Czy to już atak?
Powszechność cyberataków powoduje, że każdy przypadek niepoprawnej pracy oprogramowania lub usług niemal automatycznie skłania do zastanowienia się, czy nie mamy do czynienia z działalnością przestępczą.
Incydent z aktualizacją CrowdStrike’a dostarczył nam cennych lekcji na przyszłość.
Według analiz Palo Alto Networks obecnie codziennie powstaje nawet 2,3 mln nowych i unikalnych zagrożeń, a rozwiązania tego producenta blokują 11,3 mld incydentów. Co więcej, eksperci szacują, że z powodu dynamicznego rozwoju sztucznej inteligencji powstają nowe narzędzia pracy także dla cyberprzestępców, więc wkrótce ataki będą coraz bardziej złożone i trudniejsze do opanowania, a ich liczba będzie rosnąć.
Potwierdzają to specjaliści ESET Research, którzy od 2023 r. coraz częściej obserwują proces wykorzystywania AI przez cyberprzestępców. Sięgają oni zarówno po określone narzędzia, jak i wykorzystują fakt, że użytkownicy są mocno zainteresowani rozwiązaniami z zakresu szeroko pojętej sztucznej inteligencji. W ostatnich miesiącach złośliwe oprogramowanie zaczęło podszywać się pod narzędzia GenAI. W pierwszej połowie 2024 r. złośliwy kod Rilide Stealer nadużywał nazw asystentów generatywnej sztucznej inteligencji, takich jak OpenAI Sora i Google Gemini, aby wabić potencjalne ofiary. W innej złośliwej kampanii infostealer Vidar wykorzystywał fałszywą aplikację na Windows dla generatora obrazów AI Midjourney, choć model ten jest dostępny tylko za pośrednictwem Discord.
– Statystyki są druzgocące. Tylko w drugiej połowie 2023 roku zablokowaliśmy 650 tysięcy prób wejścia użytkowników na fałszywe strony związane z „chatgpt” lub podobnym tekstem w nazwie. Drugim znaczącym wektorem ataku na użytkowników jest reklamowanie i próba nakłonienia do instalacji fałszywych aplikacji bliźniaczo podobnych do ChatGPT. W sklepach z aplikacjami, szczególnie mobilnymi, zaroiło się od fałszywych kopii różnego oprogramowania imitującego najnowsze wersje, w tym ChatGPT 5, Sora czy Midjourney, ale zawierającego złośliwy kod – mówi Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET-u.
Eksperci podkreślają, że w kontekście AI najsłabszym ogniwem i prowokatorem niebezpiecznych sytuacji są pracownicy skuszeni oszczędnością czasu i chcący usprawnić swoją pracę. Ulegają oni oszukańczym reklamom, w których cyberprzestępcy obiecują dostęp do rzekomych zaawansowanych możliwości sztucznej inteligencji, aktywowanych za dodatkową opłatą.
Jednak sztuczna inteligencja bywa też pomocna w zwalczaniu przestępczości, w tym oszustw. Przykładowo, może znacząco przyczynić się do wykrywania fałszywej dokumentacji.
– AI może monitorować przychodzące faktury i porównywać je z ustalonymi wzorcami, zbudowanymi na podstawie analizy wcześniejszych dokumentów i obserwacji historycznych trendów. Takie odchylenia, jak nagłe skoki wartości, nieregularne terminy transakcji, pojawianie się duplikatów faktur lub przesyłanie ich z nietypowych lokalizacji spowodują uruchomienie alertów i oznaczenie dokumentu jako podejrzanego – mówi Maria Wróblewska, AI Team Manager w Comarchu.
Ransomware wciąż dominuje
Z przeprowadzonego na zlecenie firmy Sophos badania „State of Ransomware Poland 2024” wynika, że w 2023 r. co piąte przedsiębiorstwo w Polsce padło ofiarą złośliwego oprogramowania ransomware. W połowie zaatakowanych firm cyberprzestępcy zaszyfrowali dane, zaś w 39 proc. atak udało się zatrzymać zanim doszło do zaszyfrowania. W przypadku 32 proc. firm dotkniętych ransomware w 2023 r. praprzyczyną umożliwiającą cyberprzestępcom przeniknięcie do systemów IT ofiary były wiadomości phishingowe.
