Najważniejsze incydenty w 2024 roku

Na wstępie należy zaznaczyć, że nie ma dwóch takich samych incydentów bezpieczeństwa. Każda organizacja dysponuje wieloma różnymi zasobami oraz wykorzystuje inne zabezpieczenia. Niemniej jednak, z każdego ataku można wyciągnąć uniwersalną lekcję, która może posłużyć nam do podniesienia poziomu ochrony.

Awaria Crowdstrike i bezpieczeństwo łańcucha dostaw

19 lipca 2024 r. miała miejsce globalna awaria Crowdstrike Falcon (oprogramowania EDR), która spowodowała pojawienie się tzw. „niebieskich ekranów śmierci”. Microsoft szacuje, że incydent dotyczył 8,5 miliona komputerów z systemem Windows.

Warto przy tym podkreślić, że wspomniana awaria nie była atakiem hakerskim. W sensorach wystąpił pewien błąd w oprogramowaniu, przez który nie uruchamiały się komputery wykorzystujące Crowdstrike Falcon. Nie była to również „awaria Microsoftu”, o czym informowały niektóre media. Zaprzestanie działania określonych usług Office365 faktycznie miało wówczas miejsce, lecz było to niepowiązane z awarią Crowdstrike.

W czerwcu 2024 roku doszło do ataku na łańcuch dostaw w pollyfill.io, które wykorzystywane było m.in. do implementowania nowych funkcjonalności w starszych przeglądarkach. Witryna została przejęta przez chińskich inwestorów, co spowodowało liczne przekierowania na niepożądane strony, np. bukmacherskie. Co ciekawe, „nowatorski” kod uruchamiał się w określonych porach dnia i nie robił tego podczas korzystania z konta administratora. Wspomnianej funkcjonalności używało ponad 100 tys. stron internetowych.

Powyższe przykłady dobrze pokazują rolę bezpieczeństwa łańcucha dostaw. EY podkreśla, że dyrektywa NIS2 kładzie na to duży nacisk.

Ataki na polską administrację publiczną

Na przestrzeni całego 2024 roku mogliśmy zauważyć, że polska administracja publiczna również była na celowniku cyberprzestępców. Grupy ransomware zaatakowały m.in. takie podmioty, jak:

• Starostwo Powiatowe w Świebodzinie (maj 2024, Play);
• MGOPS w Sędziszowie Małopolskim (maj 2024, Lockbit3);
• Powiatowy Urząd Pracy w Policach (sierpień 2024, RansomHub);
• Powiat Jędrzejowski (październik 2024, RansomHub),

Najgroźniejszym atakiem pozostaje rzekoma kradzież danych osobowych (m.in. adresów zamieszkania czy numerów PESEL) 80 tys. mieszkańców powiatu jędrzejowskiego. Ostatecznie, cyberprzestępcy usunęli post informujący o ataku oraz nie opublikowali wykradzionych danych.

W listopadzie kontaktowaliśmy się ze Starostwem – wówczas nie określono tego, czy dane mieszkańców powiatu zostały wykradzione przez RansomHub. Jeżeli tak się stało, stanowi to jeden z największych incydentów naruszenia ochrony danych osobowych w ostatnim czasie.

PAP i POLADA

Nie można jednak zapomniać o atakach, które nie były przeprowadzane dla okupu przez znane grupy ransomware. Do takich należy zakwalifikować wyciek danych z Polskiej Agencji Dopingowej (POLADA). Adam Haertle na łamach Zaufanej Trzeciej Strony określił to zdarzenie jako „jedno z najgorszych w historii Polski”.

Do operacji mogących mieć duży wpływ na nasze bezpieczeństwo informacyjne należy zaliczyć rosyjski atak na Polską Agencję Prasową, kiedy cyberprzestępcy opublikowali fałszywą depeszę o rzekomej częściowej mobilizacji wojskowej w kraju. Na szczęście informacja nie została podana do publicznej wiadomości.

Wycieki ogromnej ilości danych

Grupa Hunters dała się we znaki dwóm polskim firmom: AIUT oraz Atende Software.

Z pierwszej organizacji wykradziono - zgodnie z twierdzeniami cyberprzestępców potwierdzonymi analizą - ponad 5,9 terabajta danych. Z drugiej spółki atakujący wykradli nieco ponad terabajt danych. Obydwa przykłady wskazują na to, że eksflitracja dużej ilości danych z firm o milionowej kapitalizacji jest możliwa.

