Ataki Rosji, wycieki danych, ransomware. Z czym mierzy się Polska?

CERT Polska, działający w ramach NASK, udostępnił raport z działalności w minionym roku. Okres ten pod wieloma względami był dla zespołu rekordowy, czego nie kryją autorzy publikacji. 

W treści jednoznacznie wskazano, że krajobraz zagrożeń w polskiej cyberprzestrzeni nieustannie ewoluuje, choć nie brakuje typowych, dobrze znanych schematów oszustw i cyberataków (m.in. kampanie phishingowe czy strony z fałszywymi ogłoszeniami, podszywającymi się pod popularne platformy jak np. Allegro czy OLX).

Wśród wielu przypadków można wymienić np. oszustwo na dziecko (rodzice otrzymywali wiadomości w celu wyłudzenia pieniędzy), fałszywe wezwania na policję (m.in. rzekome wezwania przez CBŚP w związku z materiałami pedofilskimi), złośliwe kody QR (mogliście spotkać się z np. fałszywymi wezwaniami do zapłaty, zawierającymi właśnie kod QR; sprawcy umieszczali je za wycieraczkami samochodów w papierowej formie) czy fałszywe CAPTCHA.

Ransomware – „najbardziej destrukcyjny” atak

Jeśli śledzicie nasz serwis na bieżąco, z pewnością wiecie, że jednym z głównych zagrożeń, jakie analizujemy, są ataki ransomware. Wiążą się one często z kradzieżą danych i/lub ich zaszyfrowaniem w celu żądania okupu. Grupy cyberprzestępców chętnie po nie sięgają ze względu na możliwość szybkiego zysku, stąd tak duża skala.

Sytuacja w ubiegłym roku nie zmieniła się zbytnio, jeśli chodzi o ransomware. Z raportu CERT Polska wynika, że w 2024 r. – podobnie jak w ubiegłych latach – to właśnie ten rodzaj cyberataku był „najbardziej destrukcyjny” i miał najpoważniejszy wpływ na działanie organizacji.

W ubiegłym roku „zespół CERT Polska zarejestrował łącznie 147 incydentów związanych z atakami ransomware”. To spadek o ok. 8 proc. w porównaniu do rekordowego w 2023 r. 

Podobnie wyglądają natomiast dane dotyczące podmiotów, które zgłaszały incydenty: biznes (87), osoby fizyczne (35) i sektor publiczny (25). W przypadku ostatnich najwięcej zdarzeń występowało w administracji (14) oraz oświaty i szkolnictwa wyższego (9). 

Uwagę przykuwają statystyki odnoszące się do wykorzystywanego przez cyberprzestępców oprogramowania. W największej liczbie zbadanych przypadków sięgali po ransomware z rodziny Phobos (17 incydentów). Spotkać można było także Maginbera (12), STOP(Djvu) (10) oraz oprogramowanie z rodziny LockBit (9).

Warto mieć świadomość, że w polskiej cyberprzestrzeni aktywnie działają takie znane grupy jak np. LockBit, INC/Lynx Ransomware oraz Akira. 

Podatności w popularnych produktach

Raport CERT Polska odnosi się również do najważniejszych podatności wykrytych w 2024 r. W ubiegłym roku zespół specjalistów zdecydował się podjąć bardziej aktywne działania w tym obszarze. Eksperci starali się identyfikować podatności, których wykorzystanie stwarzałoby zagrożenie i wiązałoby się z wystąpieniem poważnych skutków. 

Jeżeli podatny produkt jest szeroko wykorzystywany w Polsce lub wykorzystanie występującej w nim podatności może stwarzać znaczne zagrożenie dla podmiotów, zespół CERT Polska przeprowadza działania mające na celu zidentyfikowanie właścicieli instancji dostępnych z internetu.
Raport CERT Polska

W ramach swojej działalności CERT Polska tylko w 2024 r. wysłał 11 913 wiadomości dotyczących podatności. „Zazwyczaj dotyczyły one osobnych podatności, których łącznie było 119, choć zdarzały się również przypadki przypominania o starszych podatnościach” – wyjaśniono w raporcie. 

