przechowywania oprogramowania. Firma tworzy tylko jedno hasło do konta zarządzania całym kodem i udostępnia je wszystkim programistom.

Jeden z programistów używa komputera w domu, aby mógł pracować nad projektem biznesowym, ale nie zdaje sobie sprawy, że jego dziecko próbowało pobrać na ten sam komputer bezpłatną grę. Gra zawierała złośliwe oprogramowanie, a komputer jest od teraz zainfekowany oprogramowaniem kradnącym dane uwierzytelniające. Złośliwe oprogramowanie regularnie zbiera wszelkiego typu dane, wpisywane z klawiatury komputera, wysyłając je z do serwera przestępcy. Ten, obsługując i sprawdzając regularnie informacje od bota rozpoznaje w pewnym momencie dane do platformy zarządzania kodem źródłowym, a następnie loguje się jako administrator tego rozwiązania.

Korzystając z uprawnień administracyjnych i wykorzystując wykradzione dane uwierzytelniające, cyberprzestępca atakuje i infekuje kolejne komputery w sieci lokalnej, a wykorzystując otwarte API chmury – wysyła i instaluje oprogramowanie do kopania kryptowalut na komputerach współpracowników i obciąża bardzo mocno ich komputery, robiąc to przez kilka, maksymalnie kilkanaście dni.

Aby dopełnić obrazu nieszczęścia, pracownicy odkrywają problem pod koniec miesiąca, w momencie gdy platforma przetwarzania w chmurze informuje, że korzystają ze znacznie większej ilości zasobów niż dotychczas i muszą zapłacić za chmurę znacznie więcej niż do tej pory. Przestępca, orientując, się, że komputery są już spalone, inwestuje zarobione do tej pory pieniądze w zakup infrastruktury, bardziej wydajne kopanie i poszukiwanie nowych ofiar. W ten sposób cykl się zamyka i trwa nieprzerwanie.

Bezpieczeństwo chmury, operacji w niej wykonywanych i danych w niej umieszczonych staje się coraz ważniejsze – należy dbać o prawidłową konfigurację ustawień rozwiązań chmurowych tak samo, jak o bezpieczeństwo stacji roboczych na końcu sieci. Jak widać, nie zawsze domyślne ustawienia dostawcy chmury zapewniają wystarczające bezpieczeństwo, a chmura będzie coraz popularniejszym sposobem na przechowywanie danych, szczególnie teraz, w dobie pracy zdalnej.

Wychodząc naprzeciw oczekiwaniom użytkowników chmurowych SOPHOS ma w ofercie nowy produkt – Sophos Cloud Optics – narzędzie umożliwiające skanowanie ruchu wewnątrz chmury, stosowanie wybranych schematów administracyjnych i reagowanie na zagrożenia pojawiające się w chmurze. Po więcej szczegółów zapraszamy pod adresem: https://sophos.com.pl lub na naszą stronę internetową https://suncapital.pl

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

Producent oprogramowania Kerio, firma GFI Software postanowiła wesprzeć sektor małych i średnich przedsiębiorstw udostępniając za darmo na okres 90 dni swoje rozwiązanie firewall i VPN, czyli Kerio Control.

Nie ma szybszego sposobu na umożliwienie pracownikom wykonywania ich obowiązków zdalnie niż ustanowienie połączenia VPN, dzięki któremu mają oni dostęp do zasobów firmowych. Wie o tym producent oprogramowania, GFI Software, który zdecydował się wesprzeć małe i średnie biznesy w czasie pandemii koronawirusa poprzez darmowe udostępnienie użytkownikom zapory sieciowej umożliwiającej nawiązywanie połączeń VPN, czyli Kerio Control. 

Rozwiązanie w swojej podstawowej funkcjonalności udostępniane jest przez 90 dni, natomiast dodatkowe moduły takie jak Kerio Web Filter oraz Kerio Anti-Virus będą dostępne przez 30 dni.

Po upływie 30 dni, użytkownicy, którzy będą chcieli nadal korzystać z modułów Web Filter i Anti-Virus będą mogli wykupić pełną licencję Kerio Control ze 20% zniżką jeśli zakup zostanie zrealizowany do 30 czerwca 2020 roku. Promocja nie obejmuje sprzętu Kerio Control.

Ponadto we wtorek 7 kwietnia 2020 roku o godz. 11:00 producent zaprasza na webinarium pt. „Zapewnij swoim pracownikom zdalnym łączność i ochronę”. Zachęcamy do REJESTRACJI.

Wychodząc naprzeciw oczekiwaniom użytkowników, na czas trwania pandemii nowego koronawirusa, producent SOPHOS postanowił bezpłatnie udostępnić program Sophos Home Premium WSZYSTKIM swoim klientom, niezależnie od wielkości i niezależnie od tego, jakiego produktu tej marki używają.

W związku z trwającą pandemią wiele przedsiębiorstw zostało zmuszonych realizować scenariusze pracy z domu i pracy zdalnej, podczas której pracownicy używają własnych komputerów domowych do realizowania zadań powierzonych przez pracodawców niejednokrotnie związanych z przetwarzaniem danych wrażliwych. Z tego właśnie powodu SOPHOS zdecydował się udostępnić swoim klientom program Sophos Home Premium, którego funkcjonalności można sprawdzić tutaj.

W celu uzyskania dostępu do programu, prosimy o kontakt z Sun Capital.

Wraz z producentem SOPHOS zapraszamy na dwa webinaria w języku polskim, które dotyczyć będą zabezpieczenia firmowych infrastruktur IT w obecnej, trudnej sytuacji związanej z epidemią koronawirusa.

Pierwsze webinarium, które odbędzie się w czwartek 26 marca 2020 r. o godz. 10:00, skupi się na temacie ochrony przed mailami phishingowymi związanymi z koronawirusem (np. takimi jak ten) i atakami typu zero-day. Dowiesz się:

• Jak zapobiegać atakom phishingowym poprzez edukację użytkowników?
• Jak działają oszustwa typu phishing i co może stać się z danymi w najgorszym przypadku?
• W jaki inny sposób cyberzagrożenia mogą dostać się do systemu oraz metody zapobiegania utracie danych dzięki ochronie urządzeń końcowych nowej generacji SOPHOS;
• Jak zapewnić „zdrowe cyberbezpieczeństwo” organizacji dzięki zsynchronizowanym rozwiązaniom, które wymieniają informacje między sobą w czasie rzeczywistym?

REJESTRACJA 26.03.2020 r.

Drugie webinarium odbędzie się w poniedziałek 30 marca 2020 r. o godz. 10:00 i odpowie na bardzo ważne w zaistniałej sytuacji pytanie: jak zapewnić pracownikom zdalnym bezpieczną pracę w domu, jednocześnie chroniąc firmowe dane i zachowując zgodność z regulacjami RODO? Podczas tej sesji eksperci SOPHOS przedstawią najlepsze praktyki w zakresie bezpiecznej pracy zdalnej, w tym porady dla zespołów IT. 

REJESTRACJA 30.03.2020 r.

Zachęcamy do udziału!

W związku z trwającą epidemią wirusa COVID-19 producent serwera pocztowego IceWarp postanowił wspomóc swoich klientów i nieodpłatnie na okres 3 miesięcy (do 18 czerwca br.) udostępnić wszystkim użytkownikom funkcjonalności takie jak połączenia wideo oraz narzędzia do pracy grupowej szczególnie potrzebne w okresie, gdy większość firm przełączona została na tryb pracy zdalnej.

DARMOWE wideokonferencje dla wszystkich

Aby użytkownicy IceWarp mogli zostać w domu i bezpiecznie pracować, producent zdecydował się na udostępnienie za darmowo wersji beta połączeń wideo, które zostaną wkrótce oficjalnie upublicznione wraz z najnowszą wersją serwera. Uwaga! Do wideokonferencji możesz zaprosić osoby nie posiadające licencji lub kont IceWarp za pośrednictwem kilku kliknięć na stronie: https://www.icewarptech.pl/conferencing

Priorytetowe wsparcie techniczne ZA DARMO

Uruchomiono również system zgłaszania nagłych przypadków przez formularz kontaktowy na stronie producenta: https://www.icewarptech.pl/support/limited-emergency-support/

Uwaga! Producent prosi o nienadużywanie tej formy zgłaszania problemów technicznych, formularz przeznaczony jest do zgłaszania nagłych przypadków lub awarii o charakterze krytycznym.

Moduły do pracy grupowej ZA DARMO

Dodatkowo producent udostępnił wszystkim klientom posiadającym licencje on-premise (nawet te z wygasłym wsparciem) moduły takie jak: wiadomości błyskawiczne, TeamChat oraz WebDocuments. Użytkownikom IceWarp Cloud Lite automatycznie zostanie włączony TeamChat. Klienci on-premise będą musieli dokonać ponownej aktywacji swoich licencji w celu uruchomienia dodatkowych modułów.

Informacje techniczne związane z aktywowaniem modułów znajdziesz tutaj:https://support.icewarp.com/hc/en-us/articles/360006805277-Bring-your-team-online-technical-how-to

Wszystkie powyższe udogodnienia zostają wprowadzone do 18 czerwca 2020 r.

Jeśli masz jakieś pytania związane z wprowadzonymi zmianami, prosimy o kontakt z Sun Capital.

Już w najbliższy czwartek 12 marca 2020 r. o godzinie 10:00 wraz z producentem SOPHOS zapraszamy na webinarium w języku polskim, podczas którego Inżynier Sophos, Damian Przygodzki, przedstawi nowe funkcjonalności rozwiązania do ochrony sieci XG Firewall w najświeższej odsłonie, czyli w wersji 18. Więcej szczegółów znajdziesz poniżej.

Weź udział w nadchodzącym webinarium, aby dowiedzieć się w jaki sposób Sophos XG Firewall v18 pomaga organizacjom w walce z takimi wyzwaniami, jak:

• widoczność ruchu sieciowego – problemy wynikające z szyfrowania ruchu i błędów detekcji aplikacji bazujących na sygnaturach;
• ataki ransomware – nieustannie ewoluujące zagrożenia i metody cyberataków 
• zarządzanie ruchem i aplikacjami w sieciach rozproszonych;
• przepustowość jako kluczowy parametr przy korzystaniu z krytycznych aplikacji komunikacyjnych i SaaS.

