Tom Burt, Corporate Vice President, Customer Security & Trust, Microsoft
În ultimul an, 58% din toate atacurile cibernetice ale actorilor statali observate de Microsoft au provenit din Rusia, iar acestea sunt din ce în ce mai eficiente, rata compromiterii cu succes a sistemelor țintă crescând de la 21%, anul trecut, la 32% în acest an. Actorii statali din Rusia vizează din ce în ce mai mult agențiile guvernamentale în scop de colectare de informații, înregistrându-se o creștere de la 3% din țintele vizate, acum un an, la 53%; în mare parte este vorba de agenții implicate în politica externă, securitatea națională sau apărare. Primele trei țări vizate de actorii statali din Rusia au fost Statele Unite, Ucraina și Marea Britanie.
Acestea sunt doar câteva dintre informațiile din cel de-al doilea Raport anual Microsoft Digital Defense pe care compania l-a lansat ieri și care poate fi vizualizat gratuit aici. Raportul anual Microsoft Digital Defense acoperă perioada din iulie 2020 până în iunie 2021, iar concluziile sale privesc tendințele observate cu privire la activitatea actorilor statali, criminalitatea cibernetică, securitatea lanțurilor de aprovizionare, munca în sistem hibrid și dezinformarea.
Activitatea actorilor statali
Rusia nu este singurul actor statal ale cărui abordări evoluează, iar spionajul nu este singurul scop al atacurilor de anul acesta ale actorilor statali.
- După Rusia, cel mai mare volum de atacuri, observat de experții din cadrul Microsoft, a venit din Coreea de Nord, Iran și China; Coreea de Sud, Turcia (o apariție nouă în acest raport) și Vietnam au fost, de asemenea, active, dar reprezintă un volum mult mai mic.
- În timp ce spionajul este cel mai comun obiectiv pentru atacurile actorilor statali, unele activități ale atacatorilor dezvăluie alte obiective, inclusiv:
- Iranul, care a vizat de 4 ori mai des Israelul în ultimul an și a lansat atacuri distructive ca parte a tensiunilor sporite dintre cele două țări
- Coreea de Nord, care a vizat companiile de criptomonede pentru obținere de profit, întrucât economia sa a fost decimată de sancțiuni și de pandemia Covid-19
- 21% din atacurile provenind de la actorii statali, observate de Microsoft, au vizat consumatori și 79% au vizat entități, cele mai vizate sectoare fiind guvernele (48%), ONG-urile și grupurile de tip think-tank (31%), educația (3%), organizațiile interguvernamentale (3%), IT-ul (2%), energia (1%) și media (1%).
Deși China nu este unică în ce privește scopul urmărit, cel de colectare a informațiilor, Microsoft a remarcat faptul că mai mulți actori statali chinezi au folosit o serie de vulnerabilități neidentificate anterior. Atacurile HAFNIUM care vizează Serverele Exchange locale au fost puternic mediatizate, dar, pe lângă vulnerabilitatea de tip „zero-day” utilizată în acele atacuri, Microsoft a detectat și a raportat un atac Pulse Secure VPN zero-day și un atac SolarWinds zero-day ceva mai devreme în cursul acestui an, ambele fiind exploatate de actori chinezi.
China folosește, de asemenea, colectarea de informații în diverse scopuri. Un actor chinez, CHROMIUM, a vizat entități din India, Malaezia, Mongolia, Pakistan și Thailanda pentru a culege informații sociale, economice și politice despre țările vecine. Un alt actor chinez, NICKEL, a vizat ministere de externe din America Centrală și de Sud și din Europa. Pe măsură ce influența Chinei se schimbă odată cu Inițiativa Națională „Belt and Road”, Microsoft se așteaptă ca acești actori să continue să utilizeze culegerea de informații prin mijloace cibernetice pentru a afla date despre investiții, negocieri și influență. În cele din urmă, actorii chinezi sunt remarcabil de persistenți; chiar și după ce Microsoft a dezvăluit încercările Chinei de a colecta informații cu privire la persoane implicate în alegerile din 2020, actorul său ZIRCONIUM și-a continuat activitatea în Ziua Alegerilor.
