F-Secure: Cyberatak z perspektywy hakera w 5 krokach
F-Secure

F-Secure: Cyberatak z perspektywy hakera w 5 krokach

26.07.2017
F-Secure przedstawił materiał opisujący 5 etapów cyberataku na organizację z punktu widzenia hakera.

Z uwagi na ostatnie globalne ataki ransomware Petya oraz WannaCry symulacja uwzględnia również wykorzystanie oprogramowania wymuszającego okupy.

Cyberbezpieczeństwo nie jest dane na zawsze – to proces, który wymaga ciągłego udoskonalania. W dodatku powinien być traktowany jako nieodzowny element funkcjonowania organizacji. Pierwszy krok to zrozumienia ryzyka, poznanie przeciwników, a także celów, jakie im przyświecają oraz metod, które mogą zastosować. W skrócie: chodzi o zrozumienie, jakie zasoby chciałby zdobyć cyberprzestępca oraz o zabezpieczenie ich.

Ostatnie cyberataki z wykorzystaniem złośliwego oprogramowania wymuszającego okupy z rodziny Petya oraz WannaCry doprowadziły do globalnego paraliżu wielu organizacji na całym świecie. Aby spojrzeć na cyberatak z perspektywy hakera, za przykład posłuży symulacja z wykorzystaniem oprogramowania ransomware.

W 2012 roku istniała tylko jedna rodzina ransomware[1], w 2015 r. było ich już 35, a w 2016 r. aż 193. Gdy firma zostaje zaatakowana i wymuszany jest okup, podejrzewa się finansową motywację cyberprzestępców. Zdarza się jednak, że oprogramowanie ransomware zostaje użyte wyłącznie jako zasłona dymna, by można było przeprowadzić zaawansowany ukierunkowany atak w celu wykradnięcia wrażliwych danych klientów – mówi Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa w firmie F-Secure.

Jakie kroki podejmują cyberprzestępcy na poszczególnych etapach cyberataku?


Etap 1: Rekonesans
Czas: Miesiące przed wykryciem ataku
Rekonesans

 

Cyberprzestępca najczęściej rozpoczyna działania od zebrania informacji o firmie z portalu LinkedIn czy korporacyjnej strony internetowej. Zdobywa również plany budynku oraz wiedzę o systemach zabezpieczeń i punktach dostępu. Czasem decyduje się odwiedzić siedzibę firmy (np. podczas większego wydarzenia) lub przeprowadza „wizję lokalną”, rozmawiając z sekretarką. Zdarza się, że haker zakłada nawet firmę, rejestruje domenę czy tworzy fałszywe profile, aby później wykorzystać je do celów socjotechnicznych.

Rekonesans opiera się również na zautomatyzowanych działaniach polegających na skanowaniu sieci i wykrywaniu niezabezpieczonych urządzeń do zainfekowania. Dotyczy to wszystkich dostępnych platform, a coraz częściej urządzeń z kategorii Internetu rzeczy (IoT).

Kiedy cyberprzestępca zdobędzie niezbędne informacje, musi zdecydować, jaką bronią się posłużyć. Może to być wykorzystanie luki w oprogramowaniu (exploit), wysyłanie sfałszowanych maili (phishing), a nawet próba przekupienia jednego z pracowników. Na tym etapie wpływ na funkcjonowanie biznesu jest jeszcze minimalny, ale atakujący wie już, jak może dalej postępować.

Etap 2: Włamanie
Czas: Miesiące przed wykryciem ataku

Włamanie


W drugim etapie cyberprzestępca próbuje włamać się do środowiska firmy, skąd będzie mógł przeprowadzać próby ataku.

Działania mogą opierać się na phishingu w celu zdobycia danych logowania, a następnie zaimplementowaniu narzędzi, które pozwolą penetrować sieć. Najczęściej takich prób nie udaje się namierzyć. Nie ma również pewności, że dana firma jest ostatecznym celem, a nie jedną z wielu organizacji dotkniętych zmasowanym atakiem.

Etap 3: Rozprzestrzenianie się infekcji
Czas: Miesiące lub tygodnie przed wykryciem ataku

Rozprzestrzenianie się infekcji


Kiedy cyberprzestępca zdobędzie już dostęp do wewnętrznych zasobów sieciowych, będzie próbował złamać kolejne systemy i konta użytkowników. Celem jest dalsza ekspansja, mapowanie sieci, lokalizowanie plików haseł, aby w efekcie zidentyfikować kluczowe dane. Atakujący najczęściej podszywa się pod autoryzowanego użytkownika, dlatego jego działania są bardzo trudne do wykrycia.
 

