#CyberMagazyn: Krajobraz cyberzagrożeń. Więcej cyberprzestępstw, stare techniki, udoskonalone metody

Z najnowszego raportu CERT Polska, czyli działającego w strukturach NASK – Państwowego Instytutu Badawczego - zespołu reagowania na cyberincydenty na poziomie krajowym – wynika, że łącznie zarejestrowano 29 483 unikalnych incydentów cyberbezpieczeństwa. Oznacza to wzrost obsłużonych incydentów aż o 182 proc. (!) w porównaniu do 2020 roku.

Jak już informowaliśmy na naszych łamach, najczęściej w ubiegłym roku zmagano się z phishingiem (ponad 76 proc. przypadków), a przestępcy skupili się na udoskonalaniu znanych scenariuszy phishingowych: przejęciu kont na Facebooku, fałszywych bramkach płatności oraz wyłudzaniu pieniędzy od sprzedających na portalach ogłoszeniowych.

W raporcie możemy także przeczytać najważniejsze wnioski: cyberprzestępcy nie tylko udoskonalili swoje metody działania, ale także zaczęli sięgać po te mniej znane, próbowali podszywać się pod inne osoby (wykorzystywane są już nie tylko fałszywe strony instytucji, ale także spoofing numeru telefonu lub kradzież tożsamości).

Na bok nie odeszły też sztuczki socjotechniczne, wykorzystywanie nawyków i słabości użytkowników - w postaci na przykład posiadania jednego hasła do wielu kont logowania, ale także wykorzystywanie ludzkiej naiwności i wiary w szybki zarobek. Popularną metodą oszustwa stało się wykorzystywanie kryptowalut jako fałszywych inwestycji. Działały w tym przypadku dwa scenariusze: w jednym wykonywane były połączenia telefoniczne z informacją o rzekomo zainwestowanych wcześniej środkach, a w drugim - na portalach społecznościowych promowano strony, które oferowały fałszywe inwestycje.

„Przez cały rok obserwowaliśmy bardzo liczne kampanie promujące osiągnięcie zysku poprzez rzekome inwestycje w kryptowaluty lub walory krajowych spółek skarbu państwa. Ten scenariusz nie posiadał liniowego przebiegu, natomiast skutek dla ofiary zawsze był taki sam – kończył się utratą zaoszczędzonych albo nawet pożyczonych pieniędzy” – czytamy.

W ubiegłym roku mieliśmy do czynienia także z dwiema krytycznymi podatnościami: Log4Shell i dotyczącą Microsoft Exchange, których próby wykorzystania były obecne także w Polsce.

„Za ich sprawą można było dostrzec, jak istotne jest prawidłowe obchodzenie się z procesem zarządzania podatnościami we współczesnych organizacjach, a także jak ważna jest współpraca z właściwym zespołem odpowiedzialnym za bezpieczeństwo” – ocenia CERT Polska.

Ransomware jak usługa

Jednak to nie wszystko: zaobserwowano także 13 proc. wzrost liczby incydentów dotyczących ransomware, czyli złośliwego oprogramowania, które szyfruje dane lub blokuje do nich dostęp, a w zamian cyberprzestępcy żądają okupu, często opiewającego na gigantyczne kwoty.

„Największą aktywność odnotowaliśmy w podmiotach infrastruktury cyfrowej i wśród osób fizycznych oraz w administracji publicznej. Najczęściej atakującymi rodzinami były: REvil/Sodinokibi oraz Phobos, a następnie Lockbit 2.0, STOP/ DJVU, Makop, QLocker oraz Avaddon” – wskazuje CERT Polska.

Dodatkowo, na popularności zyskał model Ransomware as a Service (ransomware jako usługa), który stał się de facto standardem. „Przestępcy starają się zmaksymalizować swój zysk pochodzący z pojedynczego ataku, żądając okupu nie tylko za odzyskanie zaszyfrowanych danych, ale też za nieujawnienie lub nieinformowanie o ataku” – czytamy w raporcie CERT Polska.

Jak chronić się przed ransomware?

Zapytaliśmy o to zespół CERT Polska, który dla CyberDefence24.pl wskazał na działania prewencyjne, związane z atakami przy użyciu oprogramowania ransomware.

Według ekspertów, to przede wszystkim posiadanie sprawnych i zweryfikowanych procedur odzyskania danych z kopii zapasowych. „W szczególności mowa tutaj o wszystkich systemach zawierających informacje kluczowe dla funkcjonowania podmiotu. Najczęstszym błędem w przypadku tworzenia kopii zapasowych jest brak ich separacji od głównego systemu co często skutkuje zaszyfrowaniem również naszego backupu” – słyszymy.