În total, Microsoft a notificat de 20.500 de ori în ultimii trei ani clienții despre încercările tuturor actorilor statali de a le sparge sistemele. Pentru claritate, precizăm că Microsoft nu observă fiecare atac cibernetic global. De exemplu, compania are o vizibilitate limitată asupra atacurilor care vizează sistemele locale pe care organizațiile le gestionează singure, cum ar fi atacurile Exchange Server de la începutul acestui an, precum și atacurile care vizează clienții altor furnizori de tehnologie. Compania crede că împărtășirea datelor pe care le avem despre aceste amenințări este utilă pentru clienți, decidenți și comunitatea de securitate extinsă și îi invită și pe alții să împărtășească ceea ce observă din perspectiva lor. Vestea bună este că vizibilitatea sa asupra amenințărilor și capacitatea de a ajuta la oprirea acestora vor continua să crească pe măsură ce mai multe organizații migrează către sisteme de tip cloud.
Criminalitatea cibernetică
Criminalitatea cibernetică – în special de tip ransomware – rămâne o problemă gravă care continuă să se extindă, după cum reiese din Raportul Microsoft Digital Defense din acest an. Dar, în timp ce actorii statali vizează în principal victimele care dețin informații utile, infractorii cibernetici vizează victimele cu bani. Drept urmare, țintele au adesea un profil diferit. Atacurile cibernetice asupra infrastructurilor critice – cum ar fi atacul de tip ransomware asupra Colonial Pipeline – ies adesea în evidență. Cu toate acestea, primele cinci domenii vizate în ultimul an, observate pe baza implicării echipei Detection and Rapid Response Team (DART), din cadrul Microsoft, în cazuri de ransomware, sunt retail-ul (13%), serviciile financiare (12%), industria de producție (12%), autoritățile (11%) și asistența medicală (9%). Statele Unite reprezintă, de departe, cea mai vizată națiune care este țintă pentru de trei ori mai multe atacuri de tip ransomware decât următoarea cea mai vizată țară. Astfel, din acest punct de vedere, SUA sunt urmate de China, Japonia, Germania și Emiratele Arabe Unite.
În ultimul an, economia „cybercrime-as-a-service” a trecut de la o industrie incipientă, dar cu creștere rapidă, la o industrie matură de natură criminală. Astăzi, oricine, indiferent de cunoștințele tehnice, poate accesa o piață online robustă pentru a achiziționa gama de servicii necesare pentru a executa atacuri în orice scop. Piața are trei componente. În primul rând, pe măsură ce cererea a crescut, infractorii se concentrează din ce în ce mai mult pe crearea de kit-uri specializate de produse pentru infectare gata să fie folosite, precum și pe creșterea automatizării, ceea ce duce la reducerea costurilor și creșterea volumului. Există kit-uri care se vând la prețul de doar 66 USD. În al doilea rând, altă categorie de furnizori pun pe piață credențiale compromise, necesare pentru a accesa sistemele victimă și a implementa kit-urile. De asemenea, experții din cadrul Microsoft au remarcat credențiale care se vând pentru sume de la 1 USD la 50 USD fiecare, în funcție de valoarea percepută a țintei. În al treilea rând, serviciile de escrow cu criptomonede servesc drept brokeri între cumpărători și vânzători pentru a asigura garanții că credențialele și kit-urile au performanțele corespunzătoare ofertei. De asemenea, specialișii au identificat și kit-uri sofisticate care nu doar că furnizează date despre victimă persoanei care a achiziționat și a implementat kit-ul, ci și furnizează în secret date direct entității care a creat kit-ul.
Atacurile tip ransomware continuă să fie una dintre cele mai mari amenințări de criminalitate cibernetică și, în ultimul an, au continuat să evolueze și au devenit și mai disruptive. În loc să se concentreze asupra atacurilor automate care se bazează pe volum și cereri de valoare redusă pentru a genera profit, ransomware-ul cu operare umană folosește informații obținute din surse online, sustrage și studiază documentele financiare și de asigurare ale victimei și cercetează rețelele compromise pentru a selecta țintele și a stabili cereri de răscumpărare de valoare mult mai ridicată.