Etap 4: Eskalacja uprawnień
Czas: Tygodnie lub dni przed wykryciem ataku

Eskalacja uprawnień

 

Cyberprzestępca posiada już odpowiedni poziom dostępu (dzięki zdobytym wcześniej danym logowania), by zrealizować założone cele.

Na tym etapie atakujący dociera do danych docelowych. Naruszane są jednocześnie serwery poczty, systemy zarządzania dokumentami oraz dane klientów.

Etap 5: Wykonanie misji
Czas: „Dzień zero”


Cyberprzestępca zdobywa wrażliwe dane klientów, zaburza pracę systemów krytycznychzakłóca operacje biznesowe. Na ostatnim etapie wykorzystuje ransomware, aby pozbyć się wszelkich dowodów i zatrzeć ślady swoich poprzednich działań.

Straty poniesione przez firmę dodatkowo wzrastają, jeżeli rozprzestrzenianie się infekcji nie zostanie w porę zatrzymane.

Jak uchronić organizację przed cyberatakiem?

W zastosowanym przykładzie cel został osiągnięty przed wykryciem naruszenia bezpieczeństwa. Niestety jest to typowa sytuacja. Jeżeli kradzież danych odbywa się przy pomocy znanych w firmie narzędzi i danych logowania, zidentyfikowanie ataku ukierunkowanego jest niezmiernie trudne.

Najlepszą ochronę zapewnia wdrożenie odpowiedniego systemu wykrywania naruszeń bezpieczeństwa. Warto również przestrzegać podstawowych zasad, aby zminimalizować ryzyko zaistnienia cyberataku:

  • przeprowadzać testy penetracyjne i potraktować to jako materiał do szkoleń oraz wzmacniania systemu;
  • przeszkolić pracowników tak, aby byli odporni na socjotechnikę i rozpoznanie osobowe;
  • wzmocnić wewnętrzną sieć tak, żeby odpowiednio szybko wykrywać i zwalczać próby szpiegowania;
  • zwiększyć stopień bezpieczeństwa fizycznego, utrudnić penetrację przestrzeni biurowych;
  • chronić sprzęt, zwłaszcza urządzenia mobilne.

[1] Według raportu F-Secure State of Cyber Security 2017

F-Secure Nigeryjski książę wiecznie żywy – spam ma już 40 lat

Według danych firmy F-Secure spam jest nadal głównym narzędziem wykorzystywanym przez cyberprzestępców do rozpowszechniania złośliwego oprogramowania. czytaj więcej

F-Secure Sześć milionów cyberataków na Polskę w ciągu roku – główne źródła to USA, Francja, Rosja i Chiny

Według danych firmy F-Secure średnio 700 razy na godzinę podejmowane są próby przeprowadzenia cyberataków na Polskę. Główne źródła zagrożeń w ostatnim roku to Stany Zjednoczone, Francja, Rosja oraz Chiny. czytaj więcej

F-Secure Człowiek i sztuczna inteligencja na straży cyberbezpieczeństwa – nowa usługa F-Secure dla firm

F-Secure łączy wiedzę i doświadczenie ekspertów z możliwościami sztucznej inteligencji w nowej usłudze Rapid Detection & Response, zapewniając firmom ochronę przed cyberzagrożeniami. czytaj więcej

F-Secure F-Secure pomoże zabezpieczyć inteligentne domy we współpracy z producentami routerów i operatorami

F-Secure wprowadza rozwiązanie zabezpieczające urządzenia, które łączą się z internetem w formie oprogramowania dla operatorów i producentów routerów. czytaj więcej

F-Secure F-Secure: Jaki jest koszt naruszenia ochrony danych w firmie?

Średni koszt naruszenia ochrony danych, według instytutów badawczych, może wahać się od 200 tysięcy do 3,6 miliona dolarów. Przedstawione w badaniach wyniki uzmysławiają skalę problemu, ale oszacowanie ewentualnych strat to już wyzwanie, z którym musi zmierzyć się każde przedsiębiorstwo indywidualnie. Aby ograniczyć ryzyko naruszenia ochrony danych w organizacjach oraz umożliwić prognozowanie potencjalnych kosztów, firma F-Secure wprowadza usługę Cyber Breach Impact Quantification (CBIQ). czytaj więcej

F-Secure F-Secure: Co RODO mówi o ransomware?

Niedawne cyberataki Petya i WannaCry sprawiły, że firmy poświęciły wiele uwagi kwestiom ochrony przed oprogramowaniem wymuszającym okupy. O ransomware nie zapomniała również Unia Europejska przygotowując rozporządzenie RODO. czytaj więcej

F-Secure F-Secure: Czy Polacy bezpiecznie korzystają z urządzeń mobilnych?

