Netskope Threat Labs opublikowało raport badawczy poświęcony zagrożeniom chmurowym w sektorze handlu detalicznego. Z analizy wynika, iż cyberprzestępcy coraz częściej kradną daną podmiotów z sektora handlu detalicznego, w tym dane z transakcji płatniczych klientów. Używają do tego złośliwego systemu zainstalowanego poprzez chmurowe aplikacje. Atakują także infrastrukturę, np. blokując strony internetowe. Potem domagają się okupu za ich odblokowanie.
W czasie takich ataków cyberprzestępcy najczęściej korzystają z botnetów IoT, narzędzi zdalnego dostępu i infostealerów. Handel detaliczny przeszedł w ciągu ostatniego roku zmianę z aplikacji opartych głównie na chmurze Google na aplikacje Microsoft, takie jak Outlook.
Dane celem cyberataków
Infostealery wykorzystywane do ataków na handel detaliczny to aplikacje, które skanują zainfekowane komputery i wyszukują informacje, takie jak nazwy użytkowników, hasła, adresy e-mail, historię przeglądarki, pliki dzienników, dane systemowe, dokumenty, arkusze kalkulacyjne lub inne pliki multimedialne. Infostealery to jedna z głównych rodzin złośliwego systemu dla sektora handlu detalicznego, ponieważ atakujący próbują wykraść cenne dane dotyczące płatności od organizacji i klientów. Zasilają one szerszy ekosystem cyberprzestępczy, w którym atakujący sprzedają pozyskane dane uwierzytelniające i osobiste dane finansowe.
− Sektor retail jest szczególnie atrakcyjny dla cyberprzestępców. W sklepach, centrach handlowych są przeprowadzane setki tysięcy transakcji finansowych. Dlatego wykorzystując aplikacje chmurowe, cyberprzestępcy starają się zainstalować złośliwe oprogramowanie, które może pomóc w kradzieży danych klientów, w tym finansowych. Co niepojące, nasz raport pokazuje, iż cyberprzestępcy coraz częściej atakują także słabo zabezpieczoną infrastrukturę podłączoną do internetu, np. sieć kamer czy różnego rodzaju czujników, które mogą dostarczyć cyberprzestępcom danych wizualnych klientów albo ułatwiają ataki typu DDos, które mogą wyłączyć stronę danego centrum handlowego albo sklep online. Tym bardziej zarządzający obiektami handlowymi powinni pamiętać o wdrożeniu rozwiązań zabezpieczających, które automatycznie, online przez 24 godziny na dobę zabezpieczają ich infrastrukturę przed atakiem cyberprzestępców za pośrednictwem rozwiązań chmurowych – mówi Michał Borowiecki, dyrektor regionalny Netskope na Polskę i Europę Wschodnią.
Botnety – zagrożenie w sieci
Z analizy Nestkope wynika, iż szczególnie rodzina botnetów Mirai coraz częściej atakuje odsłonięte urządzenia sieciowe z systemem Linux, w tym routery, kamery i inne urządzenia IoT w środowisku handlu detalicznego. Botnet to sieć zainfekowanych komputerów będących pod kontrolą przestępców. Rozpowszechnione przez cyberprzestępców złośliwe oprogramowanie może zmienić komputer ofiary w tzw. bot (lub inaczej zombie).
Słowo to oznacza program, który wykonuje zadania automatycznie. Z raportu wynika także, iż Microsoft OneDrive pozostaje najpopularniejszą aplikacją chmurową do dostarczania złośliwego systemu we wszystkich sektorach, w tym w handlu detalicznym. Atakujący skłaniają się ku taktykom, które wykorzystują zaufanie użytkowników i ich znajomość OneDrive, zwiększając prawdopodobieństwo, iż klikną na linki i pobiorą złośliwe oprogramowanie.
