Reklama

Ataki Rosji, wycieki danych, ransomware. Z czym mierzy się Polska?

haker cyberatak
Hakerzy powiązani z rosyjskimi służbami nękają polskie wojsko i administrację.
Autor. cottonbro studio/Pexels

Rosyjskie służby pozostają aktywne w Polsce. Grupy hakerskie powiązane z Kremlem prowadzą m.in. operacje wywiadowcze oraz ataki na systemy przemysłowe. Statystyki pokazują wprost, że kraj Putina nie zamierza nam odpuszczać. A to tylko jedno ze źródeł zagrożeń dla Polski.   

CERT Polska, działający w ramach NASK, udostępnił raport z działalności w minionym roku. Okres ten pod wieloma względami był dla zespołu rekordowy, czego nie kryją autorzy publikacji. 

W treści jednoznacznie wskazano, że krajobraz zagrożeń w polskiej cyberprzestrzeni nieustannie ewoluuje, choć nie brakuje typowych, dobrze znanych schematów oszustw i cyberataków (m.in. kampanie phishingowe czy strony z fałszywymi ogłoszeniami, podszywającymi się pod popularne platformy jak np. Allegro czy OLX).

Wśród wielu przypadków można wymienić np. oszustwo na dziecko (rodzice otrzymywali wiadomości w celu wyłudzenia pieniędzy), fałszywe wezwania na policję (m.in. rzekome wezwania przez CBŚP w związku z materiałami pedofilskimi), złośliwe kody QR (mogliście spotkać się z np. fałszywymi wezwaniami do zapłaty, zawierającymi właśnie kod QR; sprawcy umieszczali je za wycieraczkami samochodów w papierowej formie) czy fałszywe CAPTCHA.

Czytaj też

Ransomware – „najbardziej destrukcyjny” atak

Jeśli śledzicie nasz serwis na bieżąco, z pewnością wiecie, że jednym z głównych zagrożeń, jakie analizujemy, są ataki ransomware. Wiążą się one często z kradzieżą danych i/lub ich zaszyfrowaniem w celu żądania okupu. Grupy cyberprzestępców chętnie po nie sięgają ze względu na możliwość szybkiego zysku, stąd tak duża skala.

Sytuacja w ubiegłym roku nie zmieniła się zbytnio, jeśli chodzi o ransomware. Z raportu CERT Polska wynika, że w 2024 r. – podobnie jak w ubiegłych latach – to właśnie ten rodzaj cyberataku był „najbardziej destrukcyjny” i miał najpoważniejszy wpływ na działanie organizacji.

W ubiegłym roku „zespół CERT Polska zarejestrował łącznie 147 incydentów związanych z atakami ransomware”. To spadek o ok. 8 proc. w porównaniu do rekordowego w 2023 r. 

Podobnie wyglądają natomiast dane dotyczące podmiotów, które zgłaszały incydenty: biznes (87), osoby fizyczne (35) i sektor publiczny (25). W przypadku ostatnich najwięcej zdarzeń występowało w administracji (14) oraz oświaty i szkolnictwa wyższego (9). 

Uwagę przykuwają statystyki odnoszące się do wykorzystywanego przez cyberprzestępców oprogramowania. W największej liczbie zbadanych przypadków sięgali po ransomware z rodziny Phobos (17 incydentów). Spotkać można było także Maginbera (12), STOP(Djvu) (10) oraz oprogramowanie z rodziny LockBit (9).

Warto mieć świadomość, że w polskiej cyberprzestrzeni aktywnie działają takie znane grupy jak np. LockBit, INC/Lynx Ransomware oraz Akira

CERT Polska raport
Dane opublikowane przez CERT Polska.
Autor. CERT Polska
Reklama

Podatności w popularnych produktach

Raport CERT Polska odnosi się również do najważniejszych podatności wykrytych w 2024 r. W ubiegłym roku zespół specjalistów zdecydował się podjąć bardziej aktywne działania w tym obszarze. Eksperci starali się identyfikować podatności, których wykorzystanie stwarzałoby zagrożenie i wiązałoby się z wystąpieniem poważnych skutków. 