Najczęściej wykorzystywane przez Polaków urządzenia elektroniczne to kolejno smartfon (100%), laptop (77%), komputer stacjonarny (50%), tablet (48%), konsola do gier (21%) oraz czytnik książek elektronicznych (15%) – wynika z badania [1] firmy F-Secure, światowego dostawcy rozwiązań cyberbezpieczeństwa. czytaj więcej

F-Secure Komentarz F-Secure w sprawie ataku ransomware Petya

Komentarze ekspertów z F-Secure dotyczące kolejnego po WannaCry globalnego ataku ransomware o nazwie Petya, który sparaliżował firmy i instytucje m.in. na Ukrainie, w Rosji i w Polsce. czytaj więcej

F-Secure F-Secure: Paczka z niespodzianką. Cyberprzestępcy sięgają po spoofing

Wraz ze spadkiem popularności eksploitów, czyli złośliwych programów wykorzystujących luki w zabezpieczeniach, spam przeżywa renesans popularności. Jedną z technik wykorzystywanych przez spamerów do oszukania odbiorców wiadomości e-mail jest tzw. spoofing, czyli podszywanie się pod istniejącą firmę. F-Secure Labs przedstawia listę największych firm, pod które w pierwszej połowie 2017 r. podszywali się spamerzy. czytaj więcej

F-Secure F-Secure: Internet niebezpiecznych rzeczy – luki w kamerach IP firmy Foscam

Firma F-Secure, dostawca rozwiązań z zakresu cyberbezpieczeństwa, zidentyfikowała liczne luki w zabezpieczeniach dwóch modeli kamer IP Foscam. Luki umożliwiają cyberprzestępcom przejęcie kontroli nad urządzeniem (jeżeli jest ono podłączone do internetu), podgląd materiałów wideo, a także wysyłanie oraz ściąganie plików z serwera. Jeżeli urządzenie stanowi element sieci lokalnej, to haker będzie mógł uzyskać dostęp do jej zasobów. Urządzenie może zostać również wykorzystane do przeprowadzenia ataku DDoS[*]. czytaj więcej

F-Secure Nigeryjski książę wiecznie żywy – spam ma już 40 lat

Według danych firmy F-Secure spam jest nadal głównym narzędziem wykorzystywanym przez cyberprzestępców do rozpowszechniania złośliwego oprogramowania. czytaj więcej

F-Secure Sześć milionów cyberataków na Polskę w ciągu roku – główne źródła to USA, Francja, Rosja i Chiny

Według danych firmy F-Secure średnio 700 razy na godzinę podejmowane są próby przeprowadzenia cyberataków na Polskę. Główne źródła zagrożeń w ostatnim roku to Stany Zjednoczone, Francja, Rosja oraz Chiny. czytaj więcej

F-Secure Człowiek i sztuczna inteligencja na straży cyberbezpieczeństwa – nowa usługa F-Secure dla firm

F-Secure łączy wiedzę i doświadczenie ekspertów z możliwościami sztucznej inteligencji w nowej usłudze Rapid Detection & Response, zapewniając firmom ochronę przed cyberzagrożeniami. czytaj więcej

F-Secure F-Secure pomoże zabezpieczyć inteligentne domy we współpracy z producentami routerów i operatorami

F-Secure wprowadza rozwiązanie zabezpieczające urządzenia, które łączą się z internetem w formie oprogramowania dla operatorów i producentów routerów. czytaj więcej

F-Secure F-Secure: Jaki jest koszt naruszenia ochrony danych w firmie?

Średni koszt naruszenia ochrony danych, według instytutów badawczych, może wahać się od 200 tysięcy do 3,6 miliona dolarów. Przedstawione w badaniach wyniki uzmysławiają skalę problemu, ale oszacowanie ewentualnych strat to już wyzwanie, z którym musi zmierzyć się każde przedsiębiorstwo indywidualnie. Aby ograniczyć ryzyko naruszenia ochrony danych w organizacjach oraz umożliwić prognozowanie potencjalnych kosztów, firma F-Secure wprowadza usługę Cyber Breach Impact Quantification (CBIQ). czytaj więcej

F-Secure F-Secure: Co RODO mówi o ransomware?

Niedawne cyberataki Petya i WannaCry sprawiły, że firmy poświęciły wiele uwagi kwestiom ochrony przed oprogramowaniem wymuszającym okupy. O ransomware nie zapomniała również Unia Europejska przygotowując rozporządzenie RODO. czytaj więcej

F-Secure F-Secure: Czy Polacy bezpiecznie korzystają z urządzeń mobilnych?