Zachęcamy do REJESTRACJI (link)  na webinarium 12 marca 2020 r. o godz. 10:00.

Producent oprogramowania zabezpieczającego, firma Sophos, poinformowała, iż w związku z opublikowanymi przez Microsoft w lutym i marcu aktualizacjami bezpieczeństwa dla systemów Windows, mogą wystąpić problemy z uruchomieniem konsoli zarządzającej Sophos Enterprise Console. Problem ten dotyczy wyłącznie aplikacji do zarządzania – oprogramowanie na stacjach końcowych oraz dostarczane do nich aktualizacje pomimo zaobserwowanego błędu, będą działać poprawnie. Błędy mogą pojawić się także u osób korzystających z nowych wersji SEC – 5.5.1 i 5.5.2. Producent zaleca aktualizację Enterprise Console do najnowszej wersji 5.5.2 wydanej 5 marca 2020r. lub instalację specjalnie przygotowanej na tę okazję łatki. Dodatkowe informacje na ten temat mogą Państwo znaleźć w artykule bazy wiedzy producenta.

Producent oprogramowania SOPHOS poinformował, że InterceptX został wyposażony w interfejs skanowania antymalware (AMSI) udostępniany przez Microsoft dla twórców aplikacji. 

Windows Antimalware Scan Interface (AMSI) to wszechstronny standard interfejsu, który umożliwia integrację aplikacji i usług z dowolnym produktem antymalware obecnym na komputerze. AMSI zapewnia lepszą ochronę przed złośliwym oprogramowaniem dla użytkowników końcowych oraz ich danych. Interfejs ten jest obsługiwany przez Microsoft w systemach Windows 10 oraz w systemach Windows Server 2016 i nowszych.

AMSI obsługuje strukturę wywoływania pozwalającą na skanowanie plików i pamięci oraz skanowanie strumieniowe, sprawdzanie reputacji źródła adresu URL / adresu IP. Dodatkowo interfejs ten wykorzystuje pojęcie sesji, dzięki czemu można korelować różne żądania skanowania. Dla przykładu: różne fragmenty złośliwego kodu mogą być powiązane ze sobą w celu podjęcia bardziej wnikliwej analizy, którą znacznie trudniej byłoby przeprowadzić, patrząc na te fragmenty osobno.

Komponenty Windows, które integrują się z AMSI:

– Kontrola Konta użytkownika (UAC) – reakcja na podwyższenie przywilejów na plikach EXE, COM, MSI, instalacja komponentów ActiveX;
– PowerShell – skrypty, wykonanie interaktywne, dynamiczna ewaluacja kodu;
– Host Skryptów Windows – wscript.exe i cscript.exe;
– JavaScript oraz VBScript;
– Makra Office VBA.

Interfejs AMSI i jego funkcjonalności jest dostępny dla produktów: Intercept X Advanced, Intercept X Advanced with EDR oraz Central Endpoint Protection. Funkcjonalność ta jest również planowana dla produktu Intercept X for Server w drugim kwartale bieżącego roku.

Producent urządzeń RED 50, firma SOPHOS, udostępniła ważną aktualizację oprogramowania, która naprawia błąd, który mógł uniemożliwiać uruchomienie urządzeń lub mógł sprawiać, że urządzenia te przestawały działać. 

Wszystkie urządzenia RED 50 są podatne na powyższy błąd, w związku z czym producent zaleca niezwłoczną aktualizację oprogramowania urządzenia.

Procedura dla użytkowników UTM SG: wyszukaj i zainstaluj aktualizację oprogramowania o nazwie UTM 9.7 Maintenance Release 2 (9.702). Aktualizacja ta zawiera w sobie poprawki oprogramowania dla urządzeń RED 50. Po instalacji aktualizacji konieczne będzie ponowne uruchomienie urządzenia.

Procedura dla użytkowników XG:

Uaktualnienie dla urządzeń RED znajduje się w aktualizacji sygnatur o numerze 2.0.019. Instalacja sygnatur spowoduje ponowne uruchomienie wszystkich podłączonych do XG urządzeń RED.

 

Dodatkowe informacje o aktualizacji dostępne są w Bazie Wiedzy pod adresem: https://community.sophos.com/kb/en-us/135240

W przypadku jakichkolwiek pytań lub problemów zachęcamy do kontaktu pod adresem https://pomoc.suncapital.pl

 

Wraz z producentem oprogramowania i sprzętu z zakresu bezpieczeństwa i komunikacji IT, firmą GFI Software, zachęcamy do udziału w kolejnym z cyklu webinarium dotyczącym archiwizacji poczty elektronicznej, podczas którego dowiesz się jak skutecznie wybrać rozwiązanie służące do archiwizacji wiadomości e-mail.

Na przykładzie rozwiązania GFI Archiver dowiesz się:

• Jak zaimportować pliki z innych narzędzi?
• Jak ograniczyć korzystanie z plików PST?
• Jak jest realizowane połączenie z serwerami pocztowymi i wiele więcej.

Webinarium w języku angielskim odbędzie się w środę 18 marca 2020 r. o godz. 11:00. REJESTRACJA

Serdecznie zapraszamy!

Zapraszam na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym odcinku zajmiemy się usługami wypuszczanymi na zewnątrz sieci, dziurawym protokołem RDP oraz powracającym jak bumerang zagadnieniem Wannacry.

Poprzednie części możńa znależć tutaj i tutaj.

W ciągu 30 lat, które upłynęły od komercjalizacji Internetu, poziom „hałasu”, który wylewa się na brzegach naszych sieci stale rośnie, zarówno pod względem objętości, jak i zaciekłości. Łagodnym skanom portów towarzyszą sondy sieciowe, które są coraz częściej powiązane z wrogim ruchem generowanym przez robaki.
Całe to „internetowe promieniowanie tła”, analogiczne do kosmicznego promieniowania tła, odpowiada za rosnącą liczbę naruszeń bezpieczeństwa wpływając na szeroki zakres usług i urządzeń internetowych.

Protokół RDP na celowniku

Negatywne wykorzystywanie protokołu Remote Desktop Protocol (RDP) – zarówno jego usługi hostowanej, jak i aplikacji klienckiej, wzrosło znacząco w 2019 r. w następstwie głośnych ataków na protokół RDP ze strony podmiotów atakujących wykorzystujących kampanie ransomware takie jak SamSam.  Wielu atakujących próbuje ponadto użyć usług RDP wykorzystując ataki typu brute force, używając list typowych haseł dostępnych w sieci.

Podstawowe ataki to tylko część problemu. Sophos zaobserwował, że niektórzy napastnicy starannie wybierają swoje cele, przeprowadzają rozpoznanie przeciwko określonym pracownikom i atakują tych pracowników atakami typu spear phishing, aby uzyskać przydatne poświadczenia, które mogą następnie wykorzystać, aby włamać się do organizacji docelowych.

W sytuacji gdy atakujący uzyskają dostęp do pojedynczego komputera, mogą użyć narzędzi takich jak Mimikatz, w celu wykrycia poświadczeń o podwyższonych uprawnieniach przekazywanych przez sieć. Posiadając poświadczenia użytkownika posiadającego uprawnienia administratora domeny zauważyć można, że osoby atakujące wykorzystują te dane do rozprzestrzeniania złośliwego oprogramowania w dużych częściach sieci internetowej, korzystając z narzędzi do zarządzania oprogramowaniem, które są nieodłączną częścią serwerów kontrolera domeny w dużych sieciach.
Ataki przy użyciu tej metodologii były rdzeniem jednych z największych i najbardziej bolesnych incydentów związanych z oprogramowaniem ransomware, które były badane w ubiegłym roku, dlatego rady dla administratorów sieci, którzy zarządzają sieciami korporacyjnymi aby unikać udostępniania połączeń RDP na punktach końcowych sieci nadal pozostają aktualne.

Usługi wystawione „na świat” zagrożone zautomatyzowanymi atakami

RDP nie jest jedyną usługą, której poszukują napastnicy. Coraz częściej przychodzi nam stawiać czoła zautomatyzowanym atakom skierowanym we wszelkiego typu usługi dostępne publicznie. W ubiegłym roku zaobserwować można było  szeroki zakres usług internetowych, które stają się coraz bardziej zagrożone, w sytuacji gdy atakujący próbują wykorzystać luki w zabezpieczeniach i w konsekwencji próbują brutalnie włamać się do serwerów baz danych, routerów domowych i modemów  kablowych, czy do sieci spiętych z urządzeniami pamięci masowej (NAS), atakom nie oparły się również systemy VoIP i cały szereg innych urządzeń „Internetu rzeczy”.
Jeden z najczęstszych ataków, jaki obecnie obserwujemy, pochodzi z sieci, które w przeszłości były hostami dla botnetów takich jak Mirai. Ataki te zwiększają się zarówno pod względem wielkości, jak i pod względem wyrafinowania, ponieważ atakujący stale dokonują drobnych udoskonaleń samych skryptów, które atakują serwery baz danych.
Szczególnie narażone są maszyny hostujące starsze wersje oprogramowania Microsoft SQL Server w domyślnej konfiguracji – znajdują się one niemal pod ciągłym atakiem. Sam mechanizm polega na użyciu złożonego, przeplatanego zestawu poleceń bazy danych, które po pomyślnym zakończeniu powodują, że serwer bazy danych zaraża się całą gamą różnych rodzajów złośliwego oprogramowania.

Dlaczego Wannacry może nigdy nie zniknąć, a Ciebie powinno to obchodzić?

