Początek roku dla wszystkich firm był okazją do podzielenia się opiniami na temat minionych 12 miesięcy, jak też prognoz na kolejne. Przedstawiciele branży cyberbezpieczeństwa masowo wskazywali na rosnący profesjonalizm twórców ransomware’u, ich rosnącą determinację w wykrywaniu luk w oprogramowaniu, jak też kontynuowanie działań manipulacyjnych, przede wszystkim z pandemią i rosnącymi globalnie cenami w tle. Dominowała narracja, że będziemy świadkami ewolucji znanych już wcześniej zagrożeń, bowiem przynoszą one cyberprzestępcom spodziewane zyski. Niewielu wspomniało o tym, że znacznie wzrośnie ryzyko ataków, których zleceniodawcami będą rządy krajów lub stowarzyszone z nimi instytucje.

Ciekawym trendem, na który wskazali między innymi analitycy Cisco Talos, jest kierowanie działań przestępczych przeciwko analitykom cyberbezpieczeństwa, czyli sytuacja, w której łowcy sami stali się zwierzyną. Kilku przedstawicieli tej grupy miało znaleźć się wśród osób, do których kierowane były złośliwe linki i wiadomości w mediach społecznościowych z fałszywych kont, mające na celu wyłudzenie informacji. Zwrócili oni też uwagę, że cyberprzestępcy będą skupiać się na atakowaniu dostawców usług – poziom trudności tego procederu jest oczywiście znacznie wyższy, ale znacznie większe będą też owoce w przypadku sukcesu, bo potencjalnie zagrożonych będzie wówczas wielu klientów danej firmy.

Gdzie rakieta nie sięga…

25 lutego, a więc już dzień po ataku Rosji na Ukrainę, grupa haktywistów Anonymous wypowiedziała rosyjskiemu rządowi „cyberwojnę”. Kilka godzin później grupa Conti, rozpowszechniająca złośliwe oprogramowanie ransomware na swojej stronie w Dark Webie, zadeklarowała pełne poparcie dla rosyjskiego rządu. Co prawda niedługo potem złagodziła stanowisko, ale zasugerowała, że może uderzyć w odpowiedzi na podjętą przez Amerykanów agresję w cyberprzestrzeni.

Warto też pamiętać, że Rosjanie mają „w odwodzie” 14 członków gangu REvil, którzy zostali aresztowani przez Federalną Służbę Bezpieczeństwa (FSB) na żądanie rządu Stanów Zjednoczonych za bardzo dotkliwy atak ransomware przeprowadzony na oprogramowanie firmy Kaseya, którego ofiarami padło wielu jej klientów. Cyberprzestępcom skonfiskowano olbrzymie kwoty pieniędzy, kryptowaluty, jak też dobra materialne. Niewykluczone jednak, że w obecnej sytuacji eksperci z takim doświadczeniem mogą się rosyjskiemu rządowi bardzo przydać, w zamian za odzyskanie wolności.

1 marca od wojny zdystansowała się inna grupa ransomware – TheRedBanditsRU. Na Twitterze opublikowała oświadczenie, że nie będzie atakowała ukraińskich celów cywilnych. Zasugerowała jednocześnie, że wyjątkiem może być ukraiński rząd. Sytuacja z pewnością będzie eskalowała, tym bardziej że zleceniodawcom trudniej jest udowodnić przeprowadzenie cyberataku niż wystrzelenie konwencjonalnych rakiet.

Dlatego, ze względu na prawdopodobny wzrost częstotliwości i dotkliwości ataków, firmy i instytucje na całym świecie, a szczególnie w krajach sąsiadujących z Ukrainą, powinny być przygotowane na ataki i zadbać o zaawansowaną ochronę. Pojawiły się już informacje o ataku złośliwego oprogramowania na ukraińskie systemy kontroli granicznej, który miał zakłócić przepływ uchodźców przez granicę z Rumunią. Proofpoint opublikował też dane o wzroście phishingu wymierzonego w urzędników NATO.