Po wysłaniu maili, specjaliści podejmowali również kontakt telefoniczny z docelowymi podmiotami, aby zawiadomić o konieczności podjęcia stosowanych działań i wdrożenia aktualizacji. 

Najwięcej powiadomień CERT Polska dotyczyło podatności w produktach FortiOS (3070), Really Simple Security (1693) oraz Zimbra (778). Dalsze pozycje przedstawiono na grafice.

Wycieki danych Polek i Polaków

Na naszych łamach regularnie opisujemy wycieki danych z polskich organizacji. Wyszukujemy kolejnych przypadków, analizujemy je i zawiadamiamy o incydentach właściwe instytucje oraz służby, w tym CERT Polska. 

Przykładem może być sprawa serwisu megamodels(.)pl z lipca ubiegłego roku. Wyciekły z niego dane na temat tysięcy kont, a eksperci Zespołu potwierdzili ich autentyczność, co podkreślono też w raporcie: 

„W lipcu 2024 roku otrzymaliśmy zgłoszenie z odnośnikiem do upublicznionego zbioru danych opisanych jako »użytkownicy serwisu megamodels.pl«. Podczas analizy materiałów potwierdziliśmy, że dane rzeczywiście zostały wykradzione z tego portalu”.

Innym przykładem jest sklepbaterie(.)pl, z którego wyciek analizowaliśmy na początku stycznia. CERT Polska także wyróżnił go w katalogu incydentów w swojej publikacji. 

„Dane zostały pobrane przez przestępców w okolicach sierpnia 2024 roku i obejmowały ponad 200 tys. klientów” – czytamy w dokumencie.

Eksperci Zespołu nie tylko reagują na zagrożenia. Działają również proaktywnie, śledząc np. wycieki danych z krajowych podmiotów. Obejmuje to m.in. monitoring witryn cyberprzestępczych czy korzystanie z zewnętrznych narzędzi. 

Pamiętajcie, że możecie sprawdzić, czy Wasze dane wyciekły za pomocą w pełni darmowych i prostych narzędzi, jakim są serwisy haveibeenpwned.com, bezpiecznedane.gov.pl oraz Moje.cert.pl.

Warto także skorzystać z usługi Zastrzeż PESEL. Przypomnijmy, że od czerwca ub.r. instytucje finansowe, takie jak banki, są zobowiązane weryfikować, czy numer PESEL znajduje się na liście zastrzeżonych. W praktyce oznacza to, że np. gdy dojdzie do wycieku danych, ktoś Wam nieprzychylny nie będzie mógł zaciągnąć na Was pożyczki. 

Warto zadbać o bezpieczeństwo, to nic trudnego. PESEL zastrzeżecie np. za pomocą mObywatela lub w banku/urzędzie gminy/na poczcie.

Ataki Rosji na Polskę

Rozmawiając o zagrożeniach z perspektywy Polski, nie można pominąć grup APT, których poziom aktywności w 2024 r. utrzymywał się na wysokim poziomie. Jak podaje CERT Polska, zaobserwować można było operacje wywiadowcze i propagandowe. Nie dziwi, że głównie mówimy o cyberatakach płynących z Rosji.

„Większość obserwowanej aktywności atakujących związana była z wyłudzaniem danych uwierzytelniających do skrzynek pocztowych, dystrybucją szkodliwego oprogramowania, a także z atakami na systemy przemysłowe” – zaznaczono w raporcie. 

Co ważne, celem były nie tylko duże podmioty (np. instytucje publiczne, większe przedsiębiorstwa), ale również mniejsze, które są elementem łańcucha dostaw. Były też przypadki działań wymierzonych w konkretne osoby. 

