Prostredie kybernetických hrozieb v tretej tretine roka 2021 z pohľadu telemetrie spoločnosti ESET a jej odborníkov na detekciu a výskum hrozieb
Autor: Roman Kováč, riaditeľ výskumu spoločnosti ESET
Zatiaľ čo v roku 2020 sme boli svedkami útokov na dodávateľský reťazec (a, samozrejme, začiatku pandémie COVID‑19), rok 2021 sa niesol v znamení šokujúcich objavov závažných zraniteľností.
Už jeho začiatok bol búrlivý, keď sa servery Microsoft Exchange na celom svete ocitli pod paľbou najmenej desiatich APT skupín. Telemetria spoločnosti ESET odhalila, že reťazec zraniteľností ProxyLogon, ktorý útočníci zneužili, skončil v roku 2021 ako druhý najčastejší externý vektor útoku, hneď po pokusoch o uhádnutie hesla. V správe Threat Report T3 2021 sa dozviete aj to, že servery Microsoft Exchange sa znovu stali obeťou útoku v auguste 2021, keď niekoľko APT skupín zneužilo zraniteľnosť ProxyShell, mladšieho „súrodenca“ ProxyLogon.
Keď sa v polovici decembra objavila kritická chyba v rozšírenom nástroji Log4j, IT tímy po celom svete sa horlivo snažili nájsť a opraviť ju vo svojich systémoch. Táto zraniteľnosť, ktorá na stupnici CVSS dosiahla hodnotu 10 z 10, vystavila nespočetné množstvo serverov riziku úplného prevzatia kontroly, preto nebolo prekvapením, že ju kybernetickí zločinci začali okamžite zneužívať. Napriek tomu, že útoky využívajúce chybu v Log4j sa začali objavovať len posledné tri týždne minulého roka, v našich štatistikách za rok 2021 boli piatym najčastejším externým vektorom vniknutia, čo ukazuje, ako rýchlo dokážu útočníci zneužívať novovznikajúce kritické zraniteľnosti.
Koniec roka bol rušný aj v oblasti útokov cez protokol na vzdialenú správu RDP, ktoré sa stupňovali počas celého roka 2020 a 2021. Čísla z posledných týždňov tretej tretiny roka 2021 prekonali všetky predchádzajúce rekordy. Došlo k ohromujúcemu ročnému nárastu celkového počtu zablokovaných pokusov o útok o 897 %, a to napriek tomu, že minulý rok už nebol poznačený chaosom lockdownov ani unáhlených prechodov na prácu z domu. Pravdepodobne jedinou dobrou správou z frontu útokov cez RDP, ako je uvedené aj v našej správe v časti „Exploits“, je, že počet ich cieľov sa postupne znižuje, hoci sa nezdá, že by sa toto besnenie malo čoskoro skončiť.
Ransomvér, ktorý sme v našej správe o bezpečnostných hrozbách na konci roka 2020 označili za doposiaľ najagresívnejší, prekonal v roku 2021 tie najhoršie očakávania. Len v prvej polovici roka sme sa stretli s útokmi na kritickú infraštruktúru, nehoráznymi požiadavkami na výkupné a transakciami v Bitcoinoch v hodnote viac ako 5 miliárd dolárov, ktoré útočníci vymáhali od svojich obetí.
Tlak však rastie aj z druhej strany, keďže orgány činné v trestnom konaní sa horúčkovito snažia bojovať proti ransomvéru a iným kybernetickým zločinom. Hoci intenzívny zákrok proti gangom prinútil niekoľkých zločincov k ústupu a dokonca zverejneniu dešifrovacích kľúčov, zdá sa, že iní útočníci, naopak, naberajú odvahu. V poslednej tretine minulého roka sme zaznamenali doteraz najvyššie ultimátum na výkupné v hodnote 240 miliónov dolárov, čo je viac než trojnásobok rekordu uvedeného v našej predošlej správe.
