NTT Ltd., światowy lider w dziedzinie usług technologicznych, opublikował swój Globalny raport o zagrożeniach 2021 (GTIR), w którym ujawnia, w jaki sposób hakerzy wykorzystują globalną destabilizację, biorąc na cel podstawowe gałęzie przemysłu i typowe podatności związane z przejściem na pracę zdalną. Wzrost liczby ataków odnotowano w sektorach opieki zdrowotnej, produkcji i finansów (odpowiednio o 200%, 300% i 53%), a te trzy sektory były łącznie celem 62% wszystkich ataków w 2020 r., co oznacza wzrost o 11% w porównaniu z 2019 r.

W sytuacji, gdy firmy starają się jak najprędzej zaoferować bardziej wirtualny, zdalny dostęp za pośrednictwem portali dla klientów, gwałtownie wzrosła liczba ataków specyficznych dla aplikacji oraz ataków na aplikacje webowe. Jest ich obecnie ponad dwukrotnie więcej niż dwa lata temu i stanowią 67% ogółu ataków. Ataki te były najbardziej dotkliwe w sektorze ochrony zdrowia, który przestawił się na telemedycynę i teleopiekę. 97% wszystkich wrogich działań przeciwko tej branży stanowiły ataki na aplikacje webowe lub ataki specyficzne dla aplikacji.

Raport GTIR zawiera informacje opracowane przez NTT Cybersecurity Advisory, panel ekspertów oceniających dojrzałość programów bezpieczeństwa w różnych branżach. Wyższa ocena punktowa oznacza dojrzalszy plan działania. Niestety sektory ochrony zdrowia i produkcji mają stosunkowo niskie oceny dojrzałości – jest to zaledwie 1,02 i 1,21. Ich notowania pogorszyły się od 2019 r., kiedy wynosiły odpowiednio 1,12 i 1,32, a tymczasem ilość ataków znacząco wzrosła. Ocena w sektorze produkcji pogarsza się od trzech lat, najprawdopodobniej ze względu na zmiany warunków prowadzenia działalności oraz ewolucję ataków. Natomiast sektor finansów już trzeci rok z rzędu uzyskał najwyższą ocenę dojrzałości, tym razem było to 1,84, co jednak oznacza spadek o 0,02 w porównaniu z ubiegłym rokiem.

 

Kazu Yozawa, dyrektor generalny działu bezpieczeństwa w NTT, powiedział: „W ubiegłym roku przewidzieliśmy nasilenie celowanych ataków i niestety mieliśmy rację. Choć atakowane branże starały się ze wszystkich sił podtrzymywać niezbędne usługi w tym trudnym czasie, pogarszanie się standardów bezpieczeństwa w firmach w momencie, gdy są one najbardziej potrzebne, to bardzo zły znak. Kiedy usługi przenoszą się do internetu i ulegają postępującej cyfryzacji, żeby sprostać nowej rzeczywistości, organizacje muszą zachować wyjątkową czujność, stosując i utrzymując najlepsze praktyki w dziedzinie zabezpieczeń.”

 

Malware przechodzi metamorfozę: na znaczeniu zyskują wirusy kopiące kryptowaluty, rozpowszechniają się trojany

Złośliwe oprogramowanie jest coraz bardziej utowarowione pod względem cech i funkcji. Jednocześnie w ciągu ostatniego roku, wraz z nastaniem malware wielofunkcyjnego, stało się bardziej zróżnicowane. Oprogramowanie szpiegowskie straciło na światowej popularności na rzecz koparek kryptowalut, choć nadal pojawiają się nowe pomysły na wykorzystywanie niektórych wariantów malware przeciwko określonym branżom. Robaki spotykano najczęściej w sektorach finansów i produkcji. Sektor ochrony zdrowia był atakowany przez trojany wykorzystujące dostęp zdalny, a branża technologiczna padała ofiarą ransomware.  Sektor edukacji był eksploatowany przez koparki kryptowalut ze względu na wzrost popularności „kopania” wśród studentów, którzy wykorzystują niezabezpieczoną infrastrukturę.