Operacje wrogich służb

Jednym z przykładów opisanych szczegółowo przez CERT Polska jest aktywność grupy UNC1151 (Rosja/Białoruś). W 2024 r. jej członkowie kontynuowali operacje przeciwko Polsce. 

„W ostatnim roku grupa ta wykazała się niezwykle różnorodnymi metodami ataku, obejmującymi zarówno ataki phishingowe na klientów serwisów pocztowych, jak i infekcje złośliwym oprogramowaniem. Grupa angażowała się także w działania propagandowe, które dotyczyły polskich olimpijczyków, konfliktu zbrojnego w Ukrainie oraz ćwiczeń wojskowych, odbywających się na terenie Polski” – czytamy w raporcie. 

To pokazuje, że celem grupy jest zarówno pozyskanie danych wywiadowczych, jak i oddziaływanie na opinię publiczną.

Wystarczy wspomnieć o przypadku POLADA, czyli Polskiej Agencji Antydopingowej. Analiza miała wykazać, że aktor odpowiedzialny za atak wykorzystał podatność w jednym z systemów instytucji i następnie odsprzedał dostęp do infrastruktury. 

„W wyniku tego działania dostęp do systemów organizacji uzyskała grupa UNC1115, która następnie wykradła dane dotyczące polskich sportowców” – tłumaczą eksperci.

Innym wyróżnionym przykładem są działania Fancy Bear (APT 28). Grupa powiązana z rosyjskim GRU w ub. r. skupiła się na rozpowszechnianiu w naszym kraju złośliwego oprogramowania i próbach kradzieży danych do poczty Microsoft Outlook. Cel stanowiły instytucje publiczne. Treść wiadomości zachęcała odbiorców do kliknięcia w zamieszczony w niej link. 

Uważajcie na oszustwa reklamowe

Pewnie nie raz trafiliście w internecie na oszustwa reklamowe. Sprawcy korzystają z zasięgów i popularności dużych platform, aby zachęcić odbiorców do np. podania danych czy pobrania pliku. 

Zwykle tego typu reklamy sprawiają wrażenie wiarygodnych ze względu na np. dbałość o estetykę oraz kopiowanie wyglądu znanych witryn (np. stron informacyjnych). To ma uśpić naszą czujność. 

W 2024 r. odnotował nasilenie tego typu działań. „W ciągu tylko jednego tygodnia marca 2024 roku CERT Polska zablokował aż 300 nowych stron wykorzystujących wizerunek Wojciecha Cejrowskiego, a w pierwszym kwartale zidentyfikował blisko 14 tys. domen oferujących fałszywe inwestycje” – prezentuje statystyki zespół ekspertów. 

Oszuści wykorzystują wizerunki rozpoznawalnych osób, w tym celebrytów, sportowców, biznesmenów czy polityków, aby uwiarygodnić reklamę. Z badań przeprowadzonych przez specjalistów wynika, że wizerunki ponad 139 osób publicznych zostało użytych w ub. r. z myślą o oszustwie.

Na naszych łamach ostrzegamy Was przed kolejnymi kampaniami. Jedną z głośniejszych były przykłady Rafał Brzoski oraz Jurka Owsiaka. 

„W 2024 roku wpisaliśmy na Listę Ostrzeżeń 52 131 domen, które związane były z fałszywymi inwestycjami, co stanowi 55% wszystkich domen wpisanych na Listę. Dla porównania, w 2023 roku było to ok. 32 tys. domen i 40% ze wszystkich dodanych” – podsumowuje CERT Polska. 

Wirusy na telefon z Androidem

W publikacji wyodrębniono także kampanie wymierzone w urządzenia mobilne. „W 2024 roku zidentyfikowaliśmy łącznie 4202 próbki złośliwego oprogramowania na urządzenia mobilne z systemem Android” – wskazują eksperci. 

Poniżej w tabeli przedstawiono statystyki dotyczące poszczególnych rodzin oprogramowania. Dane mają pochodzić z threat hunting, zgłoszeń od użytkowników i platformy MWDB. 

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].