Wycieki baz danych

Ważnym incydentem bezpieczeństwa był atak na jedną z agencji NATO, skutkujący m.in. wyciekiem danych polskich oficerów. Dokonała tego grupa SiegedSec, która niedługo po zdarzeniu przestała funkcjonować.

W Polsce mieliśmy również wyciek danych z portalu megamodels(.)pl, który niedługo po opisaniu przez nasz portal został dodany do rządowej bazy bezpiecznedane.gov.pl.

W skali globalnej największym incydentem tego rodzaju był wyciek z Ticketmaster, gdzie naruszeniu ochrony miały ulec dane ponad pół miliarda osób.

Natomiast we wrześniu informowaliśmy o wycieku danych osobowych ponad 70 tys. osób, które pochodziły z międzynarodowej firmy medycznej.

W listopadzie ujawniliśmy atak na łotewskiego ubezpieczyciela, czego konsekwencją był wyciek danych kilkudziesięciu pracowników firmy. Pliki najprawdopodobniej były wygenerowane z programu Płatnik, służącego do rozliczeń z ZUS. Te dwa incydenty pokazują, że o cyberbezpieczeństwie należy myśleć holistycznie i w niektórych przypadkach również z wyłączeniem granic państwowych.

Głośnym przypadkiem był też wyciek z Pandabuy, ponieważ na podstawie wykradzionych danych utworzono interaktywną mapę klientów sklepu. Osoby odpowiedzialne za stworzenie wspomnianej mapy spotkają się z odpowiedzialnością karną.

Pod koniec roku miał miejsce również wyciek z SuperPharm, który dotyczył 1,6 miliona osób.

Wpływ incydentów na ochronę zdrowia

Celami ataków grup ransomware nieustannie pozostają szpitale i inne placówki związane z ochroną zdrowia. W czerwcu grupa Qilin zaatakowała Synnovis, organizację odpowiedzialną m.in. za badania laboratoryjne. Skutkiem cyberataku było m.in. przerwanie transfuzji krwi.

W kwietniu ofiarą cyberprzestępców padł system płatności wykorzystywany w większości amerykańskich szpitali. Koszty ataku liczone są w miliardach dolarów. Powyższe przykłady pokazują, że placówki medyczne pozostają atrakcyjnym celem dla cyberprzestępców.

Nietypowe incydenty

W 2024 roku można odnotować również kilka incydentów, które pozostają do dziś w pełni niewyjaśnione. Jednym z nich jest atak na Urząd Gminy Sokołów Podlaski, gdzie cyberprzestępcy jedynie zaszyfrowali dane. Urząd przekazał nam, że nie doszło do eksfiltracji (kradzieży) danych oraz osoby odpowiedzialne za atak nie żądały okupu.

Nietypowy incydent dotyczy też dwóch kancelarii prawnych. RansomHub wylistował jedną z polskich kancelarii jako ofiarę ataku, dodając jako dowody dokumenty pochodzące z innej polskiej kancelarii. Pierwsza z organizacji potwierdziła nam, że to nie ona padła ofiarą cyberprzestępców, a prawdopodobnie faktyczny cel ataku niestety nie odpowiedział na nasze pytania. RansomHub nie opublikował danych z wycieku, dodając link do pustego katalogu. Informacja o ataku dotychczas nie została podana publicznie. Z naszych informacji wynika, że odpowiednie służby zajmują się sprawą.

Niecodzienny model działania wykazuje Funksec, który sprzedaje dostęp do paneli administracyjnych portali rządowych na całym świecie, co jest niespotykane wśród takich grup.

Podsumowanie

Powyższa lista może nie uwzględniać niektórych ważnych incydentów, lecz ich stale rosnąca liczba sprawia, że zebranie wszystkich takich zdarzeń w jednym miejscu nie jest prostym zadaniem. 2024 rok obfitował w wiele cyberataków i nie zapowiada się, aby w 2025 roku sytuacja diametralnie się zmieniła.

Cyberbezpieczeństwo to proces, a nie stan. Należy do niego podchodzić holistycznie oraz uwzględniać najnowsze zagrożenia, wyciągając nauczkę z bolączek innych organizacji.

Wszystkim Wam życzymy (cyber)bezpiecznego 2025 roku!

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].