Ransomware jest globalnym problemem numer jeden, spędzającym sen z powiek administratorom we wszystkich krajach. Na przełomie lipca i sierpnia br. media doniosły o szokującej, rekordowej wysokości okupu zapłaconego gangowi cyberprzestępców Dark Angels – za odszyfrowanie danych jedna z firm z listy Fortune 50 (nie ujawniono jej nazwy) zapłaciła aż 75 mln dol. Dotychczasowy rekord, zapłacony przez firmę ubezpieczeniową CNA grupie cyberprzestępców Evil Corp, wynosił 40 mln dol. Z upublicznionych w ostatnim czasie ofiar ataków na świecie wymienić można franczyzową rozlewnię Coca-Cola FEMSA, Sony czy brytyjską pocztę Royal Mail. W Polsce zaatakowany został między innymi system Śląskiej Karty Usług Publicznych, natomiast pierwszym bankiem, w którym doszło do zaszyfrowania danych był Bank Spółdzielczy w Zambrowie.
W pierwszej połowie 2024 r. swoje działania zintensyfikował gang Balada Injector, znany z wykorzystywania luk we wtyczkach WordPress. Naraził na szwank ponad 20 tys. stron internetowych poprzez wstrzyknięcie złośliwego kodu JavaScript, a działania te zostały wykryte ponad 400 tys. razy przez systemy telemetryczne ESET w pierwszym półroczu 2024 r. Co ciekawe, wśród krajów, w których miało miejsce najwięcej takich sytuacji, z użyciem najświeższego wariantu tego zagrożenia, znalazła się Polska (9 proc.), a tuż za nią Francja (7 proc.) i Stany Zjednoczone (6 proc.).
Z kolei zespół Cisco Talos Incident Response (IR) ostrzega, że w incydentach odnotowanych w II kwartale 2024 r. najczęstsze luki w zabezpieczeniach stanowiły podatne lub niewłaściwie skonfigurowane systemy oraz brak odpowiedniej autoryzacji wieloskładnikowej. Te dwa czynniki zaobserwowano w niemal wszystkich przypadkach. W 80 proc. ataków ransomware brakowało implementacji MFA w systemach krytycznych, takich jak VPN.
Jednym z głównych zagrożeń po-zostają ataki typu Business Email Compromise (BEC). Wykorzystują one wiarygodne konta mejlowe w celu wysyłania wiadomości phishingowych, aby uzyskać wrażliwe dane, takie jak hasła logowania. Cyberprzestępcy mogą również wykorzystywać skompromitowane konta do rozsyłania wiadomości z fałszywymi żądaniami finansowymi, takimi jak zmiana danych do kont bankowych związanych z listą płac lub fakturami od dostawców. W kilku zaobserwowanych incydentach BEC, które obejmowały metodę phishingu jako wektor infekcji, przeciwnicy wykorzystali smishing (phishing SMS-owy) w celu nakłonienia odbiorców do udostępnienia danych osobowych lub kliknięcia w złośliwy link.
Nadal popularny jest cryptojacking, czyli kradzież mocy obliczeniowej komputerów lub serwerów ofiar do wydobywania kryptowalut. Deponowane są one w portfelach należących do napastnika, podczas gdy koszty wydobycia – energia elektryczna i zużycie komputerów – obciążają ofiarę. Napastnicy biorą na cel zarówno użytkowników indywidualnych, jak i przedsiębiorstwa, instytucje, a czasami nawet przemysłowe systemy kontroli. Wyliczono, że w przypadku dużych serwerowni każdy dolar zarobiony przez napastników oznacza dla ofiary 53 dol. straty. Ta aktywność przypisywana jest profesjonalnym grupom hakerskim, a ze szczególnie złej strony dała się poznać ekipa TeamTNT, która przeprowadza ataki zazwyczaj wymierzone w duże centra danych.
Podobne artykuły
Plan B dla danych
Wielu szefów działów IT deklaruje, że dysponuje planem B na wypadek cyfrowego ataku lub niespodziewanej awarii. W lipcu nastąpiło globalne „sprawdzam”.
Szkolenia G DATA eliminują najsłabsze ogniwo cyberbezpieczeństwa
Organizowane przez G DATA szkolenia z zakresu ochrony cyfrowych zasobów dostarczają niezbędnej wiedzy i umiejętności, które pomagają skutecznie unikać zagrożeń w internecie.