Combaterea criminalității cibernetice în mediul de lucru de tip hibrid
Pe măsură ce amenințările online cresc în volum, grad de sofisticare și impact, cu toții trebuie să luăm măsuri pentru a consolida prima linie de apărare. Implementarea de măsuri fundamentale de „igienă” cibernetică – asemenea periatului dinților pentru a vă proteja împotriva cariilor sau cuplării centurii de siguranță pentru a vă proteja viața – sunt pași de bază pe care trebuie să-i facem cu toții.
Mai puțin de 20% dintre clienții Microsoft utilizează funcții puternice de autentificare, cum ar fi multi-factor authentication (MFA). Compania oferă această funcție gratuit, iar organizațiile o pot activa ca mod de lucru prestabilit pentru utilizatorii lor. De fapt, dacă organizațiile doar ar aplica MFA, ar folosi sisteme anti-malware și și-ar menține sistemele actualizate, ar fi protejate de peste 99% din atacurile pe care le vedem astăzi.
Desigur, companiile de tehnologie precum Microsoft joacă un rol important în dezvoltarea de software securizat, implementarea de produse și servicii avansate de securitate cibernetică pentru acei clienți care doresc să le implementeze și detectarea și oprirea amenințărilor. Însă organizațiile care iau măsuri de bază pentru a se proteja vor merge mai departe decât cele mai sofisticate măsuri pe care companiile tehnologice și autoritățile le-ar putea adopta pentru a proteja. Vestea bună este că, în ultimele 18 luni, s-a văzut o creștere cu 220% a utilizării de mijloace puternice de autentificare, deoarece companiile s-au preocupat să își sporească securitatea pentru lucrul la distanță. Vestea proastă este că mai avem un drum lung de parcurs. O parte a soluției trebuie să fie formarea mai multor profesioniști în domeniul securității cibernetice, care pot ajuta organizațiile de toate tipurile să rămână în siguranță, și compania va avea mai multe de împărtășit despre munca noastră în acest domeniu în următoarele săptămâni
Există trei tendințe care ne oferă, de asemenea, speranță:
În primul rând, guvernul SUA a luat măsuri fără precedent pentru a face pași în ce privește securitatea cibernetică folosind legi și reglementări deja finalizate. Ordinul executiv anunțat în luna mai a ajuns la un nivel de reglementare ridicat pentru a face guvernul federal al SUA, și cei cu care lucrează, un mediu mai sigur, iar Casa Albă (care a preluat conducerea în a stabili un parteneriat cu sectorul privat în mijlocul atacurilor Exchange Server, efectuate de HAFNIUM anul acesta), a stabilit un nou standard pentru colaborarea legată de incidente.
În al doilea rând, autoritățile din întreaga lume introduc și adoptă noi legi care impun cerințe precum raportarea obligatorie atunci când organizațiile descoperă atacuri cibernetice, astfel încât agențiile guvernamentale competente să înțeleagă natura problemei și să poată investiga incidentele folosindu-și resursele.
În al treilea rând, atât autoritățile, cât și companiile comunică în mod voluntar atunci când sunt victime ale unor atacuri. Această transparență îi ajută pe toți să înțeleagă mai bine problema și permite un angajament sporit din partea autorităților și a celor care au competența de a oferi un prim răspuns la incidente.
Tendințele sunt clare: actorii statali folosesc din ce în ce mai mult și vor folosi în continuare atacuri cibernetice pentru orice obiective politice ar avea, indiferent că este vorba despre spionaj, perturbarea activității sau distrugere. Microsoft anticipează că mai multe țări se vor alătura listei celor care se angajează în operațiuni cibernetice ofensive și că acestea vor deveni mai îndrăznețe, persistente și dăunătoare, cu excepția cazului în care ar exista consecințe mai grave. Și piața criminalității cibernetice va continua să devină mai sofisticată și mai specializată, cu excepția cazului în care ne concentrăm cu toții eforturile pentru a o opri. Se lucrează mai mult ca niciodată pentru a contracara aceste preocupări, dar va trebui să ne asigurăm că ele vor rămâne în topul priorităților pe agendele naționale și internaționale în următorii ani.