Wannacry pojawił się w sieci 12 maja 2017 r. zalewając Internet i infekując komputery firm, szpitali i uniwersytetów w ataku, którego szybkość i skala  była do tej pory niespotykana. Ransomware, o którego powstanie różne źródła (w tym rządowe agencje wywiadowcze), oskarżają rząd Korei Północnej siało spustoszenie, dopóki kilku badaczy bezpieczeństwa nie odkryło pięty achillesowej w złośliwym oprogramowaniu: tak zwany kill switch (mechanizm lub czynnik przerywający działanie programu) został przypadkowo uruchomiony, gdy jeden z badaczy, Marcus Hutchins, zarejestrował nazwę domeny internetowej, która funkcjonowała w pliku binarnym Wannacry.

Postępy  w zarażaniu Wannacry skokowo zatrzymały się, sam atak zachęcił administratorów systemów operacyjnych na całym świecie do zainstalowania poprawki bezpieczeństwa wydanej przez Microsoft, (która notabene została opublikowana kilka miesięcy wcześniej). Jak na ironię, wielu administratorów celowo powstrzymało się od instalowania aktualizacji systemu Windows z powodu obawy o zakłócenia do których rzekomo miała ta aktualizacja doprowadzić. Ta wymuszona i niczym nie poparta ostrożność pozwoliła na zainfekowanie niezabezpieczonych systemów, a w konsekwencji na dalsze rozprzestrzenianie się infekcji. Ale to nie koniec.

Kill switch wcale nie zakończył żywota Wanncry. Wręcz przeciwnie. W rzeczywistości, w ciągu zaledwie kilku dni od pierwszego ataku, nieznane osoby dokonały przypadkowych modyfikacji oryginalnej wersji Wannacry które skutecznie ominęły wrażliwą domenę. Ale to nie wszystko. Zmodyfikowane pliki binarne Wannacry zawierały błąd: skrypt, który powodował największe szkody w pierwszej kolejności – sam został uszkodzony. Oprogramowanie nie mogło już szyfrować wszystkich plików. Ale nadal mogło przenosić się na komputery, które nie zostały jeszcze załatane.

Wannacry jest w obiegu do dziś. Badacze SophosLabs raportują, że codziennie otrzymują ogromną liczbę zgłoszeń o próbach infekcji. Na dzień dzisiejszy laboratoria bezpieczeństwa otrzymują więcej alertów o Wannacry niż miało to miało to miejsce w przypadku jakiejkolwiek wcześniejszej rodziny szkodliwego oprogramowania.

Ciągłe raportowanie wykryć Wannacry zwraca uwagę na fakt, że miliony maszyn pozostają nieodporne na błąd, który został załatany ponad dwa lata temu. W tym czasie pojawiło się mnóstwo o wiele bardziej niebezpiecznych ataków. Jeśli maszyny zainfekowane Wannacry nadal są niewyleczone, są również podatne na te nowsze ataki a tym samym stanowią jeszcze większe zagrożenie.
Popularność i szybkość rozprzestrzeniania się Wannacry jest przestrogą i przypomnieniem tego, że aktualizowanie każdego punktu końcowego i komputera w sieci tak szybko, jak to możliwe, jest kluczowe, aby maszyny nie padły ofiarą epidemii ransomware.

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

 

Producent oprogramowania i sprzętu z zakresu ochrony infrastruktury IT, firma Sophos, zaprezentował niedawno nową wersję zapory sieciowej z serii XG, czyli XG Firewall Xstream. Poniżej zamieszczamy komunikat prasowy wydany w związku z tą premierą.

Badania przeprowadzone przez SophosLabs wskazują, że nawet 23% złośliwego oprogramowania wykorzystuje protokół TLS (Transport Layer Security) do szyfrowania komunikacji przesyłanej do centrów zarządzania Command&Control. Szyfrowanie stosuje także 44% przestępców kradnących dane, którzy ukrywają w ten sposób swoją działalność. Aby umożliwić firmom eliminowanie ryzyka ataków i deszyfrowanie ruchu sieciowego, Sophos wprowadził nową architekturę Xstream do zapór z rodziny XG Firewall. Zapewnia ona m.in. większą wydajność aplikacji oraz rozszerzoną analizę zagrożeń bazującą na sztucznej inteligencji.

Cyberprzestępcy wykorzystują protokół TLS m.in. do ukrywania swoich działań. Zwiększone ryzyko ataku wykorzystującego zaszyfrowany ruch sieciowy często jest jednak pomijane przez zespoły ds. bezpieczeństwa. Aż 82% administratorów uważa, że kontrola protokołu TLS jest konieczna, jednak tylko 3,5% firm odszyfrowuje ruch sieciowy w celu jego prawidłowego sprawdzenia. Powodem jest m.in. spowolnienie działania sieci i aplikacji.

– Jak pokazują badania SophosLabs, cyberprzestępcy stosują szyfrowanie, aby ominąć używane przez firmy rozwiązania ochronne i uniknąć wykrycia. Niestety, większość firewalli nie ma skalowalnych funkcji obsługujących szyfrowanie w wykorzystaniem protokołu TLS i nie jest w stanie kontrolować tego typu ruchu bez przerwania pracy aplikacji lub pogorszenia wydajności sieci. Dzięki nowej architekturze Xstream oraz pełnej obsłudze najnowszej wersji protokołu TLS 1.3, XG Firewall eliminuje opóźnienia oraz problemy z kompatybilnością. Zapewnia przy tym lepszy wgląd w zaszyfrowany ruch przechodzący przez sieć. Nasze wewnętrzne testy wykazały dwukrotnie większą wydajność nowego silnika TLS XG w porównaniu z poprzednimi wersjami firewalla. Rozwiązanie Xstream jest też kompatybilne z platformą chmurową Sophos Central, dostępną w modelu SaaS. Umożliwia ona zarządzanie polityką bezpieczeństwa, aktualizacjami, reagowaniem na zagrożenia, logami, raportami czy analityką – wskazuje Mariusz Rzepka, Senior Manager Eastern Europe w firmie Sophos.

Nowe funkcje XG Firewall obejmują:

– Kontrolę protokołu TLS 1.3 zwiększającą prawdopodobieństwo wykrywania złośliwego oprogramowania: nowy silnik TLS podwaja wydajność operacji deszyfrowania w porównaniu z poprzednimi wersjami XG Firewall.

– Zoptymalizowaną wydajność krytycznych aplikacji: nowe elementy pakietu FastPath przyspieszają działanie aplikacji SD-WAN i ruchu sieciowego, w tym Voice over IP, SaaS i innych.

– Dopasowane skanowanie ruchu: ulepszony silnik Deep Packet Inspection (DPI) dynamicznie ocenia strumienie ruchu i w odpowiedni sposób dopasowuje poziomy zaawansowania skanowania zagrożeń, zwiększając wydajność tego procesu nawet o 33% w większości środowisk sieciowych.

– Analizę zagrożeń z SophosLabs: administratorzy sieci zyskują dostęp do modułu analizy zagrożeń wspomaganej przez sztuczną inteligencję SophosLabs. Umożliwia to zrozumienie stale zmieniającego się krajobrazu zagrożeń i dopasowanie zabezpieczeń do aktualnych potrzeb.

– Kompleksowe zarządzanie i raportowanie w chmurze w Sophos Central: scentralizowane funkcje platformy Sophos Central zapewniają całościowe zarządzanie zaporami sieciowymi i elastyczne raportowanie w chmurze bez dodatkowych opłat.

– Integrację z usługą Sophos Managed Threat Response (MTR): użytkownicy XG Firewall, którzy korzystają także z usługi Sophos MTR Advanced, będą dysponowali większymi możliwościami zapobiegania, wykrywania i reagowania na zagrożenia.

Sophos XG Firewall jest dostępny w chmurze na platformie Sophos Central, wraz z całą gamą rozwiązań Sophos nowej generacji. Unikalne podejście Synchronized Security umożliwia koordynację wymiany informacji w czasie rzeczywistym pomiędzy różnych rozwiązaniami Sophos, dzięki czemu wzrasta skuteczność i szybkość reagowania na zagrożenia.

Więcej informacji o sposobach wykorzystywania protokołu TLS przez cyberprzestępców w filmie Sophos: https://vimeo.com/392040023

Rozwijanie kultury świadomości dotyczącej bezpieczeństwa informatycznego w firmie, to coraz częściej obierany kierunek we współczesnym biznesie. Osoby zarządzające firmami zaczęły zdawać sobie sprawę, że posiadanie nawet najlepszych i najdroższych rozwiązań zabezpieczających ich organizacje może być niewystarczające, ponieważ od zawsze najsłabszym ogniwem w tym łańcuchu jest i pewnie pozostanie człowiek. Dlatego też w przedsiębiorstwach coraz częściej powoływane są osoby lub zespoły, których zadaniem jest tworzenie mechanizmów uświadamiających, a przez to zmieniających nawyki dotyczące bezpieczeństwa w trakcie wykonywania przez pracowników codziennych obowiązków w miejscu pracy.
Jednym z takich obowiązków lub też czynności, bez których nie wyobrażamy sobie funkcjonowania żadnej organizacji we współczesnym świecie jest obsługa poczty email. W ciągu jednego dnia pracy organizacje odbierają i wysyłają olbrzymie ilości wiadomości email. Jest to proces, który idealnie nadaje się do wykorzystania, w celu dystrybucji złośliwego oprogramowania lub wyłudzenia danych. Według CERT Polska:

„W 2018 r. trzy najczęściej występujące typy incydentów to phishing, dystrybucja złośliwego oprogramowania i spam.”

Jednym ze sposobów na sprawdzenie świadomości pracowników oraz przetestowanie zabezpieczeń wykorzystywanych w organizacji jest Phish Threat. Jego producentem jest firma Sophos – jeden z wiodących dostawców rozwiązań cybersecurity na świecie.

Czym jest Sophos Phish Threat?

Phish Threat jest niczym innym jak symulatorem ataku, który możemy przeprowadzić w kilku bardzo prostych krokach (o czym później), wystarczy tylko wybrać odpowiedni szablon, wysłać go mailem do wybranej grupy osób i sprawdzić raporty, dzięki którym zyskamy wiedzę, którzy pracownicy lub grupy pracowników są podatni na tego typu zagrożenia i w konsekwencji jaka jest świadomość całej organizacji.

