Metody identyfikacji zagrożeń nie nadążają za sposobami używanymi do pozyskiwania cennych zasobów i informacji przez cyberprzestępców. Do przeprowadzenia całej operacji zatrudniono tzw. “słupów”, którzy pobierali  pieniądze z bankomatów w 27 krajach. Najprawdopodobniej jednak akcja była możliwa dzięki zaawansowanemu atakowi ukierunkowanemu na agenta rozliczeniowego w Indiach bądź USA, na co wskazują wstępne raporty.

Cel wybrano bardzo ostrożnie – tak, aby zminimalizować ryzyko wykrycia sprawców. Prawdopodobnie operację poprzedziły miesiące przygotowań, a także działań prowadzonych z ukrycia.

Określony cel

Tego rodzaju ataki ukierunkowane mają zupełnie inną naturę niż zagrożenia, z którymi stykają się na co dzień profesjonaliści pracujący w branży IT security. Są to działania o bardzo ściśle określonych celach. Publikacja Trend Micro omawia procesy następujące w sieciach podczas takich ataków, a także przedstawia wykorzystywane przez cyberprzestępców narzędzia i techniki.  

• Bankowość internetowa jest niezwykle popularna – niemal 94% światowych zasobów finansowych przechowywanych jest w różnych formach elektronicznych. Trudno się zatem dziwić rosnącej liczbie cyberataków i ich coraz większej skali. Działania cyberprzestępców mogą negatywnie wpływać na zasoby techniczne i kadrowe firm, doprowadzając do różnorakich zakłóceń w codziennej działalności. Ataki DDoS (Distributed Denial of Service) również stają się coraz bardziej powszechne, co rzutuje na sposób prowadzenia bankowości internetowej przez użytkowników indywidualnych oraz przedsiębiorstwa.  
• Wiele instytucji finansowych wykorzystuje podobne technologie i procesy działania, co może być zachętą dla przestępców, którzy mogą spróbować zaatakować banki o podobnej strukturze organizacyjnej. Bez wątpienia możemy stwierdzić, iż cyberprzestępcy będą w stanie utrzymać silną pozycję w tego rodzaju organizacjach.  

Nie tylko kradzież informacji

Przypadki tego rodzaju pokazują, iż ataki ukierunkowane i cyberprzestępczość mogą skutecznie współdziałać w celu osiągnięcia większych korzyści przez przestępców. Firmy powinny być tego świadome w trakcie opracowywania metod zapobiegawczych. Osoby odpowiedzialne za budowanie strategii bezpieczeństwa powinny potrafić stwierdzić, czy firma jest potencjalnym celem ataku, powinny też  mieć na uwadze dynamikę jego przebiegu.

• Organizacje muszą zrozumieć, że celem ataków ukierunkowanych nie zawsze jest jedynie kradzież informacji. Mogą one także negatywnie wpływać na systemy informatyczne i powodować poważne straty finansowe. Skutecznym sposobem mogącym uchronić przedsiębiorstwo przed atakiem są mechanizmy wykorzystujące proces wirtualizacji do testowania potencjalnych zagrożeń w wyizolowanym środowisku (ang. sandboxing). Baza informacji zwrotnych i wiedzy o zagrożeniach zapewniana przez Trend Micro Smart Protection Network jest bezcennym narzędziem niezbędnym do skutecznej ochrony sieci i przeciwdziałania atakom.

autor: Jan Petersen

Coraz powszechniejsze wśród cyberprzestępców staje się wykorzystywanie wyspecjalizowanego szkodliwego oprogramowania w celu przeprowadzania ataków na korporacje, obejścia popularnych narzędzi służących do ochrony przed szkodliwym oprogramowaniem oraz utrudniania wykrywania i odpierania ataków.

„Stopień zaawansowania i złożoności ataków zwiększa potrzebę stosowania zaawansowanych rozwiązań ochrony przed szkodliwym oprogramowaniem, które uwzględniają różnorodne wektory ataków (sieć, urządzenie itd.) w celu wniknięcia do punktu końcowego i minimalizują zasoby niezbędne do odparcia takich ataków jak również ochrony urządzeń oraz danych” – powiedział Kevin Bailey, dyrektor ds. badań, dział odpowiedzialny za polityki dotyczące produktów i usług bezpieczeństwa na region EMEA, IDC.

