Dane, jakie napływają od analityków zajmujących się cyberbezpieczeństwem, nie pozostawiają miejsca na złudzenia – ubiegły rok był, niestety, wyjątkowo udany dla gangów ransomware. Nic dziwnego, że wielu szefów działów IT chciałoby o nim jak najszybciej zapomnieć. Przykładowo, korki do szampana raczej nie strzelały w działach cyberbezpieczeństwa Boeinga, MGM Resorts czy Henry Schein. Natomiast w gronie zwycięzców, liczących krociowe zyski, znalazły się na pewno trzy organizacje przestępcze: LockBit, BlackCat oraz Clop.

Bezradność wielkich koncernów oraz instytucji dodatkowo napędza działania cyberprzestępców, a do znanych gangów dołączają nowicjusze. Wyjątkową zuchwałością wykazała się chociażby szerzej nieznana grupa przestępcza Rhysida, która włamała się do słynnej Biblioteki Brytyjskiej. Napastnicy zaszyfrowali dane i zażądali pieniędzy w zamian za klucz. Biblioteka i jej katalog, liczący 14 milionów książek, do tej pory pozostaje w trybie offline…

Cyberprzestępcy raczej nie przywiązują większej wagi do branży, w jakiej działa potencjalna ofiara. Liczą się przede wszystkim jakość zabezpieczeń, budżet oraz liczba pracowników. Stąd jednym z ulubionych celów są placówki medyczne oraz edukacyjne. W takich przypadkach istnieje duże prawdopodobieństwo opłacenia wysokiego okupu, a także spore możliwości w zakresie przekupienia osoby, która zapewni dostęp do infrastruktury IT. Specjaliści z Darktrace zwracają uwagę, że nasilenie występuje podczas świąt, weekendów oraz poza regularnymi godzinami pracy. Ataki są wtedy trudniejsze do wykrycia, a co za tym idzie mogą przynieść poważniejsze szkody z uwagi na brak natychmiastowej reakcji ze strony ofiary. Według szacunków firmy Chainalysis suma płatności okupów w okresie od stycznia do czerwca 2023 r. osiągnęła poziom 449 mln dol. w porównaniu do 559 mln dol. w całym 2022 r. Z kolei Orange Cyberdefense informuje, że w pierwszych trzech miesiącach 2023 r. liczba ofiar wymuszeń cybernetycznych wyniosła 1086, a tym samym była o 33 proc. wyższa niż rok wcześniej.

Osobną kwestię stanowią cyberataki na infrastrukturę szkół, szpitali, zakładów energetycznych, które zagrażają nie tylko uszczupleniem budżetów konkretnych ofiar, ale przede wszystkim bezpieczeństwu narodowemu. Choć analitycy, a także dostawcy systemów bezpieczeństwa IT, publikują raporty dotyczące ransomware’u, to skala zjawiska jest dość trudna do zmierzenia. Większość organizacji, które padły ofiarą ataku hakerskiego lub zapłaciły okup, niechętnie się do tego przyznaje. Z drugiej strony, rosnąca liczba incydentów może odzwierciedlać lepszą wykrywalność ataków.

– Dane dotyczą wszystkich incydentów, niezależnie od tego czy były one udane z punktu widzenia napastników. Statystyki mogą zawierać drobne naruszenia polityki bezpieczeństwa. Według prawa polskiego firmy są zobowiązane do zgłaszania wszelkich incydentów związanych z bezpieczeństwem. W związku z tym dane świadczą o większej skuteczności w zakresie wykrywalności incydentów – tłumaczy Rafał Salasa, Security Junior System Engineer w Ingram Micro.