Co nam daje Phish Threat?

Phish Threat umożliwia nam wybranie interesującej nas kampanii lub całej jej serii, w zależności od naszych preferencji. Do wyboru posiadamy 4 rodzaje kampanii, których odpowiednio przygotowane szablony są w pełni edytowalne, co pozwala na 100% spersonalizowanie wiadomości aby skutecznie oszukać odbiorcę i sprowokować go do kliknięcia w podejrzany link lub do otwarcia podejrzanego załącznika. Jest to bardzo przydatne ze względu na możliwość dopasowania ataku do wewnętrznych polityk bezpieczeństwa, procedur, czy zaleceń.

Wraz z wyborem symulacji ataku Phish Threat oferuje nam dowolność w spersonalizowaniu zaplanowanego ataku. Między innymi mamy możliwość edycji dostępnych szablonów, a ich ilość i pomysłowość robi wrażenie. Możemy przygotowywać różne kampanie, które swoim zasięgiem obejmą całą firmę lub przygotowanym stricte dla konkretnych odbiorców np. księgowości, działów zakupów, czy obsługi klienta.

Po wyborze kampanii oraz odpowiadającym jej szablonom, mamy możliwość podpięcia szkolenia, które „w nagrodę”, za otwarcie podejrzanego załącznika lub podanie danych do logowania, zafunduje sobie nierozważny odbiorca wiadomości. Phish Threat już na etapie tworzenia mailingu sugeruje, w zależności od rodzaju kampanii, jakie szkolenie byłoby najodpowiedniejsze. Oczywiście mamy możliwość rezygnacji ze szkolenia w ogóle.

Wiedza, to kluczowa sprawa!

Po przygotowaniu i rozesłaniu kampanii przychodzi najciekawszy moment, a mianowicie sprawdzenie wyników. Nie byłoby to możliwe, bez zaawansowanego systemu raportowania, który w Phish Threat, w przejrzysty sposób dostarczy nam wielu ciekawych informacji o poszczególnych użytkownikach jak i całych grupach a w konsekwencji o całej organizacji.

Wyzwanie!

Podsumowując jeśli szukacie wydajnego narzędzia do przetestowania swojej firmy pod względem podatności jej pracowników na wszelkiego rodzaju ataki phishingowe i nie tylko, lub jeśli uważacie, że Wasi pracownicy są odporni na tego typu prowokacje, to zachęcamy Was do przetestowania Sophos Phish Threat. Wystarczy do nas zadzwonić lub napisać.

Zapraszam na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym artykule zajmiemy się urządzeniami mobilnymi i faktem, że są one nieodłącznym elementem naszego życia, a niejednokrotnie bagatelizujemy ich znaczenie i ochronę informacji, które w nich przechowujemy.

Pierwszą część raportu, opisującą ransomware można znaleźć TUTAJ

Brzydkie zagrywki przynoszą efekty

W ubiegłym roku zaobserwowaliśmy zwiększającą się różnorodność ataków mobilnych wykorzystywanych przez przestępców mających na celu atakowanie właścicieli smartfonów. Kieszonkowe komputery, które wielu z nas nosi, zawierają mnóstwo osobistych i poufnych informacji, które ujawniają wiele o naszym codziennym życiu. Wbrew pozorom, napastnicy wcale nie muszą kraść tych informacji, aby czerpać korzyści z ataku. Coraz częściej polegamy na tych urządzeniach, aby zabezpieczyć nasze prywatne konta, wykorzystując uwierzytelnianie dwuskładnikowe poprzez wiadomości SMS lub przy użyciu aplikacji uwierzytelniających na samych telefonach komórkowych. Wiele ataków „SIMjacking”, które miały miejsce w ubiegłym roku, ujawniło, że atakujący biorą sobie na cel słabe ogniwo między klientami a dostawcami telefonów komórkowych, które może być łatwo skompromitowane za pomocą inżynierii społecznej, co  w konsekwencji doprowadziło do kilku głośnych kradzieży zarówno kryptowaluty, jak i środków finansowych od zamożnych osób.

 Złośliwe oprogramowanie pozostaje największym problemem, przede wszystkim (choć nie wyłącznie) na platformach Android i iOS. Aby temu zaradzić, właściciele dużych sklepów z oprogramowaniem, Apple i Google, skanują aplikacje w poszukiwaniu cech wskazujących na to, że mogą one zawierać kod, o którym wiadomo, że jest wykorzystywany w złośliwy sposób. Jeśli skanowanie zarejestruje podejrzane zachowania aplikacji, to jest ona automatycznie oznaczana jako niebezpieczna. Niestety mechanizm ten nie jest idealny – niektórzy twórcy oprogramowania opracowali genialne metody ukrywania prawdziwych intencji swoich aplikacji przed kontrolą Google (lub badaczy bezpieczeństwa).

Pomyślmy, co się stanie, jeśli programista tak napisze swoją aplikację, aby uniknąć kontroli systemów Google i nadal będzie oszukiwać użytkowników, stosując nieuczciwe metody? W połączeniu z bardzo rozdrobnionym ekosystemem Androida, w którym wielu producentów urządzeń rzadko oferuje aktualizacje systemu operacyjnego, urządzenia mobilne pozostają łatwym celem ataków.

Pieniądze z reklam zasilają oszustów

Reklama pomaga twórcom aplikacji utrzymać się na rynku, a jednocześnie zapewnia użytkownikowi w rewanżu przydatne aplikacje. W samych reklamach nie ma nic złego, pod warunkiem, że celem aplikacji nie jest maksymalizacja przychodów z reklam – kosztem praktycznie wszystkiego innego.

Aby osiągnąć wspomniany wyżej cel, programiści aplikacji mobilnych oszukują klientów i systemy naliczania wynagrodzeń za reklamy. Niektórzy twórcy publikują w sklepie aplikacje zawierające w większości pracę innej osoby, a sama aplikacja jest połączona z bibliotekami reklamowymi, które nie są częścią oryginalnej aplikacji właściwego autora. Ponieważ aplikacje tego typu nie zawierają jawnie złośliwego kodu, automatyzacja zastosowana do skanowania aplikacji po ich pierwszym przesłaniu do Sklepu Play zgłasza, że ​​są one łagodne i umożliwia ich dopuszczenie do pobrania przez konsumentów.

Inni programiści tworzą oryginalne aplikacje, które oprócz podanych funkcji, wykorzystują specjalnie opracowane instrukcje, które automatycznie generują „pseudokliknięcia” treści reklamowych, aby przekonać reklamodawców, że użytkownicy aplikacji byli tak niesamowicie zachwyceni reklamami wyświetlanymi w aplikacji, że klikali w nie bez opamiętania. Gdy użytkownik faktycznie kliknie reklamę, sieć reklamowa płaci premię twórcy, którego aplikacja przedstawiła użytkownikowi reklamę. Fałszywe kliknięcia gwarantują, że partner reklamowy otrzyma premię za reklamy za każdym razem, gdy użytkownik fizycznie kliknie w baner z reklamą. Niektóre z tych zwodniczych aplikacji zgłaszają sfałszowany ciąg User-Agent reklamodawcom, dzięki czemu całe zachowanie wygląda tak, jakby sztucznie wygenerowane kliknięcia, z jednej aplikacji na systemie Android na jednym urządzeniu, faktycznie powstały w kilkudziesięciu różnych aplikacjach na różnych urządzeniach.
Oszustwo to odbija się nie tylko na reklamodawcach, ale również i na samych użytkownikach, ponieważ zauważają oni, że aplikacje, które biorą udział w tego typu oszustwach reklamowych, zużywają ogromne ilości danych, nawet gdy telefon jest w trybie uśpienia. W konsekwencji doprowadza to do skrócenia żywotności baterii, generuje wyższe opłaty za wykorzystanie danych mobilnych i obniżoną wydajność urządzenia.

Fleeceware – nowa metoda wyłudzania środków przez aplikacje 

W ubiegłym roku laboratoria Sophos odkryły grupę aplikacji, które wykorzystują nowatorski model biznesowy, który nazwany został fleeceware. Aplikacje tego typu istnieją wyłącznie po to, by klienci tracili bardzo duże pieniądze. Same aplikacje nie spełniają nijak definicji złośliwej aplikacji, ani nie wykazują żadnej złośliwej aktywności, nie są również uważane za potencjalnie niechciane aplikacje, czy też takie, które miałyby cokolwiek uszkodzić. Twórcy aplikacji fleeceware korzystają z modelu biznesowego zakupów w aplikacji dostępnego w ekosystemie Sklepu Play na Androida. Użytkownicy mogą pobierać aplikacje i korzystać z nich bezpłatnie przez krótki okres próbny, ale muszą za to podać informację o wybranej przez siebie formie płatności dla programisty na samym początku okresu próbnego. Jeśli użytkownik nie anuluje okresu próbnego przed jego wygaśnięciem, programista obciąża użytkowników regularnie bardzo wysoką kwotą za użytkowanie aplikacji z funkcjami tak prostymi, jak darmowe filtry fotograficzne czy skanery kodów kreskowych. Wielu użytkowników błędnie  zakłada, że odinstalowanie aplikacji kończy okres próbny, ale programiści są o krok przed nimi – wymagają przejścia procesu anulowania subskrypcji. Jeśli po wygaśnięciu okresu próbnego, użytkownik nie odinstalował aplikacji, ale poinformował programistę, że nie chce dalej z niej korzystać, programista pobiera specjalną opłatę za rezygnację z korzystania z aplikacji. I koło się zamyka.