Doskonałym przykładem jest tu rynek kryptowalut, gdzie koparki kryptowalut stanowiły w 2020 r. aż 41% ogółu wykrytego złośliwego oprogramowania. Najbardziej rozpowszechnionym wariantem była koparka XMRig, która odpowiadała za niemal 82% aktywności wszystkich koparek walut ogółem, a w regionie EMEA za prawie 99%.

 

Mark Thomas, kierujący Global Threat Intelligence Center w NTT, komentuje: „Z jednej strony agresorzy wykorzystują ogólnoświatową katastrofę, a z drugiej strony cyberprzestępcy korzystają na bezprecedensowym boomie rynkowym. Wspólnymi wątkami przewijającymi się w obu tych zjawiskach są nieprzewidywalność i ryzyko. Zmiany modeli działania i wdrażanie nowych technologii stwarzają okazję dla przestępców, a przy rosnącej popularności dynamicznie rosnącego rynku kryptowalut wśród niedoświadczonych studentów ataki są nieuchronne. W miarę stabilizowania się sytuacji pandemicznej, zarówno organizacje, jak i jednostki muszą postawić sobie jako priorytet higienę cyberbezpieczeństwa we wszystkich branżach, nie zapominając o łańcuchu dostaw.”

 

Więcej ciekawych informacji z raportu GTIR 2021:

  • Udział ataków w sektorze produkcji wzrósł z 7% w ubiegłym roku do 22%; w ochronie zdrowia z 7% do 17%; w sektorze finansów z 15% do 23%.
  • Organizacje z wielu różnych branż padły ofiarą ataków związanych ze szczepionką przeciwko COVID-19 i jej łańcuchami dostaw.
  • Nasilił się oportunizm cyberprzestępców w związku z COVID-19. Bardzo aktywne były w 2020 r. takie grupy jak Ozie Team, Agent Tesla i TA505, a także grupy sponsorowane przez władze państwowe, m.in. Vicious Panda, Mustang Panda czy Cozy Bear.
  • Najczęściej spotykanymi formami malware w 2020 r. były koparki (41%); trojany (26%); robaki (10%) i ransomware (6%).
  • Koparki kryptowalut zdominowały aktywność w Europie, na Bliskim Wschodzie i w Afryce (region EMEA), a także w Ameryce Północnej i Południowej, natomiast w Azji i krajach Pacyfiku (APAC) spotykano je stosunkowo rzadko.
  • W obu Amerykach najczęściej atakowaną technologią był OpenSSL, podczas gdy w krajach APAC nie znalazł się on nawet w pierwszej dziesiątce celów ataków.
  • W konsekwencji wyroku w sprawie Schrems II podważone zostały zasady działania Tarczy Prywatności UE-USA, a organizacje przekazujące dane osobowe z UE do krajów trzecich zostały obarczone dodatkowymi obowiązkami.
  • Badania przeprowadzone przez NTT wskazują, że 50% organizacji na świecie podchodzi priorytetowo do zabezpieczenia usług świadczonych w chmurze, czyniąc to zagadnienie najważniejszym kierunkiem w zakresie cyberbezpieczeństwa na okres najbliższych 18 miesięcy.

 

Dane w ujęciu regionalnym

Ameryka Północna i Południowa:

  • W obu Amerykach najczęściej atakowaną technologią był OpenSSL, podczas gdy w krajach APAC nie znalazł się on nawet w pierwszej dziesiątce celów ataków.
  • Ofiarą ataków w tym regionie najczęściej padały przedsiębiorstwa z branży usług dla biznesu i zawodów regulowanych, stanowiące aż 26% celów.
  • W Stanach Zjednoczonych odnotowano dwa najwyższe wskaźniki działalności szpiegowskiej ze wszystkich analizowanych krajów:
  • około 64% wrogiej aktywności przeciwko branży technologicznej stanowiło pewną formę szpiegostwa.
  • W branży edukacyjnej wskaźnik ten wyniósł 58%.
  • 8% wszystkich ataków w Ameryce Północnej i Południowej sklasyfikowano jako ataki typu DoS/DDoS, podczas gdy w regionie APAC było ich poniżej 4%, a w regionie EMEA zaledwie 1%.
  • XMRig był najczęściej wykrywanym złośliwym oprogramowaniem w obu Amerykach i w samych Stanach Zjednoczonych, stanowiąc 34% ogółu takiego oprogramowania.

