Microsoft: Rusia generează 58% din toate atacurile cibernetice ale actorilor statali

Raportul anual Microsoft Digital Defense arată că în ultimul an, 58% din toate atacurile cibernetice ale actorilor statali observate de Microsoft au provenit din Rusia, iar acestea sunt din ce în ce mai eficiente, rata compromiterii sistemelor țintă crescând de la 21%, anul trecut, la 32% în acest an. Actorii statali din Rusia vizează din ce în ce mai mult agențiile guvernamentale în scop de colectare de informații, înregistrându-se o creștere de la 3% din țintele vizate, acum un an, la 53%; în mare parte este vorba de agenții implicate în politica externă, securitatea națională sau apărare. Primele trei țări vizate de actorii statali din Rusia au fost Statele Unite, Ucraina și Marea Britanie, anunţă compania într-un comunicat de presă.

După Rusia, cel mai mare volum de atacuri, observat de experții din cadrul Microsoft, a venit din Coreea de Nord, Iran și China; Coreea de Sud, Turcia (o apariție nouă în acest raport) și Vietnam au fost, de asemenea, active, dar reprezintă un volum mult mai mic. Spionajul este cel mai comun obiectiv pentru atacurile actorilor statali, dar atacatorii au şi alte obiective. Astfel, Iranul a vizat de 4 ori mai des Israelul în ultimul an și a lansat atacuri distructive ca parte a tensiunilor sporite dintre cele două țări. Coreea de Nord a vizat companiile de criptomonede pentru obținere de profit, întrucât economia sa a fost decimată de sancțiuni și de pandemia Covid-19. 21% din atacurile provenind de la actorii statali, observate de Microsoft, au vizat consumatori și 79% au vizat entități, cele mai vizate sectoare fiind guvernele (48%), ONG-urile și grupurile de tip think-tank (31%), educația (3%), organizațiile interguvernamentale (3%), IT-ul (2%), energia (1%) și media (1%).

Microsoft a remarcat faptul că mai mulți actori statali chinezi au folosit o serie de vulnerabilități neidentificate anterior. Atacurile HAFNIUM care vizează Serverele Exchange locale au fost puternic mediatizate, dar, pe lângă vulnerabilitatea de tip „zero-day” utilizată în acele atacuri, Microsoft a detectat și a raportat un atac Pulse Secure VPN zero-day și un atac SolarWinds zero-day ceva mai devreme în cursul acestui an, ambele fiind exploatate de actori chinezi.

China folosește, de asemenea, colectarea de informații în diverse scopuri. Un actor chinez, CHROMIUM, a vizat entități din India, Malaezia, Mongolia, Pakistan și Thailanda pentru a culege informații sociale, economice și politice despre țările vecine. Un alt actor chinez, NICKEL, a vizat ministere de externe din America Centrală și de Sud și din Europa. Pe măsură ce influența Chinei se schimbă odată cu Inițiativa Națională „Belt and Road”, Microsoft se așteaptă ca acești actori să continue să utilizeze culegerea de informații prin mijloace cibernetice pentru a afla date despre investiții, negocieri și influență. În cele din urmă, actorii chinezi sunt remarcabil de persistenți; chiar și după ce Microsoft a dezvăluit încercările Chinei de a colecta informații cu privire la persoane implicate în alegerile din 2020, actorul său ZIRCONIUM și-a continuat activitatea în Ziua Alegerilor.

În total, Microsoft a notificat de 20.500 de ori în ultimii trei ani clienții despre încercările tuturor actorilor statali de a le sparge sistemele. Pentru claritate, precizăm că Microsoft nu observă fiecare atac cibernetic global. De exemplu, compania are o vizibilitate limitată asupra atacurilor care vizează sistemele locale pe care organizațiile le gestionează singure, cum ar fi atacurile Exchange Server de la începutul acestui an, precum și atacurile care vizează clienții altor furnizori de tehnologie. Compania crede că împărtășirea datelor pe care le avem despre aceste amenințări este utilă pentru clienți, decidenți și comunitatea de securitate extinsă și îi invită și pe alții să împărtășească ceea ce observă din perspectiva lor. Vestea bună este că vizibilitatea sa asupra amenințărilor și capacitatea de a ajuta la oprirea acestora vor continua să crească pe măsură ce mai multe organizații migrează către sisteme de tip cloud.

