Microsoft Digital Defense Report 2024: Cooperarea și apărarea globală devin necesare în contextul escaladării amenințărilor cibernetice
Clienții Microsoft se confruntă zilnic cu peste 600 de milioane de atacuri cibernetice, de la „ransomware” și „phishing”, până la atacuri care au ca scop principal furtul de identitate. Operațiunile cibernetice spionaj cresc în volum și influențează conflictele geopolitice. De asemenea, apar tot mai multe dovezi ale colaborării între grupurile de infractori cibernetici și reprezentanți ai statelor care împart tehnici și instrumente cu aceleași scopuri.
În acest context, devine necesară identificarea unor variante eficiente de a opri valul acestor atacuri, prin consolidarea capacităților digitale de protecție a rețelelor, a datelor și a utilizatorilor. Soluția nu va veni doar din respectarea unor principii de securitate ci prin angajamentul față de fundamentele apărării cibernetice, de la utilizatorul individual până la directorul de întreprindere și liderii guvernamentali.
Acestea sunt câteva dintre concluziile celui de-al cincilea raport anual Microsoft Digital Defense Report, care acoperă tendințele cibernetice din perioada iulie 2023 – iunie 2024.
„Pe măsură ce ne dezvoltăm într-o lume tot mai digitală, concluziile raportului Microsoft Digital Defense subliniază importanța crucială a măsurilor avansate de securitate cibernetică. La Microsoft, ne angajăm să protejăm infrastructura digitală pentru a veni cu soluții de siguranță și confidențialitate pentru clienții noștri. Acest raport evidențiază amenințările cu care ne confruntăm și ne obligă să rămânem cu un pas înaintea acestor provocări prin inovație continuă,” a declarat Bogdan Putinică, General Manager Microsoft Europa Centrală și EurA.
Afiliați ai diferitelor state colaborează cu infractorii cibernetici și folosesc instrumentele acestora
În ultimul an, Microsoft a observat cum afiliați ai diferitelor state înrolează infractori cibernetici pentru a colecta informații, în special despre armata ucraineană, și folosesc aceleași dispozitive de furt de informații și alte instrumente folosite de infractorii cibernetici. În Digital Defense Report sunt trecute câteva observații:
- Se pare că infractorii cibernetici ruși ar fi externalizat o parte dintre operațiunile de spionaj cibernetic către grupări criminale, în special operațiunile care vizează Ucraina. În iunie 2024, o grupare suspectată de criminalitate informatică a utilizat programe de tip malware pentru a compromite cel puțin 50 de dispozitive militare ucrainene.
- Actorii naționali iranieni au folosit un soft de tip ransomware într-un atac cibernetic, și au furat date de pe site-uri matrimoniale israeliene. Au propus eliminarea anumitor profiluri individuale din baza lor de date în schimbul unei recompense.
- Coreea de Nord a intrat pe teritoriul ransomware cu o variantă personalizată numită FakePenny, pe care a implementat-o în organizații din domeniul aerospațial și al apărării, după ce a extras date din rețelele afectate – dovedind atât scopul de a colecta informații, cât și de a le monetiza.
Atacuri cibernetice în zone de conflict militar și tensiune regională
În afară de Statele Unite și Marea Britanie, cea mai mare parte a activității de amenințare cibernetică asociată cu altă țări a fost asociată cu state precum Israel, Ucraina, Emiratele Arabe Unite și Taiwan. În plus, Iran și Rusia s-au folosit atât de războiul ruso-ucrainean, cât și de conflictul Israel-Hamas pentru a răspândi mesaje de dezbinare și de dezinformare prin campanii de propagandă care își extind influența dincolo de granițele geografice ale zonelor de conflict, demonstrând natura globalizată a războiului hibrid.
- Aproximativ 75% dintre țintele rusești ale atacurilor cibernetice au fost izolate în Ucraina sau într-un stat membru NATO, Moscova încercând să colecteze informații cu privire la politicile occidentale privind războiul.
- Eforturile infractorilor cibernetici chinezi rămân similare cu cele din ultimii ani în ceea ce privește zonele geografice vizate și intensitatea țintelor pentru fiecare locație. Taiwanul reprezintă un punct central, urmat îndeaproape de țările din Asia de Sud-Est. Iranul s-a concentrat în mod semnificativ asupra Israelului, în special după izbucnirea războiului Israel-Hamas. Atacatorii iranieni au vizat SUA și țările membre ale Consiliului de Cooperare al Golfului, inclusiv EAU și Bahrain, în mare parte din cauza legăturilor acestora cu Israelul și a percepției Teheranului conform cărora aceste state ar sprijini eforturile de război ale Israelului.
Rusia, Iran și China se concentrează pe alegerile din SUA
Rusia, Iran și China s-au folosit de contextele geopolitice pentru a crea disensiuni cu privire la chestiuni interne sensibile în perspectiva alegerilor din SUA, încercând să influențeze audiența din SUA în favoarea unui partid sau a unui candidat în detrimentul altuia, sau să scadă încrederea în alegeri ca proces fundamental al democrației. Iranul și Rusia au fost cele mai active în acest proces și este de așteptat ca această activitate să crească în următoarele zile până la alegerile din SUA.