Najczęściej wykorzystywane przez Polaków urządzenia elektroniczne to kolejno smartfon (100%), laptop (77%), komputer stacjonarny (50%), tablet (48%), konsola do gier (21%) oraz czytnik książek elektronicznych (15%) – wynika z badania [1] firmy F-Secure, światowego dostawcy rozwiązań cyberbezpieczeństwa. czytaj więcej

F-Secure Komentarz F-Secure w sprawie ataku ransomware Petya

Komentarze ekspertów z F-Secure dotyczące kolejnego po WannaCry globalnego ataku ransomware o nazwie Petya, który sparaliżował firmy i instytucje m.in. na Ukrainie, w Rosji i w Polsce. czytaj więcej

F-Secure F-Secure: Paczka z niespodzianką. Cyberprzestępcy sięgają po spoofing

Wraz ze spadkiem popularności eksploitów, czyli złośliwych programów wykorzystujących luki w zabezpieczeniach, spam przeżywa renesans popularności. Jedną z technik wykorzystywanych przez spamerów do oszukania odbiorców wiadomości e-mail jest tzw. spoofing, czyli podszywanie się pod istniejącą firmę. F-Secure Labs przedstawia listę największych firm, pod które w pierwszej połowie 2017 r. podszywali się spamerzy. czytaj więcej

F-Secure F-Secure: Internet niebezpiecznych rzeczy – luki w kamerach IP firmy Foscam

Firma F-Secure, dostawca rozwiązań z zakresu cyberbezpieczeństwa, zidentyfikowała liczne luki w zabezpieczeniach dwóch modeli kamer IP Foscam. Luki umożliwiają cyberprzestępcom przejęcie kontroli nad urządzeniem (jeżeli jest ono podłączone do internetu), podgląd materiałów wideo, a także wysyłanie oraz ściąganie plików z serwera. Jeżeli urządzenie stanowi element sieci lokalnej, to haker będzie mógł uzyskać dostęp do jej zasobów. Urządzenie może zostać również wykorzystane do przeprowadzenia ataku DDoS[*]. czytaj więcej

News Artykuł ekspercki: AIoT (Artificial Intelligence of Things) - przyszłość w transporcie i magazynowaniu produktów wrażliwych

Integracja sztucznej inteligencji i Internetu Rzeczy (AIoT) wyznacza nowe standardy w transporcie i magazynowaniu produktów wrażliwych, takich jak leki czy żywność. Dzięki możliwościom precyzyjnego monitorowania, przewidywania awarii oraz optymalizacji procesów w czasie rzeczywistym, AIoT staje się nieodzownym narzędziem do minimalizowania strat i zapewnienia zgodności z wymogami prawa. czytaj więcej

News Czym jest audyt infrastruktury i bezpieczeństwa IT?

Audyt infrastruktury i bezpieczeństwa IT to kluczowy proces, który pozwala przedsiębiorstwom na zidentyfikowanie i ocenę stanu swoich systemów informatycznych oraz zabezpieczeń. W obliczu rosnących zagrożeń związanych z bezpieczeństwem danych, przeprowadzenie audytu staje się nie tylko zalecane, ale wręcz niezbędne. Dzięki audytowi IT organizacje mogą poprawić wydajność infrastruktury IT oraz zwiększyć poziom bezpieczeństwa informacji i danych osobowych. W niniejszym artykule przyjrzymy się temu, czym jest audyt infrastruktury IT oraz audyt bezpieczeństwa IT, a także jakie korzyści przynosi ich przeprowadzenie. czytaj więcej

News Zarządzanie produkcją w czasie rzeczywistym - jak program produkcyjny wspiera elastyczność w odpowiedzi na zmienne zapotrzebowanie?

Coraz więcej małych i średnich przedsiębiorstw bazuje na modelu zarządzania produkcją w czasie rzeczywistym. To pozwala firmie być bardziej elastyczną i lepiej reagować na zmiany w zapotrzebowaniu, awarie maszyn czy inne nieprzewidziane zdarzenia w sposób znacznie bardziej efektywny niż w przypadku tradycyjnych metod planowania. Jak program do zarządzania produkcją wspiera takie podejście przedsiębiorstwa? czytaj więcej

News Jak wykorzystać na co dzień lokalizator GPS?

Lokalizowanie i śledzenie zarówno osób jak i rzeczy bywa tematem bardzo kontrowersyjnym. Nie ma w tym nic dziwnego, ponieważ tego rodzaju działania posiadają pewne obwarowania prawne, których musimy przestrzegać. Jednakże lista korzyści wynikających z tego rodzaju monitoringu również jest bardzo szeroka. Nowoczesne lokalizatory z systemami GPS pomagają chociażby w namierzaniu osób, naszego mienia, a także optymalizacji w przypadku wykorzystania ich do celów służbowych, na przykład we flocie pojazdów firmowych. Tego rodzaju dane lokalizacyjne są niezwykle cenne i pozwalają na bardzo wiele możliwości ich wykorzystania. czytaj więcej