Criminalitatea cibernetică – în special de tip ransomware – rămâne o problemă gravă care continuă să se extindă, după cum reiese din Raportul Microsoft Digital Defense din acest an. Dar, în timp ce actorii statali vizează în principal victimele care dețin informații utile, infractorii cibernetici vizează victimele cu bani. Drept urmare, țintele au adesea un profil diferit. Atacurile cibernetice asupra infrastructurilor critice – cum ar fi atacul de tip ransomware asupra Colonial Pipeline – ies adesea în evidență. Cu toate acestea, primele cinci domenii vizate în ultimul an, observate pe baza implicării echipei Detection and Rapid Response Team (DART), din cadrul Microsoft, în cazuri de ransomware, sunt retail-ul (13%), serviciile financiare (12%), industria de producție (12%), autoritățile (11%) și asistența medicală (9%). Statele Unite reprezintă, de departe, cea mai vizată națiune care este țintă pentru de trei ori mai multe atacuri de tip ransomware decât următoarea cea mai vizată țară. Astfel, din acest punct de vedere, SUA sunt urmate de China, Japonia, Germania și Emiratele Arabe Unite.

În ultimul an, economia „cybercrime-as-a-service” a trecut de la o industrie incipientă, dar cu creștere rapidă, la o industrie matură de natură criminală. Astăzi, oricine, indiferent de cunoștințele tehnice, poate accesa o piață online robustă pentru a achiziționa gama de servicii necesare pentru a executa atacuri în orice scop. Piața are trei componente. În primul rând, pe măsură ce cererea a crescut, infractorii se concentrează din ce în ce mai mult pe crearea de kit-uri specializate de produse pentru infectare gata să fie folosite, precum și pe creșterea automatizării, ceea ce duce la reducerea costurilor și creșterea volumului. Există kit-uri care se vând la prețul de doar 66 USD. În al doilea rând, altă categorie de furnizori pun pe piață credențiale compromise, necesare pentru a accesa sistemele victimă și a implementa kit-urile. De asemenea, experții din cadrul Microsoft au remarcat credențiale care se vând pentru sume de la 1 USD la 50 USD fiecare, în funcție de valoarea percepută a țintei. În al treilea rând, serviciile de escrow cu criptomonede servesc drept brokeri între cumpărători și vânzători pentru a asigura garanții că credențialele și kit-urile au performanțele corespunzătoare ofertei. De asemenea, specialișii au  identificat și kit-uri sofisticate care nu doar că furnizează date despre victimă persoanei care a achiziționat și a implementat kit-ul, ci și furnizează în secret date direct entității care a creat kit-ul.

Atacurile tip ransomware continuă să fie una dintre cele mai mari amenințări de criminalitate cibernetică și, în ultimul an, au continuat să evolueze și au devenit și mai disruptive. În loc să se concentreze asupra atacurilor automate care se bazează pe volum și cereri de valoare redusă pentru a genera profit, ransomware-ul cu operare umană folosește informații obținute din surse online, sustrage și studiază documentele financiare și de asigurare ale victimei și cercetează rețelele compromise pentru a selecta țintele și a stabili cereri de răscumpărare de valoare mult mai ridicată.

Mai puțin de 20% dintre clienții Microsoft utilizează funcții puternice de autentificare, cum ar fi multi-factor authentication (MFA). Compania oferă această funcție gratuit, iar organizațiile o pot activa ca mod de lucru prestabilit pentru utilizatorii lor. De fapt, dacă organizațiile doar ar aplica MFA, ar folosi sisteme anti-malware și și-ar menține sistemele actualizate, ar fi protejate de peste 99% din atacurile pe care le vedem astăzi.

În ultimele 18 luni, s-a văzut o creștere cu 220% a utilizării de mijloace puternice de autentificare, deoarece companiile s-au preocupat să își sporească securitatea pentru lucrul la distanță.

Tendințele sunt clare: actorii statali folosesc din ce în ce mai mult și vor folosi în continuare atacuri cibernetice pentru orice obiective politice ar avea, indiferent că este vorba despre spionaj, perturbarea activității sau distrugere.

Raportul acoperă perioada din iulie 2020 până în iunie 2021, iar concluziile sale privesc tendințele observate cu privire la activitatea actorilor statali, criminalitatea cibernetică, securitatea lanțurilor de aprovizionare, munca în sistem hibrid și dezinformarea.