Technologie ochrony proaktywnej firmy Kaspersky Lab

Kaspersky Lab agresywnie inwestuje w rozwój technologii heurystycznych i proaktywnych, co oznacza, że jego rozwiązania potrafią wykrywać szkodliwe oprogramowanie, nawet jeśli wcześniej nie zostało zidentyfikowane lub jest wykorzystywane po raz pierwszy.

• Z wszystkich nowych zagrożeń wykrytych w 2012 r. przez produkty Kaspersky Lab, 87% zostało zidentyfikowanych z pomocą technologii heurystycznych zawartych w wielu produktach, w tym Kaspersky Endpoint Security for Business. Niezależnie od metody wykorzystywanej w celu przeniknięcia do sieci korporacyjnej, cyberprzestępcy muszą zmierzyć się z tymi technologiami. Jeśli atakujący będą wiedzieli, że w komputerach korporacyjnych znajduje się oprogramowanie zawierające niezałatane luki, mogą próbować wykorzystać je w celu ukradkowego zainfekowania komputerów korporacyjnych.

Narzędzia cyberprzestępstw

Cyberprzestępcy zwykle wykorzystują luki w zabezpieczeniach popularnego oprogramowania, takiego jak Adobe Flash, Adobe Reader, Java, przeglądarki internetowe czy komponenty systemu operacyjnego. Ponieważ tego typu aplikacje są legalne i często wykorzystywane przez pracowników korporacyjnych, osoby atakujące liczą na to, że rozwiązania bezpieczeństwa „nie zauważą” nietypowego zachowania jakiegoś powszechnie wykorzystywanego programu, dzięki czemu szkodliwe oprogramowanie wniknie niezauważenie do sieci. Produkty firmy Kaspersky Lab zawierają moduł Kontrola systemu, który regularnie analizuje kod pod kątem podejrzanych modyfikacji, nawet w zaufanych aplikacjach. Ponadto wyspecjalizowana technologia Automatyczne zapobieganie exploitom, zaimplementowana w ramach modułu Kontrola systemu, potrafi wykrywać i blokować zachowanie typowe dla exploitów.

• Cyberprzestępcy często próbują zainfekować komputery w sieci korporacyjnej przy użyciu tzw. rootkitów i bootkitów. Te wysoce niebezpieczne rodzaje szkodliwego oprogramowania modyfikują sektor rozruchowy dysku twardego atakowanego komputera, aby móc uruchomić się przed systemem operacyjnym czy zainstalowanym oprogramowaniem bezpieczeństwa. Technologia ochrony przed rootkitami, zaimplementowana w Kaspersky Endpoint Security for Business i kilku innych produktach firmy, przechwytuje i analizuje wszystkie przypadki dostępu do sektora rozruchowego dysku, sprawdzając ich legalność i zapobiegając potencjalnej infekcji.

BYOD ułatwia ataki

Szeroki wachlarz urządzeń mobilnych i systemów operacyjnych zapewnia przestępcom szeroki wybór wektorów ataków. Na przykład luka w zabezpieczeniach urządzenia mobilnego podłączonego do sieci korporacyjnej, jeśli zostanie wykorzystana, może zapewnić cyberprzestępcy dostęp do sieci, nawet jeśli pozostałe segmenty są dobrze chronione. Dostępne w rozwiązaniu Kaspersky Endpoint Security for Business technologie służące do zabezpieczenia i zarządzania korporacyjnymi urządzeniami mobilnymi oferują mocną ochronę przed coraz większą liczbą i złożonością wektorów ataków dostępnych w środowiskach, w których zezwala się na przynoszenie do pracy własnych urządzeń.

Oprócz skanowania urządzeń mobilnych pod kątem wykrywania szkodliwego oprogramowania, technologia Kaspersky Lab może stosować różne restrykcyjne polityki dotyczące zainstalowanych aplikacji, identyfikować urządzenia złamane przy użyciu jailbreakingu (iOS) lub rootowania (Android) i zdalnie usuwać przechowywane na urządzeniu dane korporacyjne, jeżeli istnieje obawa, że dostęp do niego może uzyskać niepowołana osoba.

autor: Cezary Tchorek-Helm