Cyberprzestępcy z chmury atakują sektor handlu detalicznego. Atakujący próbują wykraść cenne dane, takie jak szczegóły płatności od organizacji i klientów, ale także dane wizualne uzyskane na przykład z kamer. W tym sektorze odnotowuje się dwa razy więcej pobrań złośliwego systemu za pośrednictwem Outlooka.
Netskope Threat Labs opublikowało raport badawczy, koncentrujący się na zagrożeniach chmurowych w sektorze handlu detalicznego. Z analizy wynika, iż coraz częściej poprzez złośliwe oprogramowanie zainstalowane poprzez chmurowe aplikacje cyberprzestępcy kradną daną podmiotów z sektora handlu detalicznego, w także dane z transakcji płatniczych klientów. Atakują także infrastrukturę np. blokując strony internetowe i domagając się potem okupu za ich odblokowanie. W czasie takich ataków najczęściej są wykorzystywane botnety IoT, narzędzia zdalnego dostępu i infostealery, które były głównymi rodzinami złośliwego systemu wykorzystywanymi przez atakujących w handlu detalicznym w ubiegłym roku. Handel detaliczny przeszedł również w ciągu ostatniego roku zmianę z aplikacji opartych głównie na chmurze Google na aplikacje Microsoft, takie jak Outlook.
Atakujący wykorzystują infostealery do ataków na handel detaliczny. Infostealery to aplikacje, które skanują zainfekowane komputery i wyszukują różnorodne informacje, w tym nazwy użytkowników, hasła, adresy e-mail, historię przeglądarki, pliki dzienników, informacje systemowe, dokumenty, arkusze kalkulacyjne lub inne pliki multimedialne. Infostealery to jedna z głównych rodzin złośliwego systemu dla sektora handlu detalicznego, ponieważ atakujący próbują wykraść cenne dane, takie jak szczegóły płatności od organizacji i klientów. Zasilają rone ównież szerszy ekosystem cyberprzestępczy, w którym atakujący sprzedają pozyskane dane uwierzytelniające i osobiste dane finansowe.
„Sektor Retail jest szczególnie atrakcyjny dla cyberprzestępców. W sklepach, centrach handlowych są przeprowadzane przecież setki tysięcy transakcji finansowych. Dlatego wykorzystując aplikacje chmurowe cyberprzestępcy starają się zainstalować złośliwe oprogramowanie, które może pomóc w kradzieży danych klientów w tym finansowych. Co niepojące nasz raport pokazuje także, iż cyberprzestępcy coraz częściej atakują także słabo zabezpieczoną infrastrukturę podłączoną do internetu na przykład sieć kamer czy różnego rodzaju czujników, które mogą dostarczyć cyberprzestępcom danych wizualnych klientów albo ułatwiają ataki typu DDos, który na przykład może wyłączyć stronę danego centrum handlowego albo sklep online. Tym bardziej więc zarządzający obiektami handlowymi powinni pamiętać o wdrożeniu rozwiązań zabezpieczających, które automatycznie, online przez 24 godziny na dobę zabezpieczają ich infrastrukturę przed atakiem cyberprzestępców za pośrednictwem rozwiązań chmurowych.” – komentuje Michał Borowiecki, dyr. Regionalny Netskope na Polskę i Europę Wschodnią.
Z analizy Nestkope wynika, iż szczególnie rodzina botnetów Mirai coraz częściej atakuje odsłonięte urządzenia sieciowe z systemem Linux, takie jak routery, kamery i inne urządzenia IoT w środowisku handlu detalicznego. Botnet to sieć zainfekowanych komputerów będących pod kontrolą przestępców. Rozpowszechnione przez cyberprzestępców złośliwe oprogramowanie może zmienić komputer ofiary w tzw. bot (lub inaczej zombie). Słowo bot oznacza program, który wykonuje zadania automatycznie. Z raportu wynika także, iż Microsoft OneDrive pozostaje najpopularniejszą aplikacją chmurową do dostarczania złośliwego systemu we wszystkich sektorach, w tym w handlu detalicznym. Atakujący skłaniają się ku taktykom, które wykorzystują zaufanie użytkowników i ich znajomość OneDrive, zwiększając prawdopodobieństwo, iż klikną na linki i pobiorą złośliwe oprogramowanie.