 Pseudobankowe aplikacje unikają kontroli w Sklepie Play

Aplikacje zaprojektowane w celu kradzieży danych uwierzytelniających nasze konta bankowe od dawna niepokoją użytkowników Androida.
Aplikacje dostępne za pośrednictwem Sklepu Google pojawiły się jako te związane z finansami, jednakże dopiero w drugim etapie ujawniają one swoją prawdziwą naturę. Ponieważ złośliwy kod nie jest obecny w pliku .apk, dopóki użytkownik nie pobierze i nie zainstaluje aplikacji na swoim urządzeniu, usługom skanowania bezpieczeństwa Google bardzo trudno jest wykryć i zapobiec tym zagrożeniom. Twórcy aplikacji do wyłudzania danych bankowych zaczęli również nadużywać różnych uprawnień aplikacji na Androida, takich jak pozwolenie na dostęp (które ma pomóc użytkownikom niepełnosprawnym). Złośliwe aplikacje używają tego uprawnienia, aby przyznać sobie prawa do monitorowania działań użytkownika, takich jak naciśnięcia klawiszy na klawiaturach wirtualnych, gdy użytkownicy logują się do zaufanych aplikacji bankowych.

Ukryte aplikacje adware typu hiddad

Hiddad to rodzina szkodliwego oprogramowania, której głównym celem jest zarabianie poprzez agresywną reklamę. Oprogramowanie to przynosi autorowi zyski tak długo, jak długo pozostaje niewykryte i nieusunięte przez użytkownika. W związku z powyższym takie aplikacje ukrywają się w celu uniknięcia prób odinstalowania.
Złośliwe oprogramowanie  typu hiddad ukrywa ikonę aplikacji w zasobniku aplikacji i programie uruchamiającym (launcherze) co więcej często tworzony jest skrót do aplikacji, który nie umożliwia jej usunięcia. Złośliwe oprogramowanie hiddad może również nadawać sobie nieszkodliwe nazwy i systemowe ikony w ustawieniach telefonu. Złośliwe oprogramowanie tego typu zwykle przyjmuje formę legalnej aplikacji, takiej jak czytnik kodów QR czy aplikacja do edycji obrazów. Autorzy bardzo często udostępniają go w sklepach z aplikacjami, aby szybko zainfekować dużą liczbę urządzeń, a tym samym znacząco zwiększyć przychody reklamodawcy. Niektóre aplikacje tego typu wielokrotnie proszą użytkowników o wysoką ocenę aplikacji  lub instalują dodatkowe aplikacje, aby szybko zwiększyć popularność i liczbę instalacji. Tylko we wrześniu 2019 r. W Sklepie Play odkryto co najmniej 57 aplikacji typu hiddad, których łączna liczba instalacji wynosi około 15 milionów. Laboratoria Sophos odkrywają nowy zestaw takich aplikacji regularnie co kilka tygodni. Wielu z tych aplikacji udało się uzyskać ponad milion pobrań w ciągu kilku tygodni od pojawienia się w Internecie.
Aplikacje typu hiddad będą na pewno jednymi z najchętniej wykorzystywanych przez cyberprzestępców w 2020 roku.

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

Producent oprogramowania MailStore opublikował najnowszą wersję oprogramowania, oznaczoną numerem 12.1 która wnosi kilka zmian:

1) Poprawa wydajności archiwizacji skrzynek pocztowych – producent deklaruje, że dzięki ulepszeniom w sposobie obsługi magazynów archiwów w MailStore Sterver i MailStore SPE, wydajność archiwizacji skrzynek pocztowych zwiększyła się nawet o 20% w porównaniu z wcześniejszymi wersjami.

 2) Zakończenie wsparcia dla Windows Vista, Windows Server 2008 i Windows Server SBS 2008 - po długiej fazie przejściowej, MailStore Server kończy wsparcie dla przestarzałych już systemów operacyjnych firmy Microsoft. Nie będzie już możliwe uruchomienie MailStore Server w systemach Windows Vista, Windows Server 2008 oraz Windows Small Business Server 2008. Klienci korzystający z tych systemów operacyjnych nie będą mogli używać oprogramowania MailStore od wersji 12.1.

We własnym interesie zalecamy użytkownikom zaktualizowanie używanego systemu operacyjnego do wersji objętej aktualizacjami i wsparciem producenta.

3) Oprogramowanie MailStore jest teraz w stanie eksportować zarchiwizowane wiadomości e-mail bez potrzeby odtwarzania oryginalnej struktury folderów archiwum. W niektórych scenariuszach ułatwi to obsługę i przetwarzanie eksportowanych wiadomości e-mail oraz umożliwi to użytkownikom uniknięcie ograniczeń maksymalnej głębokości podfolderów dopuszczalnej w miejscu eksportu.

4) Pomoc podczas procesu konfiguracji oraz opcja eksportu szczegółowych informacji o czynnościach wykonywanych przez użytkowników:

- Podczas procedury konfigurowania archiwizacji wiadomości e-mail dla Microsoft Exchange kreator instalacji zapewnia bezpośredni link do pomocy online dla wszystkich obsługiwanych wersji Exchange i Microsoft Office 365.

- Ważną funkcją zgodności oprogramowania jest dziennik kontroli, w którym zdarzenia na serwerze są rejestrowane w celu późniejszego ewentualnego audytu. Począwszy od wersji 12.1 administrator MailStore może dodatkowo wyeksportować szczegółowe informacje należące do każdego zarejestrowanego zdarzenia zawartego w dzienniku kontroli MailStore, aby dane te można było później szczegółowo przeanalizować.

5) Archiwa należące do użytkowników, którzy opuścili firmę, są teraz wyświetlane osobno na stronie „Uprawnienia” w sekcji „Użytkownicy i archiwa”.  Dzięki temu administratorzy mogą szybko zidentyfikować archiwa, do których użytkownicy nie są już przypisani.

6) Nowe ikony MailStore znacznie lepiej komponują się z obecnym wyglądem Outlooka, tworząc bardziej harmonijny, nowoczesny wygląd:

Szczegółowe informacje o programie oraz wersję próbną można pobrać ze strony: https://mailstore.suncapital.pl

 

źródło: https://www.mailstore.com/en/blog/2020/02/05/mailstore-v12-1-faster-easier-use/

 

SOPHOS ogłosił listę urządzeń, które będą umożliwiały aktualizację oprogramowania XG do wersji 18.

Szczegóły znajdują się na grafice poniżej:

Wszystkie obecne i poprzednie modele z serii XG i SG z co najmniej 4 GB pamięci RAM można zaktualizować do wersji 18, drugim warunkiem koniecznym jest ważna subskrypcja.

Każdy model, który nie będzie umożliwiał aktualizacji do wersji 18 będzie wspierany w wersji 17.5. 

Dowolny model obsługiwany tylko do wersji 18, np. starsze wersje XG / SG, będzie nadal otrzymywać wsparcie zgodnie z polityką producenta.

Tak jak obiecałem, wracam z drugim artykułem, będącym serią podsumowań i przedstawieniem wyzwań w cyberbezpieczeństwie w 2020 roku. Dzisiaj drugi z producentów – SOPHOS. Z racji tego, że cały raport, który omawiam jest dość obszerny, dla swobody czytania podzielę go na kilka osobnych artykułów:

Część I: Ransomware i spółka;
Część II: Urządzenia mobilne w akcji – uwielbiamy we wszystko klikać;
Część III: Nie ma czasu tego wszystkiego analizować, czyli konsekwencje ignorowania „szumu” w sieci;
Część IV: Ochrona chmury – małe zaniedbania prowadzą do dużych problemów;
Część V: Uczenie maszynowe – ma pomagać, a samo jest obiektem ataków;
Część VI: Szklana kula, czy wróżenie z fusów? Prognozy na przyszłość.

Ransomware wchodzi na wyższy poziom

Ransomware wpływa na coraz większą liczbę ofiar z każdym rokiem, ale ma piętę achillesową: szyfrowanie jest procesem czasochłonnym, napędzanym przez moc obliczeniowa procesora komputera hosta. Potrzeba odpowiednio dużo czasu, aby  algorytmy szyfrujące bezpiecznie zaszyfrowały dane na całych dyskach twardych. W przypadku oprogramowania ransomware aplikacja powinna być niemalże tak samo dobrze zoptymalizowana pod kątem dwóch kluczowych czynników: aby uniknąć wykrycia przez nowoczesne narzędzia bezpieczeństwa oraz aby sam proces szyfrowania był jak najbardziej wydajny. Jako, że priorytetem staje się uniknięcie wykrycia, zdajemy się zauważać, że wielu atakujących używających oprogramowania ransomware rozwinęło głębokie zrozumienie tego, w jaki sposób produkty bezpieczeństwa sieci i urządzeń końcowych wykrywają lub blokują ich złośliwą aktywność. W związku z tym, ataki ransomware prawie zawsze zaczynają się od prób udaremnienia mechanizmów bezpieczeństwa, z różnym powodzeniem.

Atakujący odkryli również, że po uzyskaniu dostępu do stacji ofiary mają większa szansę na uzyskanie okupu, gdy atak szyfruje tylko taką ilość danych, których nie można odzyskać, aby było to warte zapłacenia okupu przez ofiarę. Chociaż cel oprogramowania ransomware jest zawsze taki sam – wejść w posiadanie ważnych dla firmy, czy użytkownika danych – o wiele łatwiej jest zmienić złośliwe oprogramowanie „z wyglądu” (zaciemnić kod źródłowy) niż zmienić jego ostateczny cel. Nowoczesne oprogramowanie ransomware coraz bardziej stara się ukrywać cel swojego działania poprzez zręcznie napisany kod.

Dodatkowym sposobem na utrudnienie wykrycia oprogramowania ransomware jest skompilowanie go dla jednej ofiary, ochrona unikatowym hasłem, czy też uruchamianie tylko w ściśle określonym środowisku, wykorzystując identyfikatory sprzętu komputerowego charakterystyczne dla konkretnej fizycznej maszyny (HWID).

Niektóre cechy oprogramowania ransomware są dla niego bardzo charakterystyczne (na przykład szyfrowanie plików po kolei), ale z drugiej strony jest to również domena programów takich jak VeraCrypt, które wcale ransomware’m nie są. W związku z powyższym wykrywanie ransomware’u wymaga obecnie analizy coraz większej liczby czynników, zależności i uwarunkowań.

Konta użytkowników z ograniczonym dostępem administracyjnym. Ale co z tego?