Jeżeli podatny produkt jest szeroko wykorzystywany w Polsce lub wykorzystanie występującej w nim podatności może stwarzać znaczne zagrożenie dla podmiotów, zespół CERT Polska przeprowadza działania mające na celu zidentyfikowanie właścicieli instancji dostępnych z internetu.
Raport CERT Polska

W ramach swojej działalności CERT Polska tylko w 2024 r. wysłał 11 913 wiadomości dotyczących podatności. „Zazwyczaj dotyczyły one osobnych podatności, których łącznie było 119, choć zdarzały się również przypadki przypominania o starszych podatnościach” – wyjaśniono w raporcie. 

Po wysłaniu maili, specjaliści podejmowali również kontakt telefoniczny z docelowymi podmiotami, aby zawiadomić o konieczności podjęcia stosowanych działań i wdrożenia aktualizacji. 

Najwięcej powiadomień CERT Polska dotyczyło podatności w produktach FortiOS (3070), Really Simple Security (1693) oraz Zimbra (778). Dalsze pozycje przedstawiono na grafice.

CERT Polska raport
Dane opublikowane przez CERT Polska.
Autor. CERT Polska

Czytaj też

Wycieki danych Polek i Polaków

Na naszych łamach regularnie opisujemy wycieki danych z polskich organizacji. Wyszukujemy kolejnych przypadków, analizujemy je i zawiadamiamy o incydentach właściwe instytucje oraz służby, w tym CERT Polska. 

Przykładem może być sprawa serwisu megamodels(.)pl z lipca ubiegłego roku. Wyciekły z niego dane na temat tysięcy kont, a eksperci Zespołu potwierdzili ich autentyczność, co podkreślono też w raporcie: 

„W lipcu 2024 roku otrzymaliśmy zgłoszenie z odnośnikiem do upublicznionego zbioru danych opisanych jako »użytkownicy serwisu megamodels.pl«. Podczas analizy materiałów potwierdziliśmy, że dane rzeczywiście zostały wykradzione z tego portalu”.

Innym przykładem jest sklepbaterie(.)pl, z którego wyciek analizowaliśmy na początku stycznia. CERT Polska także wyróżnił go w katalogu incydentów w swojej publikacji. 

„Dane zostały pobrane przez przestępców w okolicach sierpnia 2024 roku i obejmowały ponad 200 tys. klientów” – czytamy w dokumencie.

Eksperci Zespołu nie tylko reagują na zagrożenia. Działają również proaktywnie, śledząc np. wycieki danych z krajowych podmiotów. Obejmuje to m.in. monitoring witryn cyberprzestępczych czy korzystanie z zewnętrznych narzędzi. 

Pamiętajcie, że możecie sprawdzić, czy Wasze dane wyciekły za pomocą w pełni darmowych i prostych narzędzi, jakim są serwisy haveibeenpwned.com, bezpiecznedane.gov.pl oraz Moje.cert.pl.

Warto także skorzystać z usługi Zastrzeż PESEL. Przypomnijmy, że od czerwca ub.r. instytucje finansowe, takie jak banki, są zobowiązane weryfikować, czy numer PESEL znajduje się na liście zastrzeżonych. W praktyce oznacza to, że np. gdy dojdzie do wycieku danych, ktoś Wam nieprzychylny nie będzie mógł zaciągnąć na Was pożyczki. 

Warto zadbać o bezpieczeństwo, to nic trudnego. PESEL zastrzeżecie np. za pomocą mObywatela lub w banku/urzędzie gminy/na poczcie.

Reklama

Ataki Rosji na Polskę

Rozmawiając o zagrożeniach z perspektywy Polski, nie można pominąć grup APT, których poziom aktywności w 2024 r. utrzymywał się na wysokim poziomie. Jak podaje CERT Polska, zaobserwować można było operacje wywiadowcze i propagandowe. Nie dziwi, że głównie mówimy o cyberatakach płynących z Rosji.

CERT Polska raport
Dane udostępnione przez CERT Polska.
Autor. CERT Polska

„Większość obserwowanej aktywności atakujących związana była z wyłudzaniem danych uwierzytelniających do skrzynek pocztowych, dystrybucją szkodliwego oprogramowania, a także z atakami na systemy przemysłowe” – zaznaczono w raporcie. 

Co ważne, celem były nie tylko duże podmioty (np. instytucje publiczne, większe przedsiębiorstwa), ale również mniejsze, które są elementem łańcucha dostaw. Były też przypadki działań wymierzonych w konkretne osoby. 

