Analitycy cyberbezpieczeństwa: To będzie niebezpieczny rok

Cybercrime-as-a-Service, wzrost liczby ataków ransomware, sztuczna inteligencja w roli zarówno pomocnika hackerów, jak i specjalistów cyberbezpieczeństwa, możliwe pożegnanie z hasłami – takie są zapowiedzi ekspertów co do zagrożeń cyberbezpieczeństwa w 2024 roku.

FortiGuard Labs opublikował raport dotyczący prognoz zagrożeń na rok 2024. Jak uważają eksperci, w przyszłym roku znacznie rozwinie się usługowy model działania przestępczości Cybercrime-as-a-Service (CaaS). Przestępcy skupią się, wobec coraz bardziej rozwiniętej działalności usługowej w Dark Web, na wykorzystaniu możliwości rozbudowy zestawów narzędziowych do prowadzenia wyrafinowanych ataków na infrastrukturę czy serwery. Ataki te staną się coraz lepiej ukierunkowane i naśladujące zwykłe „błędy” lub zawieszenia usług, tak by możliwe było ominięcie zaawansowanych mechanizmów kontroli bezpieczeństwa.

Według ekspertów Fortinet zmieni się także profil ataku ponieważ przybywa cyberprzestępców prowadzących ataki ransomware (mających opinię najbardziej wydajnych). Zorganizowane gangi rzadziej będą się interesowały mniejszymi, łatwiejszymi do zaatakowania celami i docelowo przyjmą podejście „idź na całość lub odpuść sobie” skupiając się na podmiotach z branży infrastruktury krytycznej (takich jak ochrona zdrowia, finanse, transport i usługi użyteczności publicznej), których zaatakowanie miałoby negatywny wpływ na społeczeństwo, co zwiększy prawdopodobieństwo wypłaty okupu. Ataki te staną się przy tym bardziej destrukcyjne i agresywne.

Coraz więcej będzie też ataków „Zero Day” i penetracji nowych luk w zabezpieczeniach (CVE). Eksperci spodziewają się wyłonienia się w ramach usług Cybercrime-as-a-Service brokerów narzędzi umożliwiających ataki „Zero Day”, które zaczną być sprzedawane w Dark Webie. Z drugiej strony atakujący już teraz mają coraz większe problemy z celnymi atakami z zewnątrz, prawdopodobnie więc będą się starali przekupić pracowników firm, żeby łatwiej uzyskiwać dostęp do ich infrastruktury i w sposób mniej zauważalny wprowadzać różnego typu malware do firmowej sieci.

Rok 2024 przyniesie też ataki zwane okolicznościowymi, polegające na „dowiązaniu” się cyberprzestępców do ważnych wydarzeń polityczno-społecznych. Takimi będą Letnie Igrzyska Olimpijskie w Paryżu czy listopadowe wybory prezydenta USA. W tym wspomoże ich sztuczna inteligencja generująca treści w różnych językach w wiadomościach phishingowych, które będzie trudniej odróżnić od rzeczywistych informacji.

Problemem staną się także ataki na najnowocześniejszą infrastrukturę telekomunikacyjną 5G, nie tylko po to, by zakłócić łączność, ale także by zakłócić wszystkie usługi z tymi standardami związane. Tu warto wspomnieć, że analitycy wywiadu brytyjskiego przewidują ataki aktorów państwowych, takich jak Rosja, Iran i Chiny, które mają wprowadzić chaos na Zachodzie i są pośrednio związane ze wsparciem Rosji w wojnie w Ukrainie. Zagrożone bowiem będą branże krytyczne takie jak przemysł naftowy i gazowy, transport, bezpieczeństwo publiczne, finanse i ochrona zdrowia.

Swój raport wydała także firma bezpieczeństwa Veeam – Veeam RansomwareTrends Report 2023, poświęcony głównie atakom ransomware, jako stanowiącym obecnie największe zagrożenie. Jak stwierdza raport w ostatnim roku odsetek firm dotkniętych atakiem ransomware wzrósł aż o 9 pp. (z 76% do 85%). Jako, że podobnie jak Fortinet także analitycy Veeam uważają, że Dark Web jest już rodzajem przestępczej korporacji oferującej różnego typu usługi, także i tu przewidywany jest rozwój narzędzi różnego typu, ale także i deweloperów, niejednokrotnie projektujących je pod kolejne zamówienia. Wzrost liczby przestępców spowoduje także, iż w przyszłym roku zagrożenia zaczną dotyczyć zwykłych użytkowników.