Warto też zauważyć, że dezinformacja, przyjęta jako jedno z narzędzi w oficjalnej rosyjskiej doktrynie wojennej z 2010 r., dotyczy też cyberataków. Może upłynąć wiele miesięcy zanim pojawią się dowody na cyfrowe działania związane z sytuacją na Ukrainie. Cyberprzestępcy często zostawiają fałszywe poszlaki dotyczące państwa, z którego atakują – to powszechna praktyka, niezależnie od sytuacji geopolitycznej. Tak było w połowie stycznia br., gdy wiele ukraińskich stron rządowych zostało zablokowanych przez złośliwe oprogramowanie. Atakujący zostawili fałszywe informacje wskazujące na dysydentów ukraińskich lub stronę polską. Ministerstwo Obrony Ukrainy ostrzegło też swoich obywateli, że niewykluczone jest, iż Rosja stworzy deepfake’a z twarzą Wołodymyra Zełenskiego, aby siać panikę i skłonić ukraińskie wojsko do złożenia broni.

Eksperci ESET z kolei ostrzegają, że tematyka kryzysu humanitarnego w Ukrainie w oczywisty sposób wykorzystywana jest już w kampaniach phishingowych. Pojawiły się już fałszywe strony internetowe organizacji charytatywnych oraz mejle z prośbami o pomoc finansową. Obecnie ofiara takich działań ryzykuje, że jej fundusze trafią do rąk cyberprzestępców, a nie do potrzebujących, ale z pewnością tematyka ta będzie też wykorzystywana do nakłaniania do kliknięcia w linki prowadzące do „klasycznego” złośliwego kodu.

Ransomware wciąż numerem jeden

Sytuacja w Ukrainie nie zwalnia jednak z przyglądania się innym rodzajom ataków podejmowanych przez cyberprzestępców. W tym kontekście prym od kilku lat należy do ransomware’u i nic nie wskazuje, aby w najbliższych latach miało się to zmienić. Ten rodzaj złośliwego oprogramowania jest bowiem obecnie najbardziej dochodowym rodzajem ataków.

Z danych należącego do Fortinetu zespołu analityków FortiGuard Labs wynika, że rośnie poziom wyrafinowania ataków, ich agresywność i wpływ na przedsiębiorstwa. Cyberprzestępcy nadal atakują za pomocą zarówno nowych, jak i wcześniej spotykanych wariantów ransomware’u. Te starsze odmiany są nieustannie aktualizowane i udoskonalane, czasami dołączane jest do nich złośliwe oprogramowanie typu wiper. Ewoluuje też model biznesowy Ransomware-as-as-Service (RaaS), w ramach którego można wynająć usługę zaatakowania konkretnej osoby lub podmiotu. Dodatkowo, kontynuowana jest praktyka kradzieży poufnych danych i szantażowania ofiary ich upublicznieniem w przypadku odmowy opłacenia okupu.

Analitycy Bitdefendera przewidują, że nastąpi wzrost liczby ataków ransomware na systemy Linux, które będą ukierunkowane na pamięć masową lub szablony środowisk wirtualnych. Zmotywowane wysokimi profitami gangi ciągle ulepszają metody i wymyślają nowe, aby zwiększyć presję na swoje ofiary. W 2021 r. pojawiły się żądania okupu w wysokości dziesiątek milionów dolarów, a wkrótce mogą przekroczyć 100 mln dol.

W grudniu ub.r. systemy telemetryczne Bitdefendera zidentyfikowały 232 odmiany oprogramowania ransomware. Do państw najbardziej dotkniętych należały Stany Zjednoczone (26 proc.), Brazylia (15 proc.), Iran (13 proc.), Indie (12 proc.) oraz Niemcy (8 proc.). Najbardziej nękanymi przez ransomware branżami w grudniu były: edukacja (30 proc.), instytucje rządowe (25 proc.) i dostawcy usług telekomunikacyjnych (22 proc.).