Chociaż dobrą praktyką jest nadawanie kontom użytkowników – a tym samym uruchamianym przez nich aplikacjom – ograniczonych praw dostępu, w dzisiejszym krajobrazie zagrożeń niewiele to pomaga. Nawet jeśli zalogowany użytkownik ma standardowo ograniczone uprawnienia, dzisiejsze oprogramowanie ransomware może korzystać z obejścia kontroli konta użytkownika (UAC) lub wykorzystać lukę w oprogramowaniu, chociażby tą oznaczoną CVE-2018-8453, w celu podniesienia uprawnień. Co bardziej ambitni i aktywni przeciwnicy, którzy atakują sieć odpowiednio przygotowani, przechwycą poświadczenie administracyjne, aby upewnić się, że szyfrowanie jest wykonywane przy użyciu uprzywilejowanego konta domenowego, aby uzyskać pełne uprawnienia dostępu do plików i zwiększyć szansę na sukces. Atakujący mogą próbować ukryć swoją obecność, podpisując cyfrowo swoje oprogramowanie przy użyciu certyfikatu Authenticode. W sytuacji, gdy oprogramowanie ransomware posiada poprawnie podpisany cyfrowo kod, oprogramowanie chroniące stacje końcowe może nie analizować tego kodu tak rygorystycznie, jak w przypadku innych plików wykonywalnych bez zweryfikowanego podpisu. Co więcej, bardzo często przy domyślnych ustawieniach, niejako „z automatu” ufamy programowi podpisanemu zaufanym certyfikatem.

Wygodne zarządzanie jest wygodne też dla złodziei

Coraz częściej obserwuje się atakujących wykorzystujących skradzione dane uwierzytelniające lub wykorzystujących luki w rozwiązaniach do zdalnego monitorowania i zarządzania (RMM), takich jak Kaseya, ScreenConnect czy BeyondTrust. Z rozwiązań RMM zwykle korzysta dostawca usług zarządzanych (MSP), który zdalnie zarządza infrastrukturą IT i / lub systemami użytkowników końcowych. Rozwiązania RMM zazwyczaj działają z wysokimi uprawnieniami, a po „wejściu do środka” oferują zdalnemu napastnikowi dostęp „z klawiatury własnego sprzętu”, co skutkuje ryzykiem „porwania” danych.  Dzięki takiemu rodzajowi dostępu, przestępcy mogą łatwo dystrybuować oprogramowanie ransomware z dowolnego miejsca na świecie, potencjalnie uderzając jednocześnie w wielu klientów MSP.

W związku z tym bardzo ważne jest, aby włączyć uwierzytelnianie wieloskładnikowe (MFA) na urządzeniu pełniącym rolę serwera do zarządzania i uruchomić ochronę przed manipulacją w oprogramowaniu na stacjach końcowych (tzw. tamper protection), ale należy mieć na uwadze, że świadomi przeciwnicy mogą próbować zalogować się do centralnego serwera, aby wyłączyć ochronę w całej sieci, bez podziału na konkretne maszyny.

Planowanie kluczem do sukcesu

Aby zwiększyć prawdopodobieństwo zapłacenia okupu, oprogramowanie ransomware próbuje zaszyfrować jak najwięcej dokumentów, czasami ryzykując lub celowo uszkadzając stację końcową. Program może zapobiegawczo nadawać priorytet szyfrowania biorąc pod uwagę rozmiary dysków lub dokumentów, aby zdążyć zaszyfrować najnowsze dokumenty, zanim zostanie wykryte przez oprogramowanie do ochrony stacji końcowych. Co więcej, złośliwe oprogramowanie może być zaprogramowane tak, aby szyfrować kilka dokumentów jednocześnie za pomocą wielu wątków, może ustalać priorytety dla mniejszych dokumentów, a nawet wyszukiwać i atakować dokumenty na zmapowanych zdalnych współdzielonych dyskach.

Cały powyższy artykuł pokazuje, że oprogramowanie ransomware nieustannie ewoluuje i stara się przegonić oprogramowanie zabezpieczające, stosując coraz bardziej wyrafinowane sztuczki, taki jak podpisy cyfrowe, skomplikowany kod, czy uruchamianie szyfrowania ze sporym opóźnieniem. Wszystko to pokazuje, że w 2020 roku będziemy mieli do czynienia z ransomware’m, który będzie jeszcze bardziej niebezpieczny i trudny do wykrycia.

Cyber Security Team będący częścią zespołu tworzącego BackupAssist – rozwiązania do tworzenia kopii bezpieczeństwa systemów Windows przygotował przewodnik po zabezpieczeniu biznesu przed ransomware na 2020 rok. W tym kompleksowym przewodniku przedstawione są konkretne kroki, które opisują najlepsze sposoby na ochronę przed ransomware. Wszystkich zainteresowanych zapraszamy do lektury najważniejszych (według nas) treści.

CZĘŚĆ 1 Poznać swojego wroga, czyli zrozumieć, czym jest i jak działa ransomware. Czym jest ransomware?

Ransomware, to złośliwe oprogramowanie, które szyfruje Twoje dane, pozbawiając Cię tym samym możliwości z ich korzystania. Następnie żąda zapłaty za klucz, którym możesz odszyfrować swoje dane i odzyskać do nich dostęp.

Bardzo często ransomware wymusza na swoich ofiarach podjęcie konkretnych działań poprzez informację o dacie wygaśnięcia żądania okupu: jeśli okup nie zostanie zapłacony w wyznaczonym terminie, klucz do odszyfrowania zostanie zniszczony i tym samym wszystkie zaszyfrowane dane pozostaną niedostępne na zawsze. Innym rodzajem straszaka jest również informacja o ujawnieniu twoich danych w sieci.

Czy ransomware to to samo co malware?

Jest wiele rodzajów malware, czyli złośliwego oprogramowania, a jednym z nich jest własnie ransomware. Z tą różnicą, że zamiast kradnąć twoje dane, czy usuwać je albo szpiegować Cię, jego głównym zadaniem jest wyciągnięcie od Ciebie pieniędzy w zamian za odzyskanie dostępu do Twoich danych.

Skąd pochodzi ransomware?

Ransomware jest tworem cyber-przestępców, którymi moga być pojedyncze osoby lub dobrze zorganizowane konsorcja. Ich działalność w sieci jest doskonale zorganizowana. Zachowują oni swoja anonimowość dzieki wykorzystaniu narzędzi takich jak TOR (Wikipedia: (ang. The Onion Router) – wirtualna sieć komputerowa implementująca trasowanie cebulowe drugiej generacji. Sieć zapobiega analizie ruchu sieciowego i w konsekwencji zapewnia użytkownikom prawie anonimowy dostęp do zasobów Internetu.) i kryptowaluty, dzięki temu zwykły użytkownik praktycznie nie jest w stanie ustalić, gdzie znajduje się przestępca.

W jaki sposób ransomware może dostać się do mojej sieci lub komputera?

Mówiąc ogólnie trzy najczęstsze sposoby, które mogą się wydarzyć to:

1. Samorozprzestrzenianie się infekcji – podobnie jak wirus, niektóre odmiany oprogramowania ransomware mogą automatycznie sondować sąsiednie komputery w sieci i „przeskakiwać” z jednego komputera na inny, rozprzestrzenianie odbywa się utomatycznie poprzez wykorzystanie określonych cech i usług systemu operacyjnego lub aplikacji zainstalowanych na komputerze.

2. Manualna infekcja – polegająca na włamaniu sie przez przestepcę do systemów (często dzięki zastosowaniu słabych haseł, luk w protokołach RDP (remote Desktop Protocol) lub exploitom zero-day), a następnie ręczne zainstalowanie oprogramowania ransomware w celu uzyskania okupu.

3. Użytkownicy nieświadomie infekują swój komputer, klikając linki w spamie lub wiadomościach phishingowych, podłączając urządzenia USB lub odwiedzając witryny, które zostały zainfekowane.

W jaki sposób ransomware wpływa na twoje systemy komputerowe?

Dwie typowe rzeczy, które ransomware może zrobić w twoim systemie:

1. Uniemożliwia uruchomienie. The Petya (odmiana z 2016) atakował główny rekord rozruchowy (MBR) maszyny, przejmując tym samym kontrolę nad maszyną i wymuszając zapłacenie okupu od jego użytkownika.

2. Umożliwia uruchomienie komputera ale jednocześnie uniemożliwia dostęp do danych. W tym przypadku ransomware będzie szukać danych, które według niego są wartościowe, takich jak dokumenty i bazy danych, które następnie szyfruje.

Co stanie się, gdy zostaniesz zainfekowany?

Większość oprogramowania ransomware wyświetla na ekranie monitora ostrzeżenie, że dane zostały zaszyfrowane.

Jest tam również instrukcja jak zapłacić okup i że dostaniesz klucz do odszyfrowania danych po zapłaceniu okupu. Niektóre programy ransomware uniemożliwiają uruchomienie komputera, chyba że zapłacisz okup.

Jak powszechne jest oprogramowanie ransomware?

Ataki ransomware występują znacznie częściej niż może nam się wydawać, a zgłaszane infekcje rosną z roku na rok. Według raportu McAfee Labs Threat Report (sierpień 2019 r.) Liczba raportów Ransomware na całym świecie w pierwszym kwartale 2019 r. Wyniosła 1,3 miliona. To ponad dwukrotnie więcej niż 600 000 infekcji zgłoszonych w poprzednim kwartale na koniec 2018 r.

Czy oprogramowanie ransomware może zainfekować nasze kopie zapasowe?

Niestety tak. Istnieje wiele sposobów, dzięki którym ransomware może uczynić nasze kopie zapasowe bezużytecznymi – takie jak uszkodzenie plików z kopiami zapasowymi znajdującymi się na urządzeniach zewnętrznych (np. zainfekowanie dysku USB z kopiami po podłączeniu go do zainfekowanej maszyny) lub uszkodzenie kopii zapasowej wewnętrznie (np. poprzez rozprzestrzenienie się złośliwego oprogramowania w sieci lokalnej do udostępnianych zasobów, w tym również do serwerów backupowych). Dobra strategia ochrony przed oprogramowaniem ransomware musi uwzględniać sposób, w jaki ransomware infekuje kopie zapasowe.

