Cyberprzestępcy jak służby specjalne, brak wystarczających środków dla specjalistów i giełdy kryptowalut jako cel ataków – trendy cybersec 2024

Jak wynika z danych ComCERT z Grupy Asseco, liczba cyberataków wzrosła średnio o 25 proc. r/r. Mimo że grupy przestępcze są coraz lepiej zorganizowane, posiadają coraz lepsze narzędzia i większe budżety, indywidualni cyberprzestępcy odpowiadali aż za 75 proc. naruszeń bezpieczeństwa. W 2023 roku najczęściej występującymi zagrożeniami były phishing, ransomware i DDoS. Odnotowano również wzrost liczby ataków na łańcuchy dostaw i infrastrukturę krytyczną. Częstym celem cyberprzestępców były organizacje z sektora publicznego, opieki zdrowotnej, finansów, a także firmy technologiczne. Istotnym wektorem ataków były błędy konfiguracyjne i podatności w oprogramowaniu.

Eksperci ComCERT z Grupy Asseco zwracają uwagę na fakt, że liczba znanych podatności (ang. Common Vulnerabilities and Exposures) rośnie rok do roku. Według danych z platformy Statista w 2021 r. odnotowano 22514 CVE, rok wcześniej było ich 20171. To przekłada się na coraz większą liczbę ataków, gdyż cyberprzestępcy wykorzystują podatności, aby przełamać zabezpieczenia i uzyskać dostęp do zasobów użytkowników. Nie bez znaczenia jest także postępująca cyfryzacja, która obejmuje coraz więcej ludzi i procesów. Dotyczy to zarówno obywatela, rynku, jak i administracji państwowej. Mając na uwadze skalę tego zjawiska, należy przyjąć, że zawsze znajdzie się nieostrożny użytkownik lub źle zabezpieczone urządzenie, które umożliwi przeprowadzenie skutecznego ataku. Cyberprzestępcy i stworzone przez nich boty nie ustają w wysiłkach, aby znaleźć „słabe punkty” (ang. backdoor), które można wykorzystać.

Najważniejsze trendy w obszarze cyberbezpieczeństwa według ekspertów ComCERT, z Grupy Asseco:

1. Profesjonalizacja grup przestępczych – Mimo że większość ataków przeprowadzają indywidualni cyberprzestępcy, to zorganizowane grupy będą rosły w siłę. Według Krzysztofa Dyki, Prezesa ComCERT z Grupy Asseco, staną się jeszcze bardziej profesjonalne, a sposoby ich działania upodobnią je do sił specjalnych. Świadczy o tym m.in. fakt, że chcąc uniknąć wykrycia przez organy ścigania, grupy przestępcze tworzą własne, autorskie systemy komunikacji oraz inne specjalistyczne i zaawansowane narzędzia. Ponieważ nie są one powszechnie dostępne, w przeciwieństwie do aplikacji, takich jak Signal czy Telegram, trudno jest je zinwigilować. Ponadto Prezes ComCERT zwraca uwagę na konsolidację grup cyberprzestępczych. Polega ona na wchłanianiu słabszych organizacji przez silniejsze i bardziej rozbudowane, które kuszą swoim prestiżem i wizją większych zysków z nielegalnej działalności.
2. Ataki na łańcuchy dostaw – Ponieważ duże organizacje posiadają budżety, zasoby i wiedzę umożliwiające im lepszą obronę przed atakami, cyberprzestępcy coraz częściej biorą za cel mniejsze, gorzej zabezpieczone podmioty np. dostawców usług. Celem tych ataków jest infiltracja, która pozwala przejąć kontrolę nad procesami technologicznymi realizowanymi na rzecz klienta końcowego, który jest właściwą ofiarą. Zdaniem Prezesa ComCERT z Grupy Asseco jest to szczególnie niebezpieczny rodzaj zagrożeń, gdyż organizacje często nawet nie zdają sobie sprawy, że np. oprogramowanie, które oferują swoim klientom, zostało zainfekowane na jakimś etapie produkcji. Dzieje się to poprzez umieszczenie wirusa lub modułu zdalnej komunikacji, w którymś z komponentów dostarczonych przez dotychczas zaufanego partnera.
3. Cyberprzestępcze R&D – W przeszłości cyberprzestępcy, podobnie jak firmy technologiczne, tworzyli oprogramowanie, korzystając w dużej mierze z rozwiązań open source. Dziś coraz częściej piszą własne protokoły transmisji, algorytmy szyfrowania i kompresji, które są bardziej efektywne niż te dostępne na rynku i trudniej je przeanalizować oprogramowaniu antywirusowemu. Jak podkreśla Krzysztof Dyki zdekodowanie autorskich protokołów, opracowanych przez grupy cyberprzestępcze jest trudne i czasochłonne. Największe z nich przeznaczają na badania i rozwój środki zbliżone do tych, jakimi dysponują profesjonalne firmy informatyczne.
4. Kryptogiełdy celem ataków – Jak zauważa ekspert ComCERT z Grupy Asseco, cyberprzestępcom coraz mniej opłaca się brać za cel klasyczne instytucje finansowe np. banki, gdyż od momentu ataku, do uzyskania środków często mija dużo czasu. Wynika to m.in. z faktu, że wiele procesów w bankach wciąż jest analogowych. Dużo łatwiej i szybciej można wzbogacić się atakując giełdy kryptowalut, które w całości polegają na procesach cyfrowych. Przykład stanowi atak na platformę Ronin Network w 2022 r., w wyniku którego skradziono 620 milionów dolarów.
5. Rosnąca przepaść między wynagrodzeniami specjalistów ds. cyberbezpieczeństwa, a zarobkami cyberprzestępców – Jak wynika z danych ujawnionych przez The Register, miesięczne wynagrodzenie dewelopera hakera wynosi 20 tys. dolarów netto. Według Krzysztofa Dyki jest to kwota, której specjaliście nie jest w stanie zagwarantować firma działająca legalnie. Ekspert ComCERT z Grupy Asseco zwraca uwagę na to, że zarobki specjalistów ds. cyberbezpieczeństwa rosną r/r, natomiast kwoty, jakie można pozyskać w wyniku nielegalnej działalności, są o wiele wyższe. Pieniądze nie stanowią jednak jedynego motywatora cyberprzestępców. Osoby te posiadają również określone predyspozycje osobowościowe. Cyberprzestępcy często odrzucają normy funkcjonujące w społeczeństwie, cechuje ich antysystemowość, niechęć względem korporacji i instytucji państwowych. Tylko skuteczna identyfikacja tych osób na wczesnym etapie ich działalności, stworzenie odpowiednich warunków do rozwoju i uczciwej pracy pozwoli odpowiednio je ukierunkować, tak aby przyczyniały się do zwiększania bezpieczeństwa świata cyfrowego, a nie jego destabilizacji.