Niebezpieczne programy i aplikacje
Niestety w sektorze handlu detalicznego także ataki za pośrednictwem Outlooka są bardziej skuteczne niż w innych sektorach. W tym sektorze odnotowuje się dwa razy więcej pobrań złośliwego systemu za pośrednictwem Outlooka (10 proc.) niż w innych branżach. Odnotowano w tym zakresie wysoką popularność aplikacji WhatsApp w handlu detalicznym. Była ona trzy razy bardziej popularna w handlu detalicznym (14 proc.) niż w innych branżach, zarówno pod względem średniego wykorzystania, jak i pobrań. WhatsApp nie znalazł się jednak na liście najpopularniejszych aplikacji do pobierania złośliwego oprogramowania.
− Zaskakujące jest to, iż sektor handlu detalicznego pozostaje szczególnie narażony na ataki botnetów, takich jak Mirai, ponieważ atakujący starają się przejąć podatne lub źle skonfigurowane urządzenia podłączone do internetu na zasadzie IoT w różnych lokalizacjach i wykorzystać je do znacznego wzmocnienia efektu ataku DDoS. Fakt, iż atakujący przez cały czas używają takiej metody do atakowania urządzeń IoT pokazuje, iż zbyt wiele organizacji wciąż pomija stan bezpieczeństwa swoich urządzeń podłączonych do Internetu. Ta luka w połączeniu z wykorzystaniem infostealerów i złośliwego systemu do zdalnego dostępu w celu wyodrębnienia danych uwierzytelniających oraz finansowych klientów sprawia, iż sektor detaliczny jest potencjalnie lukratywnym celem − twierdzi Paolo Passeri, dyrektor ds. cyberwywiadu w Netskope.
Botnety, takie jak Mirai, i infostealery, takie jak Quakbot, przez cały czas należą do najlepszych metod wykorzystywanych przez atakujących do atakowania handlu detalicznego. To pokazuje, iż podmioty z tego sektora wciąż mają wiele do zrobienia, aby wzmocnić swoją infrastrukturę i ich bezpieczeństwo. Na szczęście przestrzeganie podstawowych najlepszych praktyk w zakresie cyberbezpieczeństwa, takich jak inspekcja ruchu internetowego i w chmurze oraz zapewnienie możliwości blokowania złośliwego ruchu oraz izolowania zagrożonych punktów końcowych lub domen, zmniejszy ryzyko padnięcia ofiarą tych atakujących − tłumaczy.
Warto zadbać o bezpieczeństwo
Netskope Threat Labs zaleca przedsiębiorstwom z sektora detalicznego dokonanie przeglądu ich stanu bezpieczeństwa. Warto przestrzegać zaleceń dotyczących najlepszych praktyk w celu przeciwdziałania tym zagrożeniom.
- Należy sprawdzać wszystkie pobrania HTTP i HTTPS, w tym całego ruchu internetowego i ruchu w chmurze, aby zapobiec infiltracji sieci przez złośliwe oprogramowanie.
- Należy upewnić się, iż typy plików wysokiego ryzyka, takie jak pliki wykonywalne i archiwa, są dokładnie sprawdzane przy użyciu kombinacji analizy statycznej i dynamicznej przed pobraniem.
- Warto tak skonfigurować zasady, aby blokować pobieranie i wysyłanie z aplikacji i instancji, które nie są używane w organizacji, aby zmniejszyć powierzchnię ryzyka tylko do tych aplikacji i instancji, które są niezbędne dla firmy i zminimalizować ryzyko przypadkowego lub celowego narażenia danych przez osoby z wewnątrz lub nadużycia przez atakujących.
- Należy korzystać z systemu zapobiegania włamaniom (IPS), który może identyfikować i blokować złośliwe wzorce ruchu, takie jak ruch poleceń i kontroli związany z popularnym złośliwym oprogramowaniem. Blokowanie tego typu komunikacji może zapobiec dalszym szkodom, ograniczając zdolność atakującego do wykonywania dodatkowych działań.
- Warto korzystać z technologii Remote Browser Isolation (RBI) w celu zapewnienia dodatkowej ochrony, gdy istnieje potrzeba odwiedzenia stron internetowych, które należą do kategorii, które mogą stanowić większe ryzyko, takich jak nowo zaobserwowane i nowo zarejestrowane domeny.
Raport opiera się na zanonimizowanych danych dotyczących użytkowania zebranych na temat podzbioru ponad 2500 klientów Netskope z sektora detalicznego.
Źródło informacji: materiały prasowe
