Jak wynika z danych należącej do Grupy Asseco firmy ComCERT, w ostatnim czasie w Polsce liczba cyberataków wzrosła średnio o 25 proc. (rok do roku). Tym bardziej cieszy, że w większości przedsiębiorstw nakłady inwestycyjne na bezpieczeństwo były przeciętnie o 1/3 wyższe. Eksperci podkreślają, że w minionym roku na sytuację w cyberprzestrzeni znaczący wpływ miała wojna w Ukrainie. Aż 85 proc. ataków pochodziło z zewnątrz, podczas gdy 15 proc. stanowiły zagrożenia wewnętrzne. Ponad połowa kampanii była prowadzona przez zorganizowane grupy przestępcze. W 2022 r. najczęściej występującymi zagrożeniami były phishing i DDoS, stanowiące łącznie ponad 80 proc. wszystkich cyfrowych incydentów.

Rok 2023 ma być – w najlepszym wypadku – równie trudny. Prób ataków będzie więcej, co ma związek z wojną i spowolnieniem gospodarczym (ograniczenia inwestycyjne zwiększające czynniki ryzyka). Pojawi się także więcej oszustw związanych z kryptowalutami bowiem w obliczu rosnącej inflacji i wysokich stóp procentowych wiele osób szuka korzystnych ofert finansowych i często traci czujność. Sztuczna inteligencja natomiast będzie stanowiła broń dla obu stron, bo na usprawnieniu procesu analizy jakości kodu oraz automatyzacji wielu czynności skorzystają zarówno twórcy rozwiązań ochronnych, jak też cyberprzestępcy.

Niedawno Sophos przeprowadził badanie dotyczące największych wyzwań związanych z zapewnianiem cyberbezpieczeństwa w polskich firmach. Wynika z niego, że 35 proc. osób na stanowiskach kierowniczych za największą przeszkodę w tej dziedzinie uważa ceny rozwiązań i usług ochronnych – na tę kwestię w równym stopniu wskazują zarówno mali, jak i duzi przedsiębiorcy. Co ciekawe, w tym kontekście większego znaczenia nie ma ani wysokość rocznych obrotów przebadanych podmiotów, ani liczba pracowników. Z badania wynika także, że średnio co czwarta polska firma nie ma budżetu na ochronę przed cyberzagrożeniami. Im niższe obroty, tym trudniej jest wygospodarować na to odpowiednie środki.

Blisko 30 proc. ankietowanych zwróciło również uwagę na nieświadomych cyberzagrożeń pracowników. Kwestia ta była wskazywana częściej niż problemy związane z czasem potrzebnym na wdrożenie odpowiednich rozwiązań (28 proc.), niską dostępnością wykwalifikowanych specjalistów (27 proc.) czy przestarzałą infrastrukturą IT w przedsiębiorstwach (26 proc.). W co piątej polskiej firmie barierą w zapewnianiu cyberbezpieczeństwa jest niechęć kadry do korzystania z rozwiązań ochronnych, zwłaszcza w podmiotach zatrudniających powyżej 250 pracowników.

Ataki z każdej strony  

Na początku 2022 r., gdy rozpoczęła się wojna rosyjsko-ukraińska, działający w strukturach Fortinetu zespół analityków bezpieczeństwa FortiGuard Labs odnotował obecność kilku nowych rodzajów wiperów (złośliwy kod bezpowrotnie usuwający dane), które ewidentnie powstały na zlecenie rządów obu krajów. W dalszej części roku tego typu złośliwe oprogramowanie rozszerzyło swój zakres geograficzny, jak też stopień aktywności – w IV kwartale odnotowano ich o 53 proc. więcej niż w III kwartale.

Ciekawym zjawiskiem zaobserwowanym przez ten sam zespół jest maksymalizacja poziomu zwrotu z inwestycji w działania wcześniej podjęte przez cyberprzestępców. Polega między innymi na ponownym wykorzystaniu wcześniej opracowanego i sprawdzonego „w boju” kodu. Główne zmiany polegają w takich przypadkach na nieznacznym dopracowaniu mechanizmu ataku w celu pokonania rozwiązań zabezpieczających, które były w stanie zablokować go wcześniej. Nie powinno więc dziwić, że większość przeanalizowanego przez FortiGuard Labs złośliwego kodu w drugiej połowie 2022 r. miała więcej niż rok.

Wykorzystywane są też istniejące już sieci botnetów składających się  z „komputerów zombie” – okazuje się, że na wielu z nich złośliwy kod nadal jest aktywny, co świadczy o braku jakichkolwiek zabezpieczeń, bo jest on obecnie wykrywany przez wszystkie programy antywirusowe. Na przykład aktywność botnetu Morto, który został po raz pierwszy zaobserwowany w 2011 r., gwałtownie wzrosła pod koniec 2022 r. A inne, takie jak Mirai i Gh0st.Rat, nadal są rozpowszechnione we wszystkich regionach. Co zaskakujące, z pięciu największych obserwowanych botnetów tylko RotaJakiro pochodzi z obecnej dekady.

Analitycy Acronisa podkreślają, że coraz częściej celem ataków będzie oprogramowanie do uwierzytelniania i zarządzania dostępem do tożsamości (IAM). Cyberprzestępcy już zaczęli kraść lub omijać tokeny uwierzytelniania wieloskładnikowego (MFA). W innych sytuacjach występuje przytłaczanie ofiar żądaniami (tzw. atak zmęczeniowy), co również może prowadzić do udanych logowań bez potrzeby wykorzystania luki w zabezpieczeniach. Problemem od wielu lat nadal pozostaje stosowanie słabych i powtarzalnych haseł.

Zdaniem ekspertów Acronisu pojawi się również więcej ataków w przeglądarce lub realizowanych za jej pośrednictwem, które przeprowadzane będą z poziomu sesji. Do tego celu stosowane będą złośliwe rozszerzenia przeglądarki podmieniające adresy transakcji lub kradnące hasła w tle. Istnieje również tendencja do przejmowania kodu źródłowego takich narzędzi i dodawania backdoorów za pośrednictwem repozytorium GitHub. Z drugiej strony portale internetowe będą nadal śledzić użytkowników za pomocą JavaScript i udostępniać identyfikatory sesji przez odsyłacze HTTP do usług marketingowych. Atakujący rozwiną techniki Formjacking/Magecart, w których małe dodane fragmenty kradną wszystkie informacje w tle oryginalnej witryny. Wraz z rozwojem przetwarzania bezserwerowego analiza takiego ataku może stać się bardziej skomplikowana.