Niestety w sektorze handlu detalicznego także ataki za pośrednictwem Outlooka są bardziej skuteczne niż w innych sektorach. W tym sektorze odnotowuje się dwa razy więcej pobrań złośliwego systemu za pośrednictwem Outlooka (10%) niż w innych branżach (5%). Odnotowano także w tym zakresie wysoką popularność aplikacji WhatsApp w handlu detalicznym: Aplikacja była trzykrotnie bardziej popularna w handlu detalicznym (14%) niż w innych branżach (5,8%), zarówno pod względem średniego wykorzystania, jak i pobrań. WhatsApp nie znalazł się jednak na liście najpopularniejszych aplikacji do pobierania złośliwego oprogramowania. Może się to zmienić, gdy podmioty atakujące zaczną dostrzegać jego popularność, uzasadniając ekonomicznie kierowanie większej liczby ataków za pośrednictwem aplikacji.
„Zaskakujące jest to, iż sektor handlu detalicznego przez cały czas jest szczególnie narażony na ataki botnetów takich jak Mirai, ponieważ atakujący starają się przejąć podatne lub źle skonfigurowane urządzenia podłączone do internetu na zasadzie IoT w różnych lokalizacjach i wykorzystać je do znacznego wzmocnienia efektu ataku DDoS . Fakt, iż atakujący przez cały czas używają takiej metdody do atakowania urządzeń IoT pokazuje, iż zbyt wiele organizacji przez cały czas pomija stan bezpieczeństwa swoich urządzeń podłączonych do Internetu. Ta luka w połączeniu z wykorzystaniem infostealerów i złośliwego systemu do zdalnego dostępu w celu wyodrębnienia danych uwierzytelniających oraz danych finansowych klientów sprawia, iż sektor detaliczny jest potencjalnie lukratywnym celem. Fakt, iż botnety takie jak Mirai i infostealery takie jak Quakbot przez cały czas należą do najlepszych metod wykorzystywanych przez atakujących do atakowania handlu detalicznego, pokazuje, iż podmioty z tego sektora wciąż mają wiele do zrobienia, aby wzmocnić swoją infrastrukturę i ich bezpieczeństwo Na szczęście przestrzeganie podstawowych najlepszych praktyk w zakresie cyberbezpieczeństwa, takich jak inspekcja ruchu internetowego i w chmurze oraz zapewnienie możliwości blokowania złośliwego ruchu oraz izolowania zagrożonych punktów końcowych lub domen, zmniejszy ryzyko padnięcia ofiarą tych atakujących”.- komentuje Paolo Passeri, dyrektor ds. cyberwywiadu w Netskope, powiedział;
Netskope Threat Labs zaleca przedsiębiorstwom z sektora detalicznego dokonanie przeglądu ich stanu bezpieczeństwa i sformułowanie kilku zaleceń dotyczących najlepszych praktyk w celu przeciwdziałania tym zagrożeniom:
- Należy sprawdzać wszystkie pobrania HTTP i HTTPS, w tym całego ruchu internetowego i ruchu w chmurze, aby zapobiec infiltracji sieci przez złośliwe oprogramowanie.
- Należy upewnić się, iż typy plików wysokiego ryzyka, takie jak pliki wykonywalne i archiwa, są dokładnie sprawdzane przy użyciu kombinacji analizy statycznej i dynamicznej przed pobraniem.
- Należy tak skonfigurować zasady, aby blokować pobieranie i wysyłanie z aplikacji i instancji, które nie są używane w organizacji, aby zmniejszyć powierzchnię ryzyka tylko do tych aplikacji i instancji, które są niezbędne dla firmy i zminimalizować ryzyko przypadkowego lub celowego narażenia danych przez osoby z wewnątrz lub nadużycia przez atakujących.
- Należy korzystać z systemu zapobiegania włamaniom (IPS), który może identyfikować i blokować złośliwe wzorce ruchu, takie jak ruch poleceń i kontroli związany z popularnym złośliwym oprogramowaniem. Blokowanie tego typu komunikacji może zapobiec dalszym szkodom, ograniczając zdolność atakującego do wykonywania dodatkowych działań.
- Warto korzystać z technologii Remote Browser Isolation (RBI) w celu zapewnienia dodatkowej ochrony, gdy istnieje potrzeba odwiedzenia stron internetowych, które należą do kategorii, które mogą stanowić większe ryzyko, takich jak nowo zaobserwowane i nowo zarejestrowane domeny.
Raport opiera się na zanonimizowanych danych dotyczących użytkowania zebranych na temat podzbioru ponad 2500 klientów Netskope z sektora detalicznego, z których wszyscy udzielili uprzedniej zgody na wykorzystanie ich danych.