Nejčastější bezpečnostní rizika při práci na dálku

Zjištění analýzy internetového provozu za rok 2020 pomocí bezpečnostní platformy Cisco Umbrella, která denně zpracovává 620 miliard globálních DNS požadavků, upozorňují na kritickou potřebu ochrany před hrozbami na internetu bez ohledu na místo fungování zaměstnance.

"Příkladem škodlivé aktivity specifické pro rok 2020 je phishing spojený s tématem Covid-19. Pozorovatelným jevem nedávné doby je adaptace na novou architekturu M1 pro OSX adware. Významný dopad mělo také narušení infrastruktury EMOTET, což vidíme na datech z počátku roku 2021. Technologie vyvíjená v Cisco Cognitive Intelligence R&D centru v Praze využívá informace z podrobnější síťové telemetrie. Máme tak ještě více informací, než jaké jsou vidět v DNS provozu. Ty nám pak pomáhají lépe rozlišovat hrozby od legitimního provozu. Můžeme detekovat například njRAT nebo Sality," říká k trendům poslední doby Tomáš Macek, Research manager R&D centra společnosti Cisco.

Analýza internetového provozu zaznamenala nárůst počtu kybernetických útoků na vzdálené pracovníky a odhalila nové výzvy.

Z analýzy internetového provozu vyplývá:

Téměř v 90% organizací se vyskytl alespoň jeden uživatel, který se pokusil připojit k phishingové stránce, pravděpodobně kliknutím na odkaz v e-mailu, počet uživatelů přicházejících na phishingové stránky se mezi červnem a zářím zvýšil o 100%, což souviselo s nárůstem aktivity malwaru Emotet

V 70% firem se nacházel uživatel, kterému se zobrazovaly škodlivé reklamy v prohlížeči

48% organizací zaznamenalo aktivitu malwaru, jehož cílem byla krádež citlivých dat

51% společností narazilo na aktivitu související s ransomwarem

Procento uživatelů, kteří se setkali s kybernetickými hrozbami:

Phishing - 86%
Malvertising - 70%
Malicious Spam - 67%
Trojan - 65%
Ransomware - 51%
Information Stealer - 48%
Dropper - 23%
RAT - 14%
Botnet - 8%
Loader - 6%

Nedovolený kryptomining rostl s hodnotou kryptoměn

Nedovolený kryptomining byl nejfrekventovanější na začátku roku. Jeho znovu narůstající aktivita, kterou lze zaznamenat koncem roku, se překrývá se zvyšující hodnotou kryptoměn.

Jak se hodnota kryptoměn zvyšovala, rostla i četnost této aktivity.

Ransomware a velké rozdíly ve výkupném

Po většinu roku dominovaly dvě hrozby typu ransomware. Počínaje dubnem se počet počítačů ohrožených ransomwarem Sodinokibi (REvil) významně zvýšil a jeho aktivita nadále rostla až do podzimu. Toto zvýšení bylo natolik zásadní, že se s touto hrozbou setkalo 46% organizací.

Druhá hrozba typu ransomware - Ryuk - byla do značné míry zodpovědná za nárůst aktivity v listopadu a prosinci. Přesto počet koncových zařízení připojujících se k doménám spojeným s Ryukem zůstal po celý rok relativně nízký a konzistentní.

Sodinokibi má tendenci zasahovat velké množství koncových zařízení a vyžaduje menší výkupné, zatímco Ryuk kompromituje mnohem méně systémů a požaduje výrazně vyšší platby.

Phishing dominoval podzimním měsícům

DNS aktivita související s phishingem byla po celý rok poměrně stabilní, s výjimkou prosince, kdy kolem svátků došlo k nárůstu o 52%.

Pokud jde o počet koncových zařízení navštěvujících phishingové stránky, došlo během srpna a září k výraznému nárůstu.

Trojské koně se vyskytovali převážně na webových stránkách

Trojský kůň na tom byl s aktivitou na začátku roku podobně jako nedovolený kryptomining. Neuvěřitelně vysoký počet koncových zařízení připojujících se k webům, obsahující trojského koně, byl z velké části způsoben hrozbami Ursnif/Gozi a IcedID, o nichž je známo, že spolupracují a následně se podílejí na útocích typu ransomware.

Tyto samotné dvě hrozby v lednu tvořily 82% trojských koní zaznamenaných na koncových zařízeních. Nadprůměrná lednová čísla byla však pravděpodobně spojena s vánoční kampaní útočníků a postupně aktivita trojských koní klesala a stabilizovala se.

Od konce července až do září byla více zaznamenávána aktivita trojského koně Emotet. Samotná tato hrozba je zodpovědná za vysoký nárůst škodlivé DNS aktivity a celkově se s Emotetem setkalo 45% organizací.

Co sektor, to jiná kybernetická hrozba

Firmy potřebují vědět, s jakými bezpečnostní problémy se s největší pravděpodobností setkají a jaký je jejich potenciální dopad. Např. organizace z finančního sektoru mohou zaznamenat větší aktivitu týkající se krádeže citlivých dat.

V technologickém sektoru lze převážnou většinu provozu DNS připsat dvěma druhům hrozeb: nedovolenému kryptominingu a phishingu.

Kryptomining mohou často zaznamenat i společnosti působící ve výrobním sektoru. K této aktivitě se zde přidává také ransomware, což vypovídá o narůstajícím počtu zločinců, kteří na tyto organizace cílí s výhledem velkého výkupného.

Organizace ve zdravotnickém průmyslu zase nejčastěji čelí trojským koním. Většinu těchto aktivit lze připsat Emotetu, což byl v roce 2020 nejčastější typ útoku na zdravotnická zařízení.

Řešením může být cloud

Zabezpečení dodávané v cloudu je rychlé a flexibilní, což umožňuje organizacím snadno se přizpůsobit neustále se měnícímu světu a technikám útoku a zároveň umožňuje bezproblémové připojení k aplikacím odkudkoli, což zaměstnanci nyní očekávají.

Vynucením zabezpečení na úrovni DNS mohou organizace automaticky zastavit hrozby dříve, než se dostanou do sítě nebo koncových zařízení.