Tavaly közzétettünk egy statisztikákkal megtűzdelt bejegyzést arról, milyen módon használják ki a világjárvány generálta félelmet és káoszt a kiberbűnözők, hogy sikeres támadásokat hajtsanak végre világszerte. Itt olvasható. Most megjelentek a Trend Micro elemzőcsapatának legfrissebb kutatási adatai arról, miként lovagolták meg a vírusjárvány második hullámát a rosszindulatú hackerek, milyen támadási kísérletekkel igyekeztek megtéveszteni áldozataikat.

Még mindig itt van velünk

Bár 2020-at már magunk mögött hagytuk, a világjárványtól sajnos nem sikerült megszabadulnunk, továbbra is hatalmas zavart okoz a vállalkozások mindennapi életében. Az üzleti műveletek fenntarthatósága miatt - a távoli munkavégzés mellett - a felhő alapú megoldások használata átlagosan 35%-kal növekedett a céges környezetekben, 2019-hez képest. Ez a szám várhatóan tovább növekszik majd a közeljövőben, hiszen a Cloud, mint megoldás, a digitális átalakulás középpontjába került.

A támadók rutinosan alkalmazkodtak a helyzethez és egyre összetettebb, bonyolultabb támadási technikákat vetettek be, ám ezeket a jól bevált módszerekbe csomagolták. Így továbbra is vezető szerephez jutottak az e-mail üzenetekben érkező támadások: Phishing, Malspam, Social Engineering, Malware vagy BEC.

A következő kimutatásokat és adatokat a Trend Micro Cloud App Security segítségével publikálta a gyártó. Ehhez különböző üzleti területen tevékenykedő és eltérő méretű cégek adatait dolgozták fel, anonim módon.

A COVID-19, mint eszköz, minden téren

Mint azt korábban már megírtuk, 2020 január és június között közel 9 millió, a COVID-19-hez kapcsolódó fenyegetést észleltek, azonban év végére már több mint 16,7 millió magas kockázatú e-mail fenyegetést detektált és blokkolt sikeresen a Trend Micro API eszköze, amelyet a Microsoft M365 második védelmi rétegeként integráltak a céges környezetekbe. Az összegző statisztikából megállapítható, hogy a támadások intenzitása növekedett, de az összetett BEC támadások száma a teljes évet figyelembe véve valamelyest csökkent. Eközben az adathalászat mértéke is érezhetően megnőtt. Az adathalászat és a megtévesztésre épülő támadások legnépszerűbb témája pedig egyértelműen a COVID-19.

A távmunka hétköznapivá válásával 50-60%-kal nőtt meg az internetszolgáltatók leterheltsége: csak Délkelet-Ázsiában több mint 40 millió ember használta életében először otthoni munkavégzésre az internetet. A home office-ra való átállással arányosan növekedett az igény a meetingek megvalósításához szükséges alkalmazások használatára, miközben a levelezés is elengedhetetlen részét képezte a munkavégzésnek, hiszen ezzel lehetett a leghatékonyabban megoldani a kapcsolattartást munkatársakkal, ügyfelekkel. Egy felmérés szerint a pandémia alatt már átlagosan napi 306,4 milliárd e-mailt küldtek és kaptak naponta a felhasználók. Sajnos az e-mailek túlnyomó része fertőzött volt, vagy rosszindulatú tartalommal érkezett.

Annak ellenére, hogy a felhős rendszerek és szolgáltatások rendelkeznek beépített fenyegetésészleléssel és blokkolási képességekkel, a Trend Micro CAS által szolgáltatott adatok azt mutatják, hogy több millió fenyegetésnek sikerült kicseleznie ezeket az integrált szűrőket.

A példa kedvéért a fenti képen jól látszik, hogy egy 10 ezer felhasználós környezetben, ahol M365 E3 integrált védelemmel rendelkezett az ügyfél és egy Cloud App Security is rendelkezésre állt második védelmi rétegként, kicsivel több mint 755 ezer magas kockázatú kártékony tartalommal rendelkező levél került blokkolásra 2020 január és december között. Ez egyébként felhasználónként körülbelül 75 kártékony levelet jelent, amelyeket az alap szűrési csomag natív védelmi szolgáltatása tisztának jelölt. Ezek alapján bizony érdemes megfontolni a rendszerekben a többrétegű védelem kialakítását, hogy sikerrel vehessük fel a harcot a támadókkal szemben.