Phishing ma kilka twarzy

Wprawdzie ransomware i phishing są traktowane jako dwie osobne kategorie cyberataków, niemniej mają ze sobą wiele wspólnego. Jak wynika z danych firmy Sophos, co trzeci atak ransomware rozpoczyna się od otwarcia złośliwej informacji mejlowej. Przy czym nic nie wskazuje na to, że w najbliższym czasie ten wskaźnik się zmniejszy, bowiem techniki phishingu stają się coraz bardziej zróżnicowane. Jeszcze do niedawna napastnicy kusili potencjalne ofiary nagrodami (pod hasłami typu „wygrałeś iPhone’a”), ale ostatnimi czasy stosują bardziej wysublimowane metody. Do adresatów często trafiają groźby w rodzaju „twoje konto może zostać naruszone”, „nie odnotowaliśmy zapłaty za…”., a nawet wezwania na policję. Oszuści w mejlach bądź SMS-ach, najczęściej podszywają się pod firmy kurierskie, platformy handlowe, dostawców usług chmurowych bądź streamingu. Napastnicy od ponad roku mają też silnego sojusznika w postaci ChatGPT. Inteligentna „bestia” ułatwia oszustom przygotowanie wiadomości w dowolnym języku świata, bez błędów ortograficznych oraz stylistycznych. Warto odnotować, że równolegle pojawiły się nowe narzędzia, takie jak WormGPT czy FraudGPT, przeznaczone do tworzenia wiadomości phishingowych.

Jednym z głównych celów kampanii phishingowych jest pozyskanie od ofiar danych uwierzytelniających, a szczególnie łakomym kąskiem są administratorzy IT. Według raportu „Cofense Phishing Intelligence Trends Review” w trzecim kwartale ubiegłego roku nastąpił 85-procentowy wzrost ataków phishingowych związanych z wyłudzaniem tego rodzaju informacji (w porównaniu z analogicznym okresem 2022 r.). Cofense zauważa też powrót „rodzin” szkodliwego oprogramowania nieaktywnych w poprzednich kwartałach. Natomiast mniej widoczne stały się powszechnie znane odmiany, takie jak QakBot i Emotet.

Kolejnym godnym uwagi zjawiskiem jest rozprzestrzenianie się quishingu, czyli umieszczanie spreparowanych przez oszustów kodów QR w mejlach i SMS-ach lub w postaci naklejek usytuowanych w środkach transportu publicznego, sklepach czy kinach. Ofiara, po zeskanowaniu kodu QR, trafia na fałszywą witrynę, która sprawia wrażenie zaufanej usługi lub aplikacji. Ta stosunkowo nowa odmiana phishingu jest bardzo niebezpieczna, bowiem ludzie mają dość duże zaufanie do kodów QR. Poza tym utworzenie takiego kodu jest bardzo proste i oszust może go wygenerować w kilka minut.

Na uwagę zasługuje też rozpowszechnianie się spear phishingu. Otóż cyberprzestępcy przez długi czas wysyłali spam masowo, mając nadzieję, że najbardziej naiwni odbiorcy wiadomości wpadną w ich sidła. Natomiast spear phishing nie polega na wysłaniu mejli na oślep, wręcz przeciwnie. W tym modelu działania napastnicy najpierw zbierają informację o osobie będącej celem oszustwa, aby w ten sposób zwiększyć skuteczność swoich działań. Dlatego specjaliści ds. cyberbezpieczeństwa zalecają osobom zajmującym wyższe stanowiska w organizacjach, bądź mającym dostęp do kluczowych danych firmowych, aby bardzo dbały o swoją prywatność sieci, niezależnie od tego czy posługują się służbowymi czy prywatnymi narzędziami.

Zdaniem integratora

Karol Girjat, Business Development Manager, Net Complex  

Zbudowanie systemu bezpieczeństwa bazującego na wielu warstwach ochrony stanowi kluczowy element skutecznej obrony przed atakami ransomware. Strategia taka obejmuje kilka najważniejszych filarów, które, współpracując ze sobą, tworzą spójny system zabezpieczeń. Fundamentalną kwestią jest regularne aktualizowanie i łatanie systemów, co gwarantuje ochronę przed znanymi lukami. W tym kontekście istnieje potrzeba regularnego przeprowadzania audytów oraz testów penetracyjnych, które identyfikują słabe punkty w systemie, umożliwiając dostosowanie strategii bezpieczeństwa. Istotne jest również zastosowanie segmentacji sieci, ograniczającej rozprzestrzenianie się złośliwego oprogramowania oraz monitorowanie zdarzeń dla wczesnego wykrywania potencjalnych ataków. Z kolei polityki dostępu i podejście Zero Trust Network Access (ZTNA) minimalizują ryzyko nieuprawnionego dostępu.