Rio 2016 - Wzmożona aktywność cyberprzestępców

Jak ujawnia raport Fortinet, w Brazylii wzrosła skala ataków z wykorzystaniem złośliwego oprogramowania i liczba ataków typu phishing. W czerwcu wzrost procentowy ataków w tym kraju był większy w trzech z czterech kategorii uwzględnionych w raporcie niż wzrost odnotowany na świecie. Największy stwierdzono w kategorii adresów URL ze szkodliwym kodem - wyniósł on 83 proc. w Brazylii wobec 16 proc. dla reszty świata.

Wraz z trwającymi igrzyskami olimpijskimi w Rio de Janeiro intensywność ataków nie ustanie. Zespół FortiGuard dostrzegł szczególnie często stosowane przez cyberprzestępców techniki, np. bliźniaczo podobne fałszywe domeny służące do wyłudzania płatności oraz strony internetowe ze szkodliwym kodem czy zainfekowane adresy URL ukierunkowane na organizatorów igrzysk i przedstawicieli administracji państwowej.Wzrost intensywności cyberataków podczas igrzysk olimpijskich nie jest niczym nowym. Zespół FortiGuard wykrył podobną tendencję już przy okazji igrzysk w Atenach w 2004 r.

Imitowanie zachowań pracowników i coraz więcej phishingu

Analitycy dostrzegają powrót znanych już zagrożeń i wektorów ataków, a także utrzymującą się aktywność zagrożeń, takich jak Conficker i oprogramowanie typu ransomware w zaktualizowanych wariantach. Dane telemetryczne i badania dowodzą, że dwa najpowszechniejsze „nośniki” ataków to fałszywe wiadomości e-mail i zainfekowane strony internetowe.

W ciągu ostatnich trzech miesięcy wzrosła częstotliwość stosowania pewnej wyrafinowanej metody, pomagającej przestępcom pozostać wewnątrz zaatakowanego systemu. „Behavior blending” (pol. dopasowywanie zachowań) to technika, dzięki której przestępcy mogą niejako wtopić się w zainfekowaną sieć. Polega ona na tym, że atakujący firmową sieć może uniknąć wykrycia przez imitowanie zachowań pracownika. Metoda ta ma spory potencjał i eksperci spodziewają się, że będzie ona stosowana coraz częściej. Cyberprzestępcy stale opracowują nowe, lepsze narzędzia, ułatwiające im naśladowanie zachowań prawdziwych użytkowników.

Globalna aktywność w obszarze phishingu utrzymuje się na wysokim poziomie, a w okresie od kwietnia do czerwca tego roku wzrosła o 76 proc. Cztery główne krajowe kody domen, z których pochodziły ataki phishing w II kwartale 2016 r. przynależą do Brazylii, Kolumbii, Rosji oraz Indii. Co ciekawe eksperci odnotowali wysokie wykorzystanie przez cyberprzestępców domeny .tk przypisanej do znajdującego się w Oceanii archipelagu Tokelau. Analitycy zauważyli też, że w domenach i adresach URL używanych do phishingu pojawia się szereg nazw dużych instytucji finansowych.

Popularne zestawy eksploitów, złośliwe oprogramowanie i botnety

W trakcie badania stwierdzono niewielki wzrost wykorzystania zestawów eksploitów opartych na kodzie JavaScript, przy czym zainfekowane adresy URL były używane do pobierania oprogramowania ransomware w pierwszym etapie ataku. Widać, że przestępcy stopniowo odchodzą od zestawu eksploitów o nazwie Angler na rzecz zestawów Fiesta i Neutrino, które pojawiają się nieprzerwanie wśród dziesięciu najpopularniejszych zestawów eksploitów na świecie w rankingach FortiGuard.

W trakcie ostatnich trzech miesięcy w skali globalnej dominowała rodzina złośliwego oprogramowania JS/Nemucod. Jest ona obecnie najbardziej aktywnym instrumentem służącym do pobierania ransomware, przy czym należy zwrócić uwagę na ogólny znaczny wzrost intensywności ataków tego typu. Dane telemetryczne dowodzą również, że wzrasta aktywność i intensywność komunikacji w botnetach; spośród czołowej dziesiątki warto wspomnieć o botnetach rozpowszechniających ransomware Locky i Cryptowall.

Dane do raportu zespołu FortiGuard zostały zebrane z ponad dwóch milionów urządzeń, chroniących ponad 280 000 klientów Fortinet na całym świecie.