Az adathalász támadások számának és kifinomultságának növekedése

2019-hez képest a 2020-as évben jelentős növekedést tapasztaltak az adathalász kampányok számában, amelyek a korábbi esetekhez képest kifinomultabbak, szofisztikáltabbak lettek és egyre inkább személyre szabottá váltak. Ezek a támadások jellemzően arra építenek, hogy a gyanútlan áldozatoktól egy jól felépített hamis oldalon keresztül céges belépési hitelesítő adatokat szerezzenek meg.

Csökkenő számú BEC támadások, növekvő veszteségekkel

A BEC támadások visszaesése valószínűleg a kifinomultabb technikáknak köszönhető. Bár az elmúlt évek növekedéséhez képest a BEC alapú támadások száma mostanában inkább csökkent, mégis ez a támadási forma okozta a legnagyobb veszteséget az áldozatoknál. A támadások számának csökkenésével párhuzamosan az okozott kár mértéke ugyanis növekedett az elmúlt évekhez képest. Az APWG (Anti-Phishing Working Group) nemrég tette közzé, hogy 2020 első felében egy sikeres BEC támadás átlagos költsége 54 000 USD volt, de 2020 második felére ez az összeg átlagosan legalább 80 183 USD veszteséget okozott egy sikeres támadás során. A Trend Micro publikálta, hogy 2020 során ők 317 575 BEC támadást blokkoltak összesen.

Népszerűbbek és összetettebbek lettek a rosszindulatú programok

A levelekben detektált és letiltott kártékony fájlok száma 16%-kal nőtt 2020-ban. Több, mint 1,1 millió rosszindulatú program észlelése alapján a Trend Micro azt a következtetést vonta le, hogy az ismert kártékony programok aránya 14%-kal, az ismeretlen kártékony kódok aránya pedig 17%-kal nőtt tavaly.

Összegzésül

Összességében elmondható, hogy az elmúlt évben az egészségügyi válságot nem csak az első hónapokban igyekeztek meglovagolni a támadók, hanem egész évben - kisebb-nagyobb intenzitás csökkenéssel, de - visszatértek hozzá. A BEC támadások száma csökkent, de a veszteségek ennek ellenére növekedtek a sikeres támadások által. Az elmúlt év tapasztalatai alapján elmondható az is, hogy a világjárvány idején - és még bőven azon is túl - az információbiztonságnak minden vállalkozás számára prioritást kellene élveznie, mérettől függetlenül. A vállalatok és szervezetek minden eddiginél jobban és sokkal nagyobb mértékben támaszkodnak a felhő alapú e-mail szolgáltatásokra és alkalmazásokra. A szervezeteknek mérettől függetlenül többrétegű biztonsági megoldásokkal érdemes tervezni, s megnövelni az integrált védelmi megoldások hatékonyságát a biztonság fokozása érdekében. Mindezt nem csak a levelezésnél, de a többi együttműködési platformon - például M365 Teams, Google Workspace stb. - esetében is.

Mire figyeljünk egy többrétegű védelem kiválasztása során?

Fontos, hogy a megoldások jövőbemutató technológiákat alkalmazhassanak. Így például:

• Gépi tanulási képességek az e-mail üzenet szövegtörzsének ellenőrzésekor vagy a mellékletben található gyanús tartalom ellenőrzésénél.
• Érdemes figyelni arra, hogy az integrált megoldás rendelkezzen saját Sandbox funkcióval, amely képes a fejlett és ismeretlen támadások ellen hatékonyabb védelmet nyújtani.
• A megoldásnak támogatnia kell a belső levelezés ellenőrzését, hogy a BEC támadásokat sikeresen észlelje és blokkolja.
• Támogassa és alkalmazza az optikai karakterfelismerési technikákat (OCR).
• Támogassa az adatszivárgás detektálást és tegye lehetővé a DLP házirendek kialakításának a lehetőségét.
• Legyen képes védelmet nyújtani az adatvesztéssel és a kártékony kódokkal szemben a felhő alapú fájlmegosztásokban (OneDrive, SharePoint, Google Drive, Dropbox stb.).
• Kínáljon zökkenőmentes integrációt a meglévő felhőalapú beállításokkal.
• Minimalizálja a további erőforrások bevonásának szükségességét, a fenyegetések kockázatának automatikus felmérésével.

Tavaly szeptemberben volt egy webinárunk, ahol arról beszéltem, hogyan védjük ki a támadásokat Microsoft 365 esetén. Ide kattintva elérheted a videót.