Dodatkowo specjaliści zalecają: aktualizację systemu, usług dostępnych z poziomu internetu oraz aplikacji z których korzysta użytkownik, takich jak przeglądarki, programy biurowe, pocztowe; zapewnienie separacji logicznej lub fizycznej pomiędzy różnymi działami lub komórkami firmy, co, przy odpowiedniej konfiguracji, pozwoli na ograniczenie skutków infekcji w sieci czy inwentaryzację publicznie dostępnych usług.

O tym, jak powiniśmy chronić się jako użytkownicy sieci pisaliśmy w tym tekście: „#CyberMagazyn: Ransomware to zmora naszych czasów. Cyberprzestępcy czyhają na twoje pieniądze”. Dlatego teraz skupimy się na apsekcie biznesowym ransomware. Dlaczego? Ponieważ celem ataków dla okupu firmy padają nawet częściej, ze względu na kwoty, jakie są w stanie zapłacić (a do czego często szefowie spółek nie chcą się przyznać).

Łukasz Bromirski z Cisco ocenia w rozmowie z nami, że widzi coraz większą, ale i szerszą świadomość firm. „Nie tylko pojedynczy specjaliści rozumieją, że cyberbezpieczeństwo jest potrzebne, ale również dyrektorzy, którzy zaczynają przeznaczać budżet na ten cel. Jednak moim zdaniem problemem jest to, że bardzo często bezpieczeństwo nie jest rozumiane jako złożony problem. To się przekłada na liczbę ekspertów potrzebnych, by faktycznie móc zapobiec zagrożeniom. Jeden skrajny scenariusz to taki >>informatyk na dochodne<< w w przykładowym urzędzie miasta, który musi zająć się wszystkimi sprawami – od najmniejszych, po największe. Z drugiej strony inny skrajny przypadek, to dedykowane zespoły SOC (Security Operations Center), które posiadają specjalistów od każdego systemu operacyjnego i nawet jeśli są trafione atakiem - szybko reagują. Jest wiele firm, które mają już SOC-i, ale znalezienie odpowiednich ludzi w wymaganej liczbie jest zwykle problematyczne. Nie tylko dlatego, że potrzebujemy przynajmniej dwóch-trzech osób dedykowanych do danego systemu, ale też dlatego, że mało jest na rynku talentów” – zwraca uwagę dla CyberDefence24.pl.

W pierwszym kwartale roku, 1 na 53 organizacje na świecie doświadczyła próby ataku ransomware, co przełożyło się na 24 proc. wzrostem względem analogicznego okresu w 2021 roku. Co interesujące, w Polsce tendencja jest odwrotna i w pierwszym kwartale br. liczba ataków spadła aż o 44 proc. Zaledwie 1 na 104 organizacje doświadczyły tego typu działalności cyberprzestępców.

Jakie najczęstsze błędy popełniają firmy, które stają się celem ataku?

Jak wskazuje CERT Polska dla CyberDefence24.pl, najczęstsze błędy popełniane przez firmy zazwyczaj bezpośrednio wywodzą się z braku zastosowania m.in. kopii zapasowych lub ich zabezpieczenia; nieaktualnego oprogramowania, często połączone jest z publicznie wystawionymi usługami, które nie powinny być dostępne bezpośrednio z poziomu internetu; odpowiednich zabezpieczeń usług, jakie muszą być dostępne z internetu np. stosowanie słabych haseł; edukacji pracowników biurowych. „Często infekcje oprogramowaniem ransomware wynikają z odpalenia szkodliwych plików na komputerze wewnątrz sieci. Odpowiednia edukacja pracowników może temu zapobiec” – słyszymy.

Czy skala ataków ransomware (ale i innych rodzajów cyberzagrożeń) będzie rosła? Eksperci nie mają wątpliwości. „Oczywiście warto założyć, że częstotliwość takich ataków nie będzie malała. Coraz więcej usług i firm opiera swoje biznesy na serwisach internetowych. Przykładowo według wielu danych, czas epidemii to był rozkwit branży e-commerce. Jest to oczywiście wykorzystywane również przez przestępców, którzy w takich firmach widzą potencjalne źródło zarobku” – stwierdzają.

Tym bardziej zalecane jest stosowanie zasad cyberhigieny, podnoszenie świadomości w zakresie cyberzagrożeń, by nie pozostać daleko w tyle i uzupełniać wiedzę - zarówno w zakresie cyberdefensywy, jak i cyberofensywy.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.