Przykłady najciekawszych ataków z ostatnich miesięcy

  • Cyfrowy atak = analogowe bilety

W nocy z 7 na 8 lutego br. doszło do ataku ransomware na stare i prawdopodobnie nieaktualizowane systemy serwerowe, odpowiedzialne za obsługę systemu ŚKUP (Śląska Karta Usług Publicznych), funkcjonującego w ramach Górnośląsko-Zagłębiowskiej Metropolii. Przestały działać portal, aplikacja Mobilny ŚKUP, system dynamicznej informacji pasażerskiej oraz znajdujące się w pojazdach kasowniki z czytnikami kart. Użytkownicy komunikacji publicznej przez ponad tydzień byli proszeni przez Zarząd Transportu Metropolitalnego o samodzielne kasowanie papierowych biletów, poprzez… wpisanie na nich długopisem daty i godziny przejazdu oraz kasowanie ich w kasownikach dziurkujących. Urzędnicy oświadczyli, że nie zapłacili okupu, ale też zaznaczyli, że w wyniku ataku nie doszło do wycieku danych.

  • Menedżery haseł nie tak bezpieczne?

Pod koniec grudnia ub.r. pojawiła się informacja o wycieku danych użytkowników menedżera haseł LastPass. Do incydentu doszło dzięki uzyskaniu przez hakerów już w sierpniu 2022 r. dostępu do danych firmy przechowywanych w chmurze. W ręce cyberprzestępców mogły wpaść zarówno adresy e-mail, loginy, jak i klucze dostępu do danych przechowywanych w chmurze – według zapewnień przedsiębiorstwa były szyfrowane 256-bitowym kluczem AES i pozostaną nienaruszone bez dostępu do haseł głównych, znanych wyłącznie użytkownikom. Twórcy menedżera haseł przekonują, że klienci, którzy zabezpieczyli wirtualne sejfy unikalnym i silnym hasłem głównym o długości przynajmniej 12 znaków, mogą spać spokojnie. LastPass uspokaja, że złamanie takich haseł za pomocą ogólnodostępnych technologii zajęłoby miliony lat.

  • Pierwsze fałszywe aplikacje w Apple App Store

Eksperci Sophosa namierzyli pierwsze złośliwe oprogramowanie, którego twórcom udało się obejść restrykcyjne protokoły bezpieczeństwa Apple i umieścić je w sklepie App Store (były dostępne też w zdecydowanie gorzej zabezpieczonym sklepie Google Play). Cyberprzestępcy próbowali z jego pomocą namawiać użytkowników aplikacji randkowych do dokonania inwestycji w kryptowaluty w fałszywej aplikacji. Oszustwo to było realizowane w modelu CryptoRom, który należy do jednych z najbardziej czasochłonnych i skomplikowanych działań podejmowanych przez hakerów. Działają oni według podobnego schematu: tworzą i prowadzą na Facebooku fałszywy profil bogatej osoby mieszkającej np. w Londynie, po czym szukają potencjalnych ofiar w serwisach i aplikacjach randkowych. W trakcie rozmowy proponują im inwestycje w kryptowaluty, sugerując pobranie specjalnej aplikacji.

  • DDoS na samolot

Rosyjscy hakerzy zakłócili kontakt pomiędzy NATO a samolotami wojskowymi udzielającymi pomocy ofiarom turecko-syryjskiego trzęsienia ziemi. Do przeprowadzenia ataku DDoS przyznała się grupa hakerów Killnet. Wśród podmiotów dotkniętych atakiem znalazła się międzynarodowa organizacja Strategic Airlift Capability (SAC), która wspiera NATO w przeprowadzaniu wojskowych i humanitarnych transportów powietrznych. Jeden z należących do niej samolotów C-17 także prawdopodobnie został dotknięty atakiem typu DDoS, gdy przewoził zaopatrzenie do bazy lotniczej Incirlik w południowej Turcji. Chociaż kontakt z samolotem nie został utracony, atak hakerów prawdopodobnie utrudnił akcję ratunkową. Zachodnie agencje bezpieczeństwa opisały Killnet jako luźną grupę prokremlowskich aktywistów, których celem jest zakłócanie działania wojskowych i rządowych stron internetowych krajów wspierających Ukrainę.

  • LOL i TFT u cyberprzestępców

Riot Games, twórca popularnej gry „League of Legends”, padł ofiarą ataku ransomware w styczniu br. Jak przyznał, cyberprzestępcy wykradli zarówno kod jej najpopularniejszego produktu, jak też jego spin-offu, gry „Teamfight Tactics”. Za rezygnację z jego upublicznienia zażądano aż 10 mln dol. Riot Games odmówił, kody źródłowe zostały więc wystawione na sprzedaż w dark webie, ale nie wiadomo, czy znalazł się nabywca. Podkreślono też, że w wyniku ataku nie wyciekły żadne dane graczy.

  • Stan wyjątkowy w Oakland

Kalifornijskie miasto Oakland ogłosiło lokalny stan wyjątkowy po przeprowadzonym w lutym br. ataku ransomware na ważne miejskie systemy. W jego wyniku wiele urzędów, placówek medycznych i departamentów zostało zainfekowanych, a niektóre całkowicie wyłączone. Urzędnicy mieli trudności z pobieraniem płatności, przetwarzaniem raportów oraz wydawaniem różnorodnych pozwoleń i licencji. Niektóre instytucje publiczne zostały zamknięte, a obywatele byli zachęcani do wysyłania e-maili do punktów usługowych, które chcieli odwiedzić, aby uzyskać informację na temat godzin ich funkcjonowania.

  • Dane pacjentów bez kopii

Centrum Medyczne TW-MED z Otwocka 13 stycznia 2023 r. padło ofiarą ataku ransomware, w wyniku którego zaszyfrowane zostały dane wszystkich pacjentów z lat 2018–2023, takie jak: imię i nazwisko, numer PESEL, dane kontaktowe, wyniki badań i inne informacje zgromadzone w dokumentacji medycznej pacjenta, w tym w szczególności dane dotyczące stanu zdrowia. Jak przyznał zarząd placówki, nie wykonano kopii zapasowej tych danych.