 

Region EMEA:

  • 79% wszystkich ataków zarejestrowanych w regionie EMEA stanowiły łącznie ataki specyficzne dla aplikacji (42%) oraz ataki na aplikacje webowe (37%).
  • Najwyższy odsetek ataków w tych dwóch połączonych kategoriach spośród wszystkich analizowanych krajów odnotowano w Wielkiej Brytanii (91%).
  • Najczęściej atakowaną branżą w regionie EMEA była ochrona zdrowia.
  • Ataki na aplikacje webowe (62%) i ataki specyficzne dla aplikacji (36%) skierowane przeciwko opiece zdrowotnej w tym regionie stanowiły 98% ogółu wrogiej działalności w tym sektorze.  To o wiele więcej, niż wynosi średnia ogólnoświatowa (67%).
  • XMRig odpowiadał za niemal 99% aktywności wszystkich koparek kryptowalut w regionie EMEA i stanowił ponad 87% wykrytego złośliwego oprogramowania.
  • Na drugim miejscu pod względem częstości występowania w tym regionie znalazły się trojany.
  • W Zjednoczonym Królestwie i Irlandii 6 na 10 najczęściej obserwowanych złośliwych programów stanowiły różnego rodzaju trojany.

 

Region APAC, Australia i Nowa Zelandia:

  • W regionie APAC odnotowano ogromną różnorodność złośliwego oprogramowania, przy czym jednak 72% z tego stanowiły webshelle, botnety i wszelkiego rodzaju trojany. Choć najczęściej wykrywanym malware na świecie był XMRig, żaden kraj regionu APAC nie wykazał tej koparki w pierwszej dziesiątce.
  • Najbardziej atakowaną branżą w tym regionie były finanse (24%), a zaraz po nich produkcja (22%).
  • W Australii i Nowej Zelandii niemal połowa ataków była skierowana przeciwko branży finansowej (42%), a 24% ataków przeciwko sektorowi edukacji.
  • Dojrzałość branży opieki zdrowotnej w krajach APAC i Australii przejawiała poważne braki. Oceniono ją odpowiednio na 0,60 i 0,96, czyli poniżej ogólnoświatowej średniej wynoszącej 1,02. Największą lukę odnotowano w krajach APAC, którym brakuje 2,53 do stanu docelowego.
  • Sektor technologiczny cechował się większą dojrzałością (2,02) niż globalna średnia (1,64).

 

Informacje o firmie NTT Ltd.

NTT Ltd. to wiodący światowy dostawca usług technologicznych. Jesteśmy globalnym partnerem organizacji, które chcą odnosić sukcesy dzięki inteligentnym rozwiązaniom technologicznym. Dla nas inteligencja w tym kontekście oznacza rozwiązania oparte na danych, połączone, cyfrowe i bezpieczne. Nasze globalne zasoby i zintegrowane możliwości informacyjno-komunikacyjne zapewniają unikalną ofertę w zakresie sieci w chmurze, chmury hybrydowej, centrów danych, transformacji cyfrowej, doświadczenia klienta, miejsca pracy i bezpieczeństwa cybernetycznego. Jako globalny dostawca technologii informacyjno-komunikacyjnych zatrudniamy ponad 40 tys. osób w ramach zróżnicowanego i dynamicznego miejsca pracy, które obejmuje 57 krajów. Prowadzimy działalność handlową w 73 krajach i świadczymy usługi w ponad 200 krajach i regionach. Wspólnie tworzymy połączoną przyszłość.

 

 

Metodologia opracowania globalnego raportu o zagrożeniach (GTIR)

Globalny raport o zagrożeniach 2021 zawiera ogólnoświatowe dane o atakach zgromadzone w okresie od 1 stycznia do 31 grudnia 2020 r. Analiza oparta została na danych dotyczących logów, zdarzeń, ataków, incydentów i podatności otrzymywanych od klientów, a także pochodzących z ogólnoświatowej sieci pułapek honeypot należącej do NTT.   W Raporcie uwzględniono dane otrzymane od podległych jednostek operacyjnych NTT, takich jak Cybersecurity Advisory i WhiteHat Security, a także z ogólnoświatowych badań pierwotnych.