În plus, Microsoft a observat o creștere a numărului de domenii homoglyph legate de alegeri – sau linkuri false – care livrează atacuri de tip phishing și malware. Microsoft consideră că aceste domenii sunt exemple atât de activitate infracțională cibernetică motivate de profit, cât și de pentru a putea fi identificate de către alte state care ar avea ca scop atingerea unor obiective politice indiferent de mijloace. În prezent, sunt monitorizați peste 10.000 de homoglyphs pentru a detecta posibile furturi de identitate. Obiectivul Microsoft este de a se asigura că nu îi este folosită infrastructura de către grupări rău intenționate și de a proteja și informa clienții care ar putea fi victime ale unor astfel de amenințări.
Criminalitatea informatică și fraudele financiare rămân o amenințare constantă
Atacurile care vizează țări continuă să fie o preocupare, dar la fel sunt și atacurile cibernetice financiare. În ultimul an, Microsoft a observat:
- O creștere de 2,75 ori a atacurilor ransomware. Cu toate acestea, un aspect important este că s-a înregistrat o scădere de trei ori a numărului de atacuri de tip ransomware care au ajuns în stadiul de criptare. Cele mai răspândite tehnici de acces inițial continuă să fie ingineria socială – în special phishing prin e-mail, phishing prin SMS și phishing vocal – dar și compromiterea identității și exploatarea vulnerabilităților din aplicațiile accesate de publicul larg sau din sistemele de operare neactualizate.
- Escorcheriile tehnice au crescut cu 400% din 2022. În ultimul an, Microsoft a observat o creștere semnificativă a traficului de escrocherii tehnice, frecvența zilnică crescând de la 7.000 în 2023 la 100.000 în 2024. Peste 70% dintre atacurile malițioase au fost active mai puțin de două ore, ceea ce înseamnă că acestea pot dispărea înainte de a fi detectate. Nevoia unor măsuri de securitate cibernetică mai agile și mai eficiente devine tot mai acută.
Atacatorii experimentează cu inteligența artificială generativă
Anul trecut, Microsoft a observat infractori cibernetici experimentând cu AI. Așa cum AI este folosită tot mai mult pentru a ajuta oamenii să fie mai eficienți, atacatorii din domeniul cibernetic învață cum pot folosi eficiența AI pentru a viza victimele. În ceea ce privește operațiunile, atacatorii afiliați Chinei preferă imaginile generate de AI, în timp ce actorii afiliați Rusiei preferă AI care generează conținut audio, în diferite medii. Până în prezent, Microsoft nu a observat o eficiență a acestui tip de conținut în influențarea publicului.
Dar inteligența artificială și securitatea cibernetică are și o parte optimistă. Deși se află încă la început, AI și-a demonstrat beneficiile pentru profesioniștii din domeniul securității cibernetice, acționând ca un instrument care îi ajută să răspundă într-o fracțiune din timpul necesar unei persoane pentru a procesa manual o multitudine de alerte, fișiere de coduri malițioase și analize corespunzătoare. Microsoft continuă să inoveze pentru a găsi noi modalități prin care AI poate facilita și îmbunătăți securitatea cibernetică.
Colaborarea rămâne esențială pentru consolidarea securității cibernetice
Cu peste 600 de milioane de atacuri pe zi care vizează numai clienții Microsoft, este nevoie de eforturi pentru reducerea numărului total de atacuri online. O descurajare eficientă poate fi realizată în două moduri: prin oprirea atacurilor înainte de a-și face efectul și prin impunerea de consecințe drastice pentru atacurile cibernetice. Microsoft contribuie la oprirea atacurilor și s-a angajat să ia măsuri pentru a asigura protecția sistemului și a utilizatorilor săi prin inițiativa Secure Future.
În timp ce industria IT trebuie să-si consolideze eforturile pentru a le contracara pe cele ale atacatorilor prin îmbunătățirea tehnologiei de securitate cibernetică, acest lucru trebuie să fie însoțit de acțiuni legislative care să impună consecințe în defavoarea atacurilor cibernetice. Rezultate pot fi obținute doar prin procese clare de apărare și descurajare. În ultimii ani, s-a acordat o atenție deosebită elaborării de norme internaționale de conduită în spațiul cibernetic. Cu toate acestea, aceste norme nu au avut până acum consecințe semnificative în cazul încălcării lor, iar atacurile între țări nu au fost descurajate, dimpotrivă acestea au crescut în volum și agresivitate. Pentru a schimba regulile jocului, va fi nevoie de angajament atât din partea sectorului public, cât și a celui privat, astfel încât atacatorii să nu mai aibă niciun fel de avantaj.
Microsoft continuă să împărtășească informații relevante privind amenințările, inclusiv prin cel mai recent studiu, Cyber Signals, care analizează riscurile cibernetice din sectorul educației.
Views: 5