Cyberataki w liczbach. Jaka jest skala ryzyka?

„Z powodu różnych ciśnień: geopolitycznych, inflacyjnych czy płacowych, kierujemy naszą uwagę w miejsca zapalne. Zapominamy przy tym o rzeczach, które – jak się nam wydaje – funkcjonują dobrze, bezpiecznie. Bo przecież działa strona, jest Internet. W związku z tym często wolimy uważać, że żaden cyberatak nie dotknie naszych firm. Jednak rzeczywistość brutalnie weryfikuje to myślenie życzeniowe” – przypomina Rafał Magryś.

Krajobraz zagrożeń od 2021 roku

Eksperci zwracają uwagę, że mimo spowolnienia pandemicznego w wielu branżach, w cyberbezpieczeństwie i szeroko pojętym świecie nowych technologii można było zaobserwować wręcz przyspieszenie, a dla ekspertów zajmujących się bezpieczeństwem w sieci był to okres „wzmożonych działań”. Pojawiały się nowe rodzaje zagrożeń i rosła liczba incydentów.

Z raportu Palo Alto Networks, cytowanego w publikacji, wynika, że najczęściej występowały incydenty business email compromise – (BEC1 ) oraz ransomware.

W niemal 80 proc. hakerzy stosowali phishing, by włamać się do systemów informatycznych, wykorzystując luki w oprogramowaniu oraz stosowali ataki typu brute-force. Celem były najczęściej sektory: finansowy, prawny, przemysłowy czy ochrony zdrowia.

Eksperci SOC (Security Operations Center) w firmie Exatel również zwrócili uwagę na zwiększoną skalę prób phishingowych, których wśród klientów było średnio 100 prób miesięcznie, najczęściej za pośrednictwem poczty elektronicznej. Część wiadomości zawierała złośliwy link, prowadzący do fałszywej strony (po wprowadzeniu na niej danych mogło nastąpić wyłudzenie informacji) lub załączniki ze złośliwym oprogramowaniem.

Od początku 2021 roku specjaliści identyfikowali także średnio 1,4 tys. naruszeń cyberbezpieczeństwa miesięcznie u swoich klientów. Na szczęście nie było wśród nich ataków ransomware (dla okupu), ale doszło do prób ataków typu commodity malware (średnio 0,8 na miesiąc) i przy pomocy złośliwego oprogramowania czy incydentów z wykorzystaniem podatności, ale tylko niewielka część z nich miała zakończyć się sukcesem.

Czas obsługi wykrytych incydentów wahał się od kilku dni do nawet kilku miesięcy.

Wzrost skali ataków DDoS

W raporcie wskazano również na ataki DDoS, których w rosyjskiej inwazji jest bardzo wiele: dochodzi to nich dla celów finansowych, politycznych, społecznych, ale i ideologicznych. Ataki typu rozproszona odmowa dostępu do usługi (ang. denial distribiuted of service) są stosunkowo łatwe do przeprowadzenia, a skutukują tymczasowym brakiem dostępu do usługi.

Choć w 2020 roku skala ich występowania zmniejszyła się o 3 proc., to rozmiar i stopień skomplikowania się zwiększył (liczba dużych ataków, wykraczających poza 250 Gbps, zwiększyła się aż o 1300 proc.). Zmieniła się również metoda – coraz częściej hakerzy zmuszają ofiary do zapłaty ransomware.

Najczęściej atakowano sektor finansowy – dotyczyło go 25 proc. wszystkich ataków. Wraz z pandemią COVID-19, liczba ataków DDoS wzrosła. Przyczyniły się do tego: praca i edukacja online, wzrost popularności usług internetowych, a także rosnący popyt na usługi online (jak np. zakupy).

Wzrost liczby ataków DDoS widać też w statystykach EXATEL. Ich całkowita liczba od stycznia 2021 do lipca 2022 roku wyniosła ponad 22 tys. – średnio ponad 1000 miesięcznie.

Aby odeprzeć próby cyberataków, eksperci stosują dwie główne metody. Pierwszą z nich jest filtrowanie ruchu IP, a druga to tzw. blackhole, czyli odrzucenie wszystkich pakietów IP skierowanych do atakowanego adresu.

Obszary geograficzne, z których najczęściej pochodzą ataki DDoS: USA, Chiny, Państwa Ameryki Południowej, Rosja, Białoruś.

Wojna czasem stałego cyberniepokoju

Wojna w Ukrainie wpływa także na sytuację w cyberprzestrzeni, zwiększając ryzyko występowania cyberataków. Na początku 2022 roku cyberprzestępcy ponownie zwiększyli swoją aktywność (po chwilowym spadku w wakacje 2021 roku), co miało najpierw związek z szykowaniem się Rosji do inwazji na Ukrainę, a później wybuchem wojny i wzmożonym działaniem grup APT oraz prorosyjskim, oddolnie organizującym się hakerom.

Obserwacje EXATEL są tutaj tożsame z ustaleniami ekspertów Cloudfare, którzy również zidentyfikowali zwiększoną liczbę ataków DDoS w związku z rosyjską inwazją.

W Polsce stale utrzymywany jest trzeci stopień alarmowy w cyberprzestrzeni CHARLIE-CRP, który niedawno został ponownie przedłużony do do 28 lutego 2023 roku.

Jak podają specjaliści, każdy atak trwa średnio 10 minut, jednak często przeprowadzane są one seriami (np. 10 minut, przerwa, kolejny atak), co często trwa nawet przez kilka dni i sprowadza się do stałego odpierania ataków przez ekspertów cyberbezpieczeństwa.

Obecnie najpopularniejsza metoda radzenia sobie z atakami to odrzucanie całości ruchu do atakowanego celu (adresu lub adresów IP). Widać jednak, że coraz więcej podmiotów wykorzystuje mechanizmy filtrujące, których celem jest zachowanie ciągłości działania infrastruktury – wskazano w raporcie.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].