Czy mogę ponownie wykorzystać wcześniej zainfekowaną maszynę?

Ze względu na ryzyko ponownej infekcji specjaliści z BacupAssist odradzają takie postępowanie. Najbezpieczniejszą metodą odzyskiwania jest odzyskanie danych z kopii zapasowej na nowy sprzęt. Pozwoli to zminimalizować ryzyko ponownej infekcji.

Nie rekomendowane jest używanie istniejącej maszyny z nowymi dyskami twardymi. Jak wyjaśniają w rozdziale 3 tego artykułu, oprogramowanie ransomware często instaluje backdoory. Backdoory mogą obejmować modyfikację firmware UEFI komputera, co może skutkować ponowną infekcją, nawet jeśli dysk twardy zostanie całkowicie wyczyszczony.

Absolutnie nie zalecają dalszego korzystania z zainfekowanego systemu operacyjnego. Wykorzystanie narzędzi do usunięcia malware z naszego systemu może wydawać się najszybszą drogą do ponownego korzystania z komputera, niekoniecznie jednak musi to być bezpieczne rozwiązanie. Nie mamy 100% pewności, czy malware został usuniety w całości, co finalnie może doprowadzić do
ponownej infekcji urządzenia lub co gorsza do rozprzestrzenienia sie jej na pozostałe komputery w sieci. Ponowne korzystanie z zainfekowanego wcześniej systemu operacyjnego (jesli jest konieczne) powinno odbywać się w całkowitym odseparowaniu od sieci.

Jaka jest najlepsza forma ochrony przed ransomware?

W dalszej części artykułu, specjaliści z BackupAssist omówią zarówno zapobiegawcze jak i naprawcze formy ochrony przed niechcianym szyfrowaniem naszych danych. Dlatego też jeśli używasz tylko jednej formy ochrony BackupAssist rekomenduje tworzenie kilku kopii zapasowych, jako jedyne w pełni niezawodne rozwiązanie.

Użytkownicy domowi komputerów mogą w najprostszy sposób zabezpieczyć się przed utrata danych, poprzez ręczne skopiowanie najważniejszych plików na wymienny dysk USB lub wypalenie danych na płytach (Blu-ray), choć tutaj mamy do czynienia z problemem ograniczonej pojemności.

W przypadku firm wymagania są zasadniczo znacznie wyższe, związane z koniecznością przywracania serwerów i systemów o kluczowym znaczeniu, takich jak Active Directory, poczta e-mail i bazy danych. Backup dla tych zasobów jest zwykle wykonywany przez oprogramowanie klasy biznesowej, najlepiej zawierające aktywne zabezpieczenia przed tworzeniem kopii zapasowej z zainfekowanych ransomware danych.

CZĘŚĆ 2 Bądź o krok przed – czyli jak ransomware może dostac sie do Twojej sieci.

Ta część pozwoli Ci zrozumieć, jakie luki może mieć Twoja firma i jak infekcja może je wykorzystać. To zrozumienie jest niezbędne w celu ochrony organizacji przed oprogramowaniem ransomware.

Powodem, dla którego oprogramowanie ransomware jest tak wszechobecne, jest to, że może się rozprzestrzeniać na wiele sposobów.

Jak już wcześniej wspomniano ransomware może dostać się do Twojej sieci dzięki wykorzystaniu luk w sieci, dzięki nośnikom wymiennym, które podłączymy do komputera będącego częścią sieci, poprzez narzędzia zdalnego dostępu, takie jak RDP, złośliwe strony internetowe i załączników e-mail. Po zainstalowaniu na jednym komputerze ransomware może rozprzestrzeniać się po całej sieci, instalując się na każdym znalezionym urządzeniu.

Ta grafika pokazuje 3 popularne sposoby rozprzestrzeniania się oprogramowania ransomware: połączenia internetowe, załączniki e-mail i zainfekowane dyski wymienne.

 

Gdy znajdzie się w sieci, ransomware może wykryć wszystkie stacje robocze, serwery, laptopy i inne sieci lokalne i w konsekwencji rozprzestrzenić się również na nie.

5 posobów na rozprzestrzenienie się ransomware wśród Twojej sieci

1. Zagrożenie internetowe

Za każdym razem, gdy usługa (np. web serwer, serwer zdalnego logowania, serwer e-mail lub witryna e-commerce) jest narażona na działanie Internetu, istnieje potencjalne ryzyko, że może zostać wykorzystana nie tak jak sobie założymy. Hakerzy często używają zautomatyzowanych narzędzi do wyszukiwania w Internecie komputerów i sieci z lukami w zabezpieczeniach, takimi jak słaba konfiguracja, przestarzałe łatki oraz słabe hasła, a następnie wykorzystują znalezione luki do kopiowania kodu ransomware na urządzenie w naszej sieci.

2. Zagrożenie urządzeń przenośnych

Ransomware może być zainstalowane na dyskach USB, urządzeniach typu pendrive i rozprzestrzenia się na inne maszyny, gdy ten napęd lub urządzenie jest podłączone.

3. Złośliwe strony internetowe

Komputer z brakiem aktualizacji zainstalowanych na nim aplikacji może zostać zainfekowany oprogramowaniem ransomware podczas odwiedzania złośliwej witryny www. Chociaż Google i przeglądarki internetowe filtrują złośliwe strony internetowe, niebezpieczeństwo infekcji utrzymuje się ze względu na ryzyko przekierowania na inna witrynę (cross-site scripting). Ataki te wykorzystują zainfekowaną, legalną stronę internetową do przekierowania cię na stronę zainfekowaną.

4. Malvertising

Reklama online korzysta z dynamicznych funkcji zachęcających do przeglądania i klikania w banery reklamowe. Niestety, funkcje te mogą być wykorzystywane przez hakerów, którzy wstawiają oprogramowanie ransomware do legalnych reklam. Dzięki temu mogą zainfekować Twój komputer, przekierowując Cię na złośliwą stronę internetową lub zainstalować oprogramowanie ransomware podczas interakcji z reklamą. W niektórych przypadkach wystarczy wyświetlić reklamę, aby zainfekować komputer.

5. Zagrożenie związane z pocztą email

Ransomware można rozprzestrzeniać za pomocą wiadomości e-mail z załącznikami. Chociaż pliki PDF i dokumenty biurowe są znacznie bezpieczniejsze niż kiedyś, formaty kompresji plików, takie jak WinRAR, mogą być używane do dostarczania oprogramowania ransomware, zwłaszcza jeśli serwer pocztowy nie zapewnia odpowiedniego filtrowania poczty. Wiadomość e-mail może wyglądać jak oryginalna wiadomość (np. od firmy kurierskiej, czy sklepu internetowego) po otwarciu załącznika takiej wiadomości ransomware niezauważalnie rozpoczyna szyfrować dane i rozprzestrzeniać się z jednego komputera na drugi.

Pomimo tego, że email jest jedną z najstarszych form rozpowszechniania oprogramowania ransomwrae, według raportu McAfee Advanced Threat Research z sierpnia 2019 r. technika ta jest nadal jedną z najbardziej popularnych metod a zarazem przynosząca największy dochód z ransomware, zwłaszcza w dużych organizacjach.

To koniec pierwszej części raportu, kolejne już niebawem. Jeśli chcecie już dziś zapoznać się z całością to odsyłamy do źródła i życzymy udanej lektury.

Źródło: https://www.backupassist.com/blog/ransomware-protection-guide

Koniec stycznia to dobry moment na podsumowania. W dwóch kolejnych artykułach przedstawię podsumowanie roku 2019 i perspektywy na rok 2020 oczami dwóch firm zajmujących się cyberbezpieczeństwem: GFI oraz SOPHOS. Zapraszam do lektury!

Na pierwszy ogień – podsumowanie roku 2019 według GFI

Rok 2019 to bez wątpienia rok ransomware i wszelkiego rodzaju phishingów – zaobserwowano nowe i bardziej wyrafinowane ataki typu ransomware, prawie 8 miliardów rekordów zostało narażonych na ponad 5000 naruszeń (według stanu na listopad według danych opartych na ryzyku podanych przez CNET), wyjątkowo popularne były zagrożenia obierające sobie za cel urządzenia mobilne, kontenery oraz narzędzia chmurowe, takie jak Kubernetes.

Oprócz samych ataków można również (co jest nieuniknione i naturalne) zauważyć postępy w zakresie bezpieczeństwa IT. Firmy muszą szybko reagować na to, co dzieje się wokół, aby skutecznie zapewnić bezpieczeństwo danych i aplikacji w obliczu ciągle ewoluujących zagrożeń. Organizacje, jako ogół, i ludzie nimi zarządzający, jako organ wykonawczy, wreszcie zaczynają zdawać sobie sprawę z niebezpieczeństw płynących z używania tylko jednej metody uwierzytelniania w postaci nazwy użytkownika i hasła i zaczynają przechodzić na uwierzytelnianie wieloskładnikowe – coraz popularniejsze staje się uwierzytelnianie sprzętowe i biometria oraz karty inteligentne.

Jeśli chodzi o samych producentów – zaawansowane techniki, takie jak analiza behawioralna użytkownika, mogą pomóc w szybszym wykrywaniu zainfekowanych kont, użycie sztucznej inteligencji (AI) w połączeniu z uczeniem maszynowym może pomóc wskazać nieprawidłową aktywność i wykryć złośliwe oprogramowanie, zanim będzie miało szansę wyrządzić szkodę.

Przed wejściem w nowy rok, który niewątpliwie przyniesie nieoczekiwane wyzwania, rzućmy okiem na dobre, złe i brzydkie części krajobrazu bezpieczeństwa w roku 2019 oraz wnioski, które możemy wyciągnąć z niektórych głównych incydentów związanych z bezpieczeństwem.

