Cyberataki w Europie najczęściej przeprowadzane z jej terenu

Europejskie systemy są atakowane z adresów IP z całego świata. Krajem, skąd pochodziło najwięcej ataków, była Holandia, na kolejnych miejscach znalazły się: Stany Zjednoczone, Chiny, Rosja, Francja, Iran, Wietnam, Kanada, Indie i Indonezja. Z Holandii pochodziło 1,5-krotnie więcej ataków na systemy europejskie niż ze Stanów Zjednoczonych i Chin łącznie, a także 6-krotnie więcej niż z Indonezji - zaznaczono w raporcie.

Trzy sieci, z których wykryto najwięcej ataków (holenderska sieć HostPalace Web Solutions, francuska – Online SAS i NForce Entertainement z Holandii) to dostawcy usług hostingowych, którzy regularnie pojawiają się na sporządzanych przez F5 Labs listach sieci najczęściej używanych przez cyberprzestępców.

72 proc. wszystkich zarejestrowanych w raporcie numerów ASN reprezentuje dostawców usług internetowych, pozostałe 28 proc. to dostawcy usług hostingowych. W ramach przeprowadzonych badań analitycy F5 Labs wskazali też 50 adresów IP, które są najczęściej wykorzystywane do atakowania celów w Europie.

Dzięki analizie najczęściej atakowanych portów, ekspertom z F5 Labs udało się określić typ systemów, które znajdują się na celowniku cyberprzestępców. Najczęściej atakowany port w Europie (port 5060) wykorzystywany jest w telefonii internetowej do komunikacji za pośrednictwem telefonów i systemów wideokonferencyjnych. Jak wynika z analiz ruchu związanego z atakami ukierunkowanymi na określoną lokalizację, port ten regularnie jest celem intensywnych ataków w trakcie globalnych konferencji dyplomatycznych z udziałem ważnych przywódców, jak niedawne spotkania prezydenta USA Donalda Trumpa z przywódca Korei Pn. Kim Dzong Unem i prezydentem Rosji Władimirem Putinem.

Według ekspertów F5 firmy powinny nieustannie skanować swoje systemy i porty pod kątem zewnętrznych luk w zabezpieczeniach, a każdy system narażony na zewnętrzne ataki na porty najczęściej wybierane przez przestępców, powinien być traktowany priorytetowo przy konfiguracji zapory lub zarządzaniu lukami w zabezpieczeniach.

"Administratorzy sieci i inżynierowie zabezpieczeń powinni przejrzeć dzienniki sieci pod kątem połączeń z adresami IP, z których najczęściej pochodzą ataki. W przypadku ich wykrycia, należy zgłosić nadużycie właścicielom sieci o danym numerze ASN i dostawcom usług internetowych, aby mogli oni wyłączyć systemy przestępców" — mówi Sara Boddy, dyrektor ds. badania zagrożeń w F5 Labs.

Kłopotliwe może być prowadzenie dużych czarnych list, podobnie jak blokowanie adresów IP, które należą do puli adresów określonego dostawcy usług internetowych, a które mogą zapewniać dostęp do internetu w miejscach zamieszkania klientów atakowanej firmy. "W takich przypadkach systemem atakującym najprawdopodobniej jest zainfekowane urządzenie IoT, którego właściciele nie zdają sobie sprawy z zagrożenia i nie mają możliwości jego usunięcia" – dodaje Boddy.

Zablokowanie ruchu z całej sieci o konkretnym numerze ASN lub od określonego dostawcy usług internetowych mogłoby uniemożliwić współpracę użytkowników z daną firmą. W takim przypadku lepszym rozwiązaniem będzie zablokowanie wyłącznie dostawcy usług internetowych obsługującego kraj, z którym dane przedsiębiorstwo nie współpracuje w oparciu o geolokalizację na poziomie kraju - zwracaja uwagę eksperci. 

AK/PAP