Agresja Rosji na Ukrainę, ransomware wymierzone w systemy rosyjskie, wzrost świadomości zagrożenia przekładający się na większą dbałość o bezpieczeństwo i przestępcy, którzy sięgać będą po sztuczną inteligencję. To, jak komentują eksperci ds. cyberbezpieczeństwa z ESET, Stormshield i DAGMA, zdarzenia i zjawiska warte szczególnego odnotowania w pierwszym półroczu bieżącego roku.
Zdarzeniem, które w największym stopniu wpłynęło na zagadnienia w obszarze cyberbezpieczeństwa, była rosyjska agresja na Ukrainę. Specjaliści ESET wskazują w tym kontekście na dwa szczególne trendy. Pierwszym jest wykorzystanie sfery cyfrowej jako pola walki. Choć telemetria ESET i prowadzone przez firmę analizy pokazują, że działania przeciwko Ukrainie prowadziło w ostatnich latach wiele grup APT, to działania z końca lutego były w tym kontekście o tyle szczególne, że ich przeprowadzenie – przygotowywane od wielu miesięcy – było bezpośrednim wstępem do działań militarnych. Napastnicy łączyli ataki DDoS z wykorzystaniem oprogramowania typu „wiper” (CaddyWiper, HermeticWiper czy IsaacWiper), tj. niszczącego zawartość zainfekowanych dysków. Drugim trendem, na który wskazują, było wykorzystywanie w działaniach przestępczych motywu pomocy uchodźcom wojennym.
– Pierwsze miesiące bieżącego roku przyniosły ataki cyberwojenne pierwszy raz prowadzone na tak szeroką skalę, a także oszustwa w postaci fałszywych zbiórek na rzecz pomocy mieszkańcom Ukrainy. Nigdy wcześniej nie zaobserwowano tak wielu wyspecjalizowanych i ukierunkowanych ataków wycelowanych w systemy i sieci jednego kraju, które byłyby przeprowadzone w tak krótkim okresie – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.
Zwraca on również uwagę na fakt odnotowania przez telemetrię ESET wzmożonej aktywności wymierzonej w rosyjskie systemy cyfrowe.
W pierwszych czterech miesiącach bieżącego roku odnotowaliśmy znaczny wzrost detekcji oprogramowania ransomware wycelowanego w rosyjskie systemy, niektóre z analizowanych zagrożeń posługiwały się nawet tytułem „Slava Ukraini”. Wzrost detekcji oprogramowania ransomware wycelowanego w rosyjskich użytkowników to nowe zjawisko, wcześniej tego typu zagrożenia generalnie unikały infekowania systemów w Rosji – mówi Kamil Sadkowski.
Dagma Bezpieczeństwo IT
W opinii DAGMY wart podkreślenia jest wzrost zainteresowania zagadnieniami cyberbezpieczeństwa, do czego przyczyniła się pandemia i będące jej pokłosiem zmiany. Praca zdalna, rozwój branży e-commerce czy medycyny online spowodował, że aktywność społeczna i zawodowa w znacznym stopniu przeniosły się do sieci.
– Wielu użytkowników Internetu zaczęło krytycznie podchodzić do kwestii własnego cyberbezpieczeństwa. Pomocne w zrozumieniu podstawowych zagadnień z cyberbezpieczeństwa były materiały tworzone przez specjalistów IT security, które pokazywały jak bezpiecznie korzystać z Internetu, pracować zdalnie czy zabezpieczyć swoje dane – komentuje Krystian Paszek, ekspert ds. cyberbezpieczeństwa i audytów w DAGMA Bezpieczeństwo IT.
Zwraca przy tym uwagę, że podobny trend można zauważyć wśród osób decyzyjnych wielu firm, w których praca zdalna była novum, w związku z którym zaczęły pojawiać się pytania o zabezpieczenie danych firmowych.