Zagrożeniem będą treści generowane przez sztuczną inteligencję – może dojść do tego, że nawet osobom posiadającym wiedzę z zakresu cyberzagrożeń trudno je będzie odróżnić od prawdziwych. W efekcie we wszystkich firmach zacznie być wprowadzane podejście zero trust, które zakłada, że każdy użytkownik potencjalnie może stanowić zagrożenie. Ze względu na powszechność deepfake, kluczowa stanie się edukacja użytkowników, którzy będą musieli zyskać nowe kompetencje związane np. z weryfikowaniem źródeł.

Według Veeam bardzo istotna, tym razem dla firm, stanie się unijna dyrektywa NIS2, która będzie obowiązywała od przyszłego roku. Wprowadza ona bowiem obowiązek informowania o incydentach, tak by nie dopuścić do sytuacji kiedy „z powodu zachowania dobrego imienia firmy” są one ukrywane. Oznacza to, że każda firma będzie musiała zapewnić zgodną z dyrektywą obsługę incydentów, opracować i wdrożyć procedury przywrócenia działania, odtworzenia danych oraz bezpiecznego powtórnego uruchomienia infrastruktury.

„Firmy objęte dyrektywą będą też musiały zagwarantować, że cały ich łańcuch dostaw jest odpowiednio zabezpieczony – przepisy obejmą więc bardzo wiele podmiotów, także te współpracujące z wymienionymi w dyrektywie. Odpowiedzialność za dopełnienie obowiązków spoczywać będzie na kadrze kierowniczej, co może być dodatkowym bodźcem do zwracania większej uwagi na kwestie cyberbezpieczeństwa i ochrony danych” – stwierdza Andrzej Niziołek, dyrektor regionalny na Europę Środkowo-Wschodnią w Veeam.

Z kolei według analityków Sophos ransomware stanie się w 2024 roku dosłownie zmorą firm i użytkowników na całym świecie. Chester Wisniewski z Sophos przewiduje, że w 2024 r. rządy z całego świata zaczną walkę z generującą ogromne straty „epidemią ransomware”. Przyczyną będą naciski na rządy ze strony biznesu, a także zwykłych ludzi ponoszących ogromne straty wskutek tych ataków. Niewykluczone, że w niektórych krajach płacenie okupu przestępcom rozsyłającym ransomware stanie się nielegalne.

Z drugiej strony hackerzy zastosują także nowe techniki, jak np. wykorzystywanie serwerów proxy. Poprzez ich przejmowanie przestępcy będą mogli niezauważalnie przekierowywać ruch użytkowników przez spreparowane serwery umożliwiające im przechwycenie cennych danych, np. loginów i haseł dostępu. Tego typu działania podejmowały już duże grupy przestępcze jak LAPSU$ i Scattered Spider. To że im się powiodło, przynajmniej częściowo i nie zostały rozbite, spowoduje że na pewno znajdą następców.

„Poziom bezpieczeństwa firm znacząco wzrasta gdyż coraz więcej przedsiębiorstw stosuje uwierzytelnianie wieloskładnikowe. Jednocześnie jest to powód, dla którego cyberprzestępcy zaczęli opracowywać nowe metody, takie jak kradzież plików cookie. Tym samym firmy były – i wciąż będą – narażone na całą gamę zagrożeń. Od ataków socjotechnicznych mających na celu wyłudzenie loginów, przez masowe wysyłanie powiadomień z prośbą o przyznanie dostępu do zasobów, po wspomniane przejmowanie plików cookie” – zauważa Chester Wisniewski. Jak dodaje, AI nie tylko będzie działać w interesie przestępców, ale także zostanie „zaprzęgnięta” do pracy w zespołach cyberbezpieczeństwa, co sprawi że łatwiej będzie ochronić infrastrukturę firmową.

Innym działaniem o wysokim stopniu prawdopodobieństwa jest rozpowszechnianie kluczy dostępu w miejsce haseł. Nie są one bowiem doskonałym rozwiązaniem, ich wyłudzanie przy pomocy różnego typu socjotechnik jest wciąż bardzo często stosowane. Z kolei stosowanie kluczy dostępu pozwala na logowanie przy pomocy biometrii, np. zainstalowanej na notebooku. Inną techniką może być wykorzystanie certyfikatów PKI przywiązanych do właściciela. Według analityków Sophos wszystkie te techniki będą wymagały jednego – by nie zajmować głowy użytkownika zbyt złożonymi procesami i instrukcjami. W efekcie konieczna będzie automatyzacja i upraszczanie złożonych procesów jak aktualizacji oprogramowania.