Czytaj też

Operacje wrogich służb

Jednym z przykładów opisanych szczegółowo przez CERT Polska jest aktywność grupy UNC1151 (Rosja/Białoruś). W 2024 r. jej członkowie kontynuowali operacje przeciwko Polsce. 

„W ostatnim roku grupa ta wykazała się niezwykle różnorodnymi metodami ataku, obejmującymi zarówno ataki phishingowe na klientów serwisów pocztowych, jak i infekcje złośliwym oprogramowaniem. Grupa angażowała się także w działania propagandowe, które dotyczyły polskich olimpijczyków, konfliktu zbrojnego w Ukrainie oraz ćwiczeń wojskowych, odbywających się na terenie Polski” – czytamy w raporcie. 

To pokazuje, że celem grupy jest zarówno pozyskanie danych wywiadowczych, jak i oddziaływanie na opinię publiczną.

Wystarczy wspomnieć o przypadku POLADA, czyli Polskiej Agencji Antydopingowej. Analiza miała wykazać, że aktor odpowiedzialny za atak wykorzystał podatność w jednym z systemów instytucji i następnie odsprzedał dostęp do infrastruktury

„W wyniku tego działania dostęp do systemów organizacji uzyskała grupa UNC1115, która następnie wykradła dane dotyczące polskich sportowców” – tłumaczą eksperci.

Innym wyróżnionym przykładem są działania Fancy Bear (APT 28). Grupa powiązana z rosyjskim GRU w ub. r. skupiła się na rozpowszechnianiu w naszym kraju złośliwego oprogramowania i próbach kradzieży danych do poczty Microsoft Outlook. Cel stanowiły instytucje publiczne. Treść wiadomości zachęcała odbiorców do kliknięcia w zamieszczony w niej link. 

Reklama

Uważajcie na oszustwa reklamowe

Pewnie nie raz trafiliście w internecie na oszustwa reklamowe. Sprawcy korzystają z zasięgów i popularności dużych platform, aby zachęcić odbiorców do np. podania danych czy pobrania pliku. 

Zwykle tego typu reklamy sprawiają wrażenie wiarygodnych ze względu na np. dbałość o estetykę oraz kopiowanie wyglądu znanych witryn (np. stron informacyjnych). To ma uśpić naszą czujność. 

W 2024 r. odnotował nasilenie tego typu działań. „W ciągu tylko jednego tygodnia marca 2024 roku CERT Polska zablokował aż 300 nowych stron wykorzystujących wizerunek Wojciecha Cejrowskiego, a w pierwszym kwartale zidentyfikował blisko 14 tys. domen oferujących fałszywe inwestycje” – prezentuje statystyki zespół ekspertów. 

Oszuści wykorzystują wizerunki rozpoznawalnych osób, w tym celebrytów, sportowców, biznesmenów czy polityków, aby uwiarygodnić reklamę. Z badań przeprowadzonych przez specjalistów wynika, że wizerunki ponad 139 osób publicznych zostało użytych w ub. r. z myślą o oszustwie.

Na naszych łamach ostrzegamy Was przed kolejnymi kampaniami. Jedną z głośniejszych były przykłady Rafał Brzoski oraz Jurka Owsiaka. 

„W 2024 roku wpisaliśmy na Listę Ostrzeżeń 52 131 domen, które związane były z fałszywymi inwestycjami, co stanowi 55% wszystkich domen wpisanych na Listę. Dla porównania, w 2023 roku było to ok. 32 tys. domen i 40% ze wszystkich dodanych” – podsumowuje CERT Polska. 

Czytaj też

Wirusy na telefon z Androidem

W publikacji wyodrębniono także kampanie wymierzone w urządzenia mobilne. „W 2024 roku zidentyfikowaliśmy łącznie 4202 próbki złośliwego oprogramowania na urządzenia mobilne z systemem Android” – wskazują eksperci. 

Poniżej w tabeli przedstawiono statystyki dotyczące poszczególnych rodzin oprogramowania. Dane mają pochodzić z threat hunting, zgłoszeń od użytkowników i platformy MWDB. 

CERT Polska raport
Dane udostępnione przez CERT Polska.
Autor. CERT Polska

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama

Operacje Wojska Polskiego. Żołnierze do zadań dużej wagi

Materiał sponsorowany

Komentarze

    Reklama