– Wiele firm podjęło dodatkowe działania, które w pierwszej kolejności miały na celu zweryfikowanie stanu bezpieczeństwa, wskazanie luk i słabych punktów, a w dalszych krokach podniesienie poziomu cyberbezpieczeństwa w posiadanej infrastrukturze. Zawsze podkreślamy, że świadomość zagrożenia jest fundamentem bezpieczeństwa, a ta kwestia przez lata była niedoceniana. Obecnie zauważamy pozytywne zmiany, choć oczywiście, mówiąc kolokwialnie, wciąż jesteśmy w tyle. Jednak coraz więcej podmiotów wprowadza w swoje struktury komórki zarządzające cyberbezpieczeństwem, jak również współpracuje z firmami zajmującymi się IT Security – mówi Krystian Paszek.
– Nowym trendem jest również szkolenie pracowników biurowych z zakresu bezpieczeństwa cyfrowego i radzenia sobie z socjotechniką wykorzystywaną przez internetowych przestępców. Do zarządzających dociera, że to człowiek wciąż jest najsłabszym ogniwem w przypadku ataków hakerskich. Większa świadomość tego faktu cieszy – dodaje.
Eksperci DAGMY wskazują także na wzrost zagrożeń związanych z dezinformacją oraz atakami phishingowymi, przede wszystkim ukierunkowanymi na wojnę w Ukrainie. Zwracają uwagę na podniesienie poziomu alertu CRP, do poziomu trzeciego Charlie. Jest on wprowadzany w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny atak o charakterze terrorystycznym w cyberprzestrzeni lub uzyskania wiarygodnych informacji o planowanym zdarzeniu. Ogłoszenie poziomu Charlie 3 to pokłosie zaangażowania się Polski w pomoc dla Ukrainy.
– Rosyjscy hakerzy wielokrotnie wypowiadali wojnę w sieci, zapowiadając ataki na infrastrukturę technologiczną zachodnich państw wspierających Ukrainę. Polska znacząco zaangażowała się w pomoc dla Ukrainy, przez co znalazła się w gronie państw najbardziej zagrożonych odwetem i rosyjskimi atakami cybernetycznymi. Z danych zgromadzonych przez ESET wynika, że były podejmowane ataki na polski sektor zbrojeniowy i energetyczny – dodaje ekspert DAGMA Bezpieczeństwo IT.
– Alert Charlie 3 to sygnał dla służb i administracji publicznej do zachowania szczególnej czujności. Administracja jest zobowiązana do całodobowego prowadzenia wzmożonego monitoringu stanu bezpieczeństwa systemów teleinformatycznych dla systemów kluczowych. Instytucje publiczne są zobowiązane by monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej – dopowiada Aleksander Kostuch ze Stormshield.
STORMSHIELD
Istotnie zwiększyło się zagrożenie funkcjonowania systemów krytycznych dla funkcjonowania państwa i biznesu. Efekt działań ataków cybernetycznych najczęściej nie zawsze ma już na celu zarobkowanie. Ataki mają zdestabilizować logistykę, wytwarzanie i dystrybucję energii elektrycznej, wodociągi, kanalizację czy też gazownictwo – komentuje Aleksander Kostuch.
Wykorzystywane są nie tylko podatności systemów, atakowani są również ludzie. Dostęp do zasobów firmowych nierzadko udostępniany jest na prywatnych, nie sprawdzonych i często nie zabezpieczonych komputerach. To przyczynia się do łatwiejszej kradzieży danych i przełamania zabezpieczeń. Cyberprzestępcy wykorzystują zdobytą wiedzę – wyłudzają dane dostępowe i podszywają się autoryzując swoje destrukcyjne działania, bazując głównie na ransomware.
– Możemy spodziewać się, że w najbliższym czasie cyberprzestępcy będą starać się wykorzystać wiedzę z zakresu sztucznej inteligencji dla jeszcze skuteczniejszego omijania zabezpieczeń. – przewiduje Aleksander Kostuch. – Wobec tego instytucje i firmy potrzebują dalszego wzmocnienia bezpieczeństwa, aby ograniczyć ryzyko i skalę potencjalnych szkód. W tym kontekście pozytywnie należy ocenić zadeklarowane przez rząd zwiększenie nakładów na cyberbezpieczeństwo, poprzez finansowanie obowiązkowych audytów bezpieczeństwa i projekt „Cyfrowa Gmina”. – dodaje.
Skuteczność socjotechniki powoduje, że działania przestępców coraz częściej wymierzone są w pojedyncze osoby. