Logotyp serwisu CyberDefence24
Reklama

Ataki Rosji, wycieki danych, ransomware. Z czym mierzy się Polska?

haker cyberatak
Hakerzy powiązani z rosyjskimi służbami nękają polskie wojsko i administrację.
Autor. cottonbro studio/Pexels

Rosyjskie służby pozostają aktywne w Polsce. Grupy hakerskie powiązane z Kremlem prowadzą m.in. operacje wywiadowcze oraz ataki na systemy przemysłowe. Statystyki pokazują wprost, że kraj Putina nie zamierza nam odpuszczać. A to tylko jedno ze źródeł zagrożeń dla Polski.   

CERT Polska, działający w ramach NASK, udostępnił raport z działalności w minionym roku. Okres ten pod wieloma względami był dla zespołu rekordowy, czego nie kryją autorzy publikacji. 

W treści jednoznacznie wskazano, że krajobraz zagrożeń w polskiej cyberprzestrzeni nieustannie ewoluuje, choć nie brakuje typowych, dobrze znanych schematów oszustw i cyberataków (m.in. kampanie phishingowe czy strony z fałszywymi ogłoszeniami, podszywającymi się pod popularne platformy jak np. Allegro czy OLX).

Wśród wielu przypadków można wymienić np. oszustwo na dziecko (rodzice otrzymywali wiadomości w celu wyłudzenia pieniędzy), fałszywe wezwania na policję (m.in. rzekome wezwania przez CBŚP w związku z materiałami pedofilskimi), złośliwe kody QR (mogliście spotkać się z np. fałszywymi wezwaniami do zapłaty, zawierającymi właśnie kod QR; sprawcy umieszczali je za wycieraczkami samochodów w papierowej formie) czy fałszywe CAPTCHA.

    Ransomware – „najbardziej destrukcyjny” atak

    Jeśli śledzicie nasz serwis na bieżąco, z pewnością wiecie, że jednym z głównych zagrożeń, jakie analizujemy, są ataki ransomware. Wiążą się one często z kradzieżą danych i/lub ich zaszyfrowaniem w celu żądania okupu. Grupy cyberprzestępców chętnie po nie sięgają ze względu na możliwość szybkiego zysku, stąd tak duża skala.

    Sytuacja w ubiegłym roku nie zmieniła się zbytnio, jeśli chodzi o ransomware. Z raportu CERT Polska wynika, że w 2024 r. – podobnie jak w ubiegłych latach – to właśnie ten rodzaj cyberataku był „najbardziej destrukcyjny” i miał najpoważniejszy wpływ na działanie organizacji.

    W ubiegłym roku „zespół CERT Polska zarejestrował łącznie 147 incydentów związanych z atakami ransomware”. To spadek o ok. 8 proc. w porównaniu do rekordowego w 2023 r. 

    Podobnie wyglądają natomiast dane dotyczące podmiotów, które zgłaszały incydenty: biznes (87), osoby fizyczne (35) i sektor publiczny (25). W przypadku ostatnich najwięcej zdarzeń występowało w administracji (14) oraz oświaty i szkolnictwa wyższego (9). 

    Uwagę przykuwają statystyki odnoszące się do wykorzystywanego przez cyberprzestępców oprogramowania. W największej liczbie zbadanych przypadków sięgali po ransomware z rodziny Phobos (17 incydentów). Spotkać można było także Maginbera (12), STOP(Djvu) (10) oraz oprogramowanie z rodziny LockBit (9).

    Warto mieć świadomość, że w polskiej cyberprzestrzeni aktywnie działają takie znane grupy jak np. LockBit, INC/Lynx Ransomware oraz Akira

    CERT Polska raport
    Dane opublikowane przez CERT Polska.
    Autor. CERT Polska
    Reklama

    Podatności w popularnych produktach

    Raport CERT Polska odnosi się również do najważniejszych podatności wykrytych w 2024 r. W ubiegłym roku zespół specjalistów zdecydował się podjąć bardziej aktywne działania w tym obszarze. Eksperci starali się identyfikować podatności, których wykorzystanie stwarzałoby zagrożenie i wiązałoby się z wystąpieniem poważnych skutków. 

    Jeżeli podatny produkt jest szeroko wykorzystywany w Polsce lub wykorzystanie występującej w nim podatności może stwarzać znaczne zagrożenie dla podmiotów, zespół CERT Polska przeprowadza działania mające na celu zidentyfikowanie właścicieli instancji dostępnych z internetu.
    Raport CERT Polska

    W ramach swojej działalności CERT Polska tylko w 2024 r. wysłał 11 913 wiadomości dotyczących podatności. „Zazwyczaj dotyczyły one osobnych podatności, których łącznie było 119, choć zdarzały się również przypadki przypominania o starszych podatnościach” – wyjaśniono w raporcie. 

    Po wysłaniu maili, specjaliści podejmowali również kontakt telefoniczny z docelowymi podmiotami, aby zawiadomić o konieczności podjęcia stosowanych działań i wdrożenia aktualizacji. 

    Najwięcej powiadomień CERT Polska dotyczyło podatności w produktach FortiOS (3070), Really Simple Security (1693) oraz Zimbra (778). Dalsze pozycje przedstawiono na grafice.

    CERT Polska raport
    Dane opublikowane przez CERT Polska.
    Autor. CERT Polska

      Wycieki danych Polek i Polaków

      Na naszych łamach regularnie opisujemy wycieki danych z polskich organizacji. Wyszukujemy kolejnych przypadków, analizujemy je i zawiadamiamy o incydentach właściwe instytucje oraz służby, w tym CERT Polska. 

      Przykładem może być sprawa serwisu megamodels(.)pl z lipca ubiegłego roku. Wyciekły z niego dane na temat tysięcy kont, a eksperci Zespołu potwierdzili ich autentyczność, co podkreślono też w raporcie: 

      „W lipcu 2024 roku otrzymaliśmy zgłoszenie z odnośnikiem do upublicznionego zbioru danych opisanych jako »użytkownicy serwisu megamodels.pl«. Podczas analizy materiałów potwierdziliśmy, że dane rzeczywiście zostały wykradzione z tego portalu”.

      Innym przykładem jest sklepbaterie(.)pl, z którego wyciek analizowaliśmy na początku stycznia. CERT Polska także wyróżnił go w katalogu incydentów w swojej publikacji. 

      „Dane zostały pobrane przez przestępców w okolicach sierpnia 2024 roku i obejmowały ponad 200 tys. klientów” – czytamy w dokumencie.

      Eksperci Zespołu nie tylko reagują na zagrożenia. Działają również proaktywnie, śledząc np. wycieki danych z krajowych podmiotów. Obejmuje to m.in. monitoring witryn cyberprzestępczych czy korzystanie z zewnętrznych narzędzi. 

      Pamiętajcie, że możecie sprawdzić, czy Wasze dane wyciekły za pomocą w pełni darmowych i prostych narzędzi, jakim są serwisy haveibeenpwned.com, bezpiecznedane.gov.pl oraz Moje.cert.pl.

      Warto także skorzystać z usługi Zastrzeż PESEL. Przypomnijmy, że od czerwca ub.r. instytucje finansowe, takie jak banki, są zobowiązane weryfikować, czy numer PESEL znajduje się na liście zastrzeżonych. W praktyce oznacza to, że np. gdy dojdzie do wycieku danych, ktoś Wam nieprzychylny nie będzie mógł zaciągnąć na Was pożyczki. 

      Warto zadbać o bezpieczeństwo, to nic trudnego. PESEL zastrzeżecie np. za pomocą mObywatela lub w banku/urzędzie gminy/na poczcie.

      Reklama

      Ataki Rosji na Polskę

      Rozmawiając o zagrożeniach z perspektywy Polski, nie można pominąć grup APT, których poziom aktywności w 2024 r. utrzymywał się na wysokim poziomie. Jak podaje CERT Polska, zaobserwować można było operacje wywiadowcze i propagandowe. Nie dziwi, że głównie mówimy o cyberatakach płynących z Rosji.

      CERT Polska raport
      Dane udostępnione przez CERT Polska.
      Autor. CERT Polska

      „Większość obserwowanej aktywności atakujących związana była z wyłudzaniem danych uwierzytelniających do skrzynek pocztowych, dystrybucją szkodliwego oprogramowania, a także z atakami na systemy przemysłowe” – zaznaczono w raporcie. 

      Co ważne, celem były nie tylko duże podmioty (np. instytucje publiczne, większe przedsiębiorstwa), ale również mniejsze, które są elementem łańcucha dostaw. Były też przypadki działań wymierzonych w konkretne osoby. 

        Operacje wrogich służb

        Jednym z przykładów opisanych szczegółowo przez CERT Polska jest aktywność grupy UNC1151 (Rosja/Białoruś). W 2024 r. jej członkowie kontynuowali operacje przeciwko Polsce. 

        „W ostatnim roku grupa ta wykazała się niezwykle różnorodnymi metodami ataku, obejmującymi zarówno ataki phishingowe na klientów serwisów pocztowych, jak i infekcje złośliwym oprogramowaniem. Grupa angażowała się także w działania propagandowe, które dotyczyły polskich olimpijczyków, konfliktu zbrojnego w Ukrainie oraz ćwiczeń wojskowych, odbywających się na terenie Polski” – czytamy w raporcie. 

        To pokazuje, że celem grupy jest zarówno pozyskanie danych wywiadowczych, jak i oddziaływanie na opinię publiczną.

        Wystarczy wspomnieć o przypadku POLADA, czyli Polskiej Agencji Antydopingowej. Analiza miała wykazać, że aktor odpowiedzialny za atak wykorzystał podatność w jednym z systemów instytucji i następnie odsprzedał dostęp do infrastruktury

        „W wyniku tego działania dostęp do systemów organizacji uzyskała grupa UNC1115, która następnie wykradła dane dotyczące polskich sportowców” – tłumaczą eksperci.

        Innym wyróżnionym przykładem są działania Fancy Bear (APT 28). Grupa powiązana z rosyjskim GRU w ub. r. skupiła się na rozpowszechnianiu w naszym kraju złośliwego oprogramowania i próbach kradzieży danych do poczty Microsoft Outlook. Cel stanowiły instytucje publiczne. Treść wiadomości zachęcała odbiorców do kliknięcia w zamieszczony w niej link. 

        Reklama

        Uważajcie na oszustwa reklamowe

        Pewnie nie raz trafiliście w internecie na oszustwa reklamowe. Sprawcy korzystają z zasięgów i popularności dużych platform, aby zachęcić odbiorców do np. podania danych czy pobrania pliku. 

        Zwykle tego typu reklamy sprawiają wrażenie wiarygodnych ze względu na np. dbałość o estetykę oraz kopiowanie wyglądu znanych witryn (np. stron informacyjnych). To ma uśpić naszą czujność. 

        W 2024 r. odnotował nasilenie tego typu działań. „W ciągu tylko jednego tygodnia marca 2024 roku CERT Polska zablokował aż 300 nowych stron wykorzystujących wizerunek Wojciecha Cejrowskiego, a w pierwszym kwartale zidentyfikował blisko 14 tys. domen oferujących fałszywe inwestycje” – prezentuje statystyki zespół ekspertów. 

        Oszuści wykorzystują wizerunki rozpoznawalnych osób, w tym celebrytów, sportowców, biznesmenów czy polityków, aby uwiarygodnić reklamę. Z badań przeprowadzonych przez specjalistów wynika, że wizerunki ponad 139 osób publicznych zostało użytych w ub. r. z myślą o oszustwie.

        Na naszych łamach ostrzegamy Was przed kolejnymi kampaniami. Jedną z głośniejszych były przykłady Rafał Brzoski oraz Jurka Owsiaka. 

        „W 2024 roku wpisaliśmy na Listę Ostrzeżeń 52 131 domen, które związane były z fałszywymi inwestycjami, co stanowi 55% wszystkich domen wpisanych na Listę. Dla porównania, w 2023 roku było to ok. 32 tys. domen i 40% ze wszystkich dodanych” – podsumowuje CERT Polska. 

          Wirusy na telefon z Androidem

          W publikacji wyodrębniono także kampanie wymierzone w urządzenia mobilne. „W 2024 roku zidentyfikowaliśmy łącznie 4202 próbki złośliwego oprogramowania na urządzenia mobilne z systemem Android” – wskazują eksperci. 

          Poniżej w tabeli przedstawiono statystyki dotyczące poszczególnych rodzin oprogramowania. Dane mają pochodzić z threat hunting, zgłoszeń od użytkowników i platformy MWDB. 

          CERT Polska raport
          Dane udostępnione przez CERT Polska.
          Autor. CERT Polska

            Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

            Reklama

            Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?

            Materiał sponsorowany

            Komentarze

              Reklama

              Czytaj także

              samsung ORBIUM
              Zestaw ORBIUM – technologia w służbie edukacji
              hacker
              Phishing na e-Doręczenia. Uważaj na fałszywe maile
              Co z podatkiem cyfrowym i Strategią cyberbezpieczeństwa?
              Gawkowski: Rosja zwiększyła swoją aktywność w Polsce
              PUP Żory padł ofiarą ataku ransomware. Jedna z grup dodała Urząd na listę ofiar
              Kolejny atak ransomware na urząd pracy
              Inwestycje w systemy wojskowe i cywilne. „Wydajemy najwięcej w historii”
              Cayman National Bank nie został ponownie zaatakowany. Cyberprzestępcy blefują
              Cyberprzestępcy kłamią o ataku na Cayman National Bank
              gawkowski IN.SE.CON
              Gawkowski o nowej Strategii Cyberbezpieczeństwa