Internet niepewnych rzeczy

Internet rzeczy (IoT) rozwinął się skokowo w ciągu ostatniego roku. Według danych Statisty na koniec 2019 roku, baza podłączonych do Internetu urządzeń (wszelkiego typu) na całym świecie wynosi około 26,6 miliarda. W porównaniu z 23,14 miliarda w 2018 roku, jest to wzrost o ponad 3 miliardy. Przewiduje się ponadto, że liczba ta wzrośnie do ponad 30 miliardów w roku 2020 i ponad 75 miliardów do roku 2025.

Zarówno firmy, jak i osoby prywatne korzystają z wygody i korzyści płynących z „Internetu” wszystkiego, od żarówek, termostatów i urządzeń gospodarstwa domowego po sprzęt i pojazdy służbowe. Przedsiębiorstwa uzyskują cenny wgląd w sposób korzystania z ich produktów i usług przez klientów, analizując dane i zwyczaje konsumenckie gromadzone przez urządzenia internetu rzeczy sterowane czujnikami. W medycynie, handlu detalicznym, lotnictwie, usługach finansowych, produkcji i wielu innych obszarach urządzenia internetu rzeczy służą do angażowania klientów, zwiększania wydajności, zarządzania zapasami i wielu innych interakcji.

Jest jednak jedna rzecz o której zdajemy się zapominać. Przy tak wielu różnych producentach produkujących tak wiele różnych urządzeń – a wiele z tych firm koncentruje się na funkcjonalności, a nie bezpieczeństwie – internet rzeczy był i jest powszechnie uznawany za koszmar bezpieczeństwa. Według badania przeprowadzonego w tym roku przez Forrester, 80% przedsiębiorstw wie, że muszą zająć się polityką bezpieczeństwa niezarządzanego i IoT, ale skala problemu jest tak duża, że firmy same nie wiedzą od czego zacząć.

Według analityków Forbesa częstość ataków na urządzenia IoT wzrosła w 2019 roku o 300%. Ciągłe zagrożenie botnetem Mirai IoT oraz głośny raport Kaspersky’ego, w którym wspomina się o ponad 100 milionów ataków na „inteligentne” urządzenia w pierwszej połowie 2019 roku, pomogły przedstawić problem opinii publicznej. Dobrą wiadomością jest to, że w 2019 roku firmy produkujące urządzenia IoT wreszcie zaczęły poważnie podchodzić do zwiększania ochrony swoich produktów – ale nie zmienia to faktu, że wciąż mają przed sobą długą drogę.

Wszystkie warianty „-ishingów”

Phishing, spear phishing (phishing kierowany), vishing (phishing głosowy), smishing (phishing SMS) – zgodnie z raportem Verizon z 2019 roku, 32% naruszeń danych w ubiegłym roku wiązało się z pewną formą phishingu, która polega na przekonaniu użytkowników do otwarcia złośliwego załącznika wiadomości e-mail, odwiedzenia złośliwej strony internetowej lub pobranie złośliwego oprogramowania, a jego ostatecznym celem jest uzyskanie informacji osobistych lub poufnych.

Według Statisty globalne portale internetowe, banki, sieci społecznościowe, systemy płatności i sklepy internetowe to 5 organizacji najczęściej atakowanych przez phisherów, a badacze Microsoft odkryli, że próby phishingu kierowanego podwoiły się w ciągu roku.

Ponieważ phishing polega na nakłonieniu użytkowników do ujawnienia ich nazw i haseł, często można mu przeciwdziałać poprzez uwierzytelnianie wieloskładnikowe.

W sytuacji, gdy firmy przechodzą na uwierzytelnianie dwuskładnikowe, phisherzy wiedzą, że posiadanie danych uwierzytelniających bez dostępu do drugiego czynnika uwierzytelniającego, którym często jest telefon użytkownika, karta inteligentna lub token, który fizycznie pozostaje w posiadaniu użytkownika, jest dla nich bezużyteczne.

Cyber-zakładnicy

Kierowane na konkretną instytucję czy firmę ataki ransomware stanowiły poważny problem przez cały ubiegły rok, skupiając się głównie na instytucjach opieki zdrowotnej, lokalnych samorządach, firmach kurierskich, dużych korporacjach czy firmach doradczych.

To nie wszystko. Ransomware staje się coraz bardziej wyrafinowane, a coraz powszechniejsze stają się wielostopniowe ataki na dużą skalę na znane organizacje siejące spore spustoszenie w firmach. Obecnie cyberprzestępcy zaczęli nawet publikować dane firm, które odmawiają opłaty, w sytuacji gdy ich dane firmowe są zaszyfrowane, narażając tym samym firmę na zły PR.

Dobrą wiadomością jest to, że nawet te zaawansowane ataki ransomware zwykle zaczynają się po prostu od oszustwa phishingowego. Edukacja użytkowników jest kluczem do obrony przed nimi, a coraz więcej organizacji uczy się jak zapobiegać, działać i szkolić użytkowników przed, a nie po fakcie, jak rozpoznać metody działania przestępców, czy fałszywe maile, a także zaczyna zadawać sobie sprawę, że należy często aktualizować kopie zapasowe ważnych danych, przechowywać je offline, w miejscu, które nie będzie narażone na atak ransomware, bo zwyczajnie nie będzie podpięte do sieci.

Nawet jeśli twoja firma nie należy do jednej z kategorii wymienionych powyżej, ważne jest, aby zachować czujność.  Prognozuje się, że w nadchodzącym roku osoby wykorzystujące oprogramowanie ransomware do pozyskiwania okupu rozszerzą swój zasięg, a nowymi ulubionymi celami będą instytucje badawcze, media, przemysł spedycyjny i transportowy, a także sieci energetyczne i inne obiekty użyteczności publicznej.

Podsumowanie 

Ataki IoT, phishing i ransomware to tylko kilka rodzajów ataków, z którymi mieliśmy do czynienia w 2019 roku i możemy spodziewać się, że ich ilość nie spadnie, a raczej zwiększy się w nowym roku. Atakujący pracują „w nadgodzinach”, aby pozostać o dwa kroki do przodu, ale jednocześnie stają się coraz bardziej wyrafinowani, podobnie jak środki bezpieczeństwa i mechanizmy, które są dostępne, aby podjąć wysiłek ochrony przed nimi.

Gdy sztuczna inteligencja ulegnie poprawie i stanie się bardziej zintegrowana z naszymi strategiami informatycznymi, funkcjami biznesowymi i życiem osobistym, będzie nieuchronnie wykorzystywana przez cyberprzestępców do zwiększenia skuteczności ataków. Drugą stroną tego medalu jest fakt, że analiza z wykorzystaniem sztucznej inteligencji pomoże dokładniej wykrywać wirusy i złośliwe oprogramowanie i będzie wykorzystywana do zwiększania skuteczności mechanizmów obronnych.

Żyjemy w ciekawych czasach i 2020 rok na pewno będzie obfitował w nowe zagrożenia, niebezpieczeństwa, a co za tym idzie metody walki z nimi.

 

opracowanie własne oraz https://techtalk.gfi.com/2019-cybersecurity-incidents-what-did-we-learn/

Sophos Intercept X dla urządzeń mobilnych jest już dostępny! Zwiększ ochronę swoich klientów przed najbardziej zaawansowanymi zagrożeniami dzięki naszemu mobilnemu rozwiązaniu do ochrony.

Wykorzystując technologię głębokiego uczenia się przed złośliwym oprogramowaniem, Intercept X for Mobile chroni użytkowników, ich urządzenia i dane firmowe przed znanymi i nigdy wcześniej nie rozpoznanymi zagrożeniami mobilnymi.

Całkowicie przeprojektowany interfejs umożliwia łatwe zarządzanie i identyfikację wszelkich luk bezpieczeństwa w urządzeniach.

 

 

Poniżej przegląd funkcji:

Bezpieczeństwo urządzeń: Intercept X for Mobile stale monitoruje i ostrzega użytkowników i administratorów IT przed oznakami potencjalnego zagrożenia, aby mogli szybko rozwiązać problemy i automatycznie odebrać dostęp do zasobów korporacyjnych. Kontrole zgodności wykrywają jailbreak, rootowanie, wyświetlają statusie zaszyfrowania urządzenia, informują użytkowników i administratorów IT o niezbędnych aktualizacjach systemu operacyjnego. Zalecenia dotyczące sprawdzania kondycji urządzenia dodatkowo określają ustawienia zabezpieczeń.

Bezpieczeństwo sieci: Intercept X for Mobile monitoruje połączenia sieciowe pod kątem podejrzanych działań w czasie rzeczywistym, ostrzegając użytkowników i administratorów IT przed potencjalnymi atakami Man-in-the-Middle (MITM). Filtrowanie sieci i sprawdzanie adresów URL również zatrzymuje dostęp do znanych witryn o złej reputacji, a wykrywanie phishingu SMS blokuje złośliwe adresy URL.

Bezpieczeństwo aplikacji: Intercept X for Mobile wykrywa złośliwe i potencjalnie niechciane aplikacje instalowane na urządzeniach, chroniąc przed złośliwym oprogramowaniem typu malware, ransomware czy fleeceware (automatyczne przedłużanie subskrypcji odinstalowanych aplikacji). Integracja z Microsoft Intune umożliwia ponadto administratorom tworzenie zasad dostępu warunkowego, ograniczając dostęp do aplikacji i danych w przypadku wykrycia zagrożeń.

Pełna ochrona i kontrola: Intercept X for Mobile to wiodące w branży rozwiązanie do mobilnej ochrony przed zagrożeniami. Zarządzaj nim bezproblemowo za pośrednictwem Sophos Mobile, części naszej platformy Sophos Central, wraz z całym portfolio rozwiązań bezpieczeństwa cybernetycznego.

Unikalne podejście Synos ​​Synchronized Security firmy Sophos umożliwia tym rozwiązaniom współpracę w zakresie udostępniania informacji w czasie rzeczywistym i reagowania na zagrożenia

Pobierz bezpłatnie program Intercept X for Mobile i przetestuj naszą najlepszą w branży ochronę urządzeń mobilnych!