Cisco 2015 Midyear Security Report - najważniejsze wnioski:

• Angler: niezwykle skuteczny zestaw eksploitów. Angler to obecnie jeden z najbardziej zaawansowanych i najczęściej stosowanych zestawów eksploitów. W innowacyjny sposób wykorzystuje podatności w oprogramowaniu Flash, Java, Internet Explorer czy Silverlight. Ofiarami tego zestawu pada 40 proc. użytkowników, którzy natkną się na zainfekowaną jego złośliwym kodem stronę internetową. Angler identyfikuje i wykorzystuje znane podatności w oprogramowaniu Flash (i innym), a następnie instaluje złośliwy kod na urządzeniu użytkownika. Dla porównania, zestawy eksploitów popularne wśród cyberprzestępców w poprzednich latach były skuteczne średnio w 20 proc. przypadków. Angler jest też trudniejszy do wykrycia niż starsze zestawy eksploitów, często wykorzystuje bowiem tzw. domeny – cienie.

• Rekordowo niebezpieczny Flash. Raport Cisco wskazuje na wzrost wykorzystania przez zestawy eksploitów, takie jak Angler czy Nuclear, podatności w oprogramowaniu Adobe Flash Player. Wynika to głównie z braku automatyzacji w instalowaniu aktualizacji oraz zwlekania przez użytkowników z ich instalowaniem. W pierwszej połowie 2015 r. odnotowano o 66 proc. więcej podatności we Flash Playerze niż w całym 2014 r. Jeśli to tempo się utrzyma, bieżący rok ustanowi niechlubny rekord w liczbie zarejestrowanych podatności we Flashu.

• Ewolucja technik „cyfrowego okupu”. Ransomware (ang. ransom – okup) pozostaje dla hakerów wysoce lukratywnym narzędziem. Nieustannie tworzą oni jego nowe warianty, a ich celem są w tym przypadku dane użytkowników, od plików z danymi finansowymi po zdjęcia rodzinne. Dane te są szyfrowane, a klucze do ich rozszyfrowania udostępniane są, dopiero gdy użytkownik zapłaci „okup”. Działalność tego typu została dopracowana do tego stopnia, że obecnie jest w pełni zautomatyzowana i prowadzona w tzw. sieci głębokiej, zwanej też siecią ukrytą bądź ciemną (ang. the dark web). Aby dodatkowo uchronić ją przed wykryciem przez organa ścigania, okupy są płacone w kryptowalucie, np. bitcoinach. Użytkownicy mogą zapobiegać tego typu atakom, wykonując kopie zapasowe plików i przechowując je w odizolowaniu.

• Błyskawiczne kampanie spamerskie wykorzystujące trojana Dridex. Popularność wśród cyberprzestępców w pierwszej połowie 2015 r. zyskało podejście łączące trojana Dridex ze spamem oraz makrami pakietu Microsoft Office. Makra były popularnym przed laty narzędziem wykorzystywanym przez cyberprzestępców, jednak z czasem stały się mniej użyteczne, zostały bowiem wyłączone w ustawieniach domyślnych. Obecnie, wykorzystując techniki inżynierii społecznej, cyberprzestępcy mogą przekonywać użytkowników do włączania makr. Ataki spamerskie rozsyłające zainfekowane treści z wykorzystaniem trojana Dridex są krótkotrwałe (czasami cała taka kampania może trwać kilka godzin), co w połączeniu z częstymi mutacjami czyni je trudnymi do wykrycia. Rozwiązania antywirusowe, choć spełniają swoją rolę w wielu sytuacjach, nie są jednak przystosowane do radzenia sobie z takimi krótkimi kampaniami spamerskimi.

Wygląda na to, że pojedynek na innowacyjność pomiędzy cyberprzestępcami a dostawcami rozwiązań zabezpieczających nabiera intensywności. Raport wskazuje na krytyczną potrzebę redukcji – z miesięcy do godzin – czasu wykrywania naruszeń bezpieczeństwa i usuwania skutków coraz bardziej zaawansowanych cyberataków.

Czytaj także: Trzęsienie ziemi i 2 miliony dolarów w prezencie, czyli o spamie w II kwartale 2015 r.