A aby sme pridali ďalšie historické maximum: keď kurz Bitcoinu dosiahol v novembri 2021 svoju doteraz najvyššiu hodnotu, odborníci spoločnosti ESET zaznamenali prílev hrozieb súvisiacich s kryptomenami, ktorý sa ešte znásobil nedávnym nárastom popularity nezameniteľných tokenov (NFT).
Vo svete mobilných zariadení sme zaregistrovali alarmujúci nárast počtu detekcií bankového malvéru na operačnom systéme Android, ktorý v porovnaní s rokom 2020 vzrástol o 428 % a dosiahol úroveň detekcie advéru, problému, s ktorým sa na tejto platforme bežne stretávame. Netreba ani hovoriť, že potenciál škôd spôsobených týmito dvoma typmi hrozieb sa nedá porovnávať. Môžeme len dúfať, že klesajúci trend zaznamenaný v prípade bankového malvéru v poslednej tretine roka 2021 sa prenesie aj do roka 2022.
Počet odhalených e‑mailových hrozieb, ktoré sú vstupnou bránou pre nespočetné množstvo ďalších útokov, sa za rok viac ako zdvojnásobil. Tento trend bol spôsobený najmä nárastom počtu phishingových e‑mailov, ktorý viac než dokonale vykompenzoval rýchly pokles škodlivých makier malvéru Emotet v e‑mailových prílohách. Emotet, ktorý bol väčšinu roka neaktívny, vstal z mŕtvych v poslednej tretine minulého roka, pričom jeho prevádzkovatelia sa snažia obnoviť jeho infraštruktúru s podporou botnetu Trickbot. Malvéroví analytici spoločnosti ESET očakávajú, že v roku 2022 sa bude botnet rýchlo rozširovať, čím sa Emotet opäť dostane na popredné priečky hrozieb. Tento proces budeme pozorne sledovať.
Posledné mesiace roka 2021 boli tiež bohaté na výsledky rôznych výskumov, pričom spoločnosť ESET odhalila: FontOnLake, novú rodinu malvéru cielenú na systém Linux, doposiaľ nezdokumentovaný UEFI bootkit z reálneho prostredia s názvom ESPecter, kybernetickú špionážnu skupinu FamousSparrow zameranú na hotely, vlády a súkromné spoločnosti po celom svete, ako aj mnoho iného. V poslednej tretine roka 2021 naši výskumníci tiež publikovali komplexnú analýzu všetkých 17 škodlivých štruktúr, ktoré boli použité pri útokoch na tzv. air‑gapped (izolované) siete, a zavŕšili podrobný výskum latinsko-amerických bankových trójskych koňov.
Správa spoločnosti ESET o bezpečnostných hrozbách za tretiu tretinu roka 2021 taktiež poskytuje doposiaľ nezverejnené informácie o operáciách APT skupín. Výskumníci tu ponúkajú aktuálne informácie o činnosti kybernetickej špionážnej skupiny OilRig, najnovšie informácie o zneužívaní zraniteľnosti ProxyShell v reálnom prostredí a prehľad nových spearphishingových kampaní neslávne známej kybernetickej špionážnej skupiny The Dukes.
Ako je už zvykom, aj tentoraz výskumníci spoločnosti ESET využili viacero príležitostí podeliť sa o svoje odborné znalosti na rôznych virtuálnych podujatiach. Vystúpili na konferenciách Virus Bulletin 2021, CyberWarCon 2021, SecTor 2021, AVAR 2021 Virtual a ďalších. V najbližších mesiacoch sa uskutočnia hneď dve udalosti, na ktoré vás s radosťou pozývame, a to naša prednáška na podujatí SeQCure v apríli 2022 a konferencia RSA v júni 2022, kde budeme prezentovať nedávny objav bootkitu ESPecter.
Príjemné čítanie, zostaňte zdraví a v bezpečí!
ESET Threat Report
Stiahnite si celú správu ESET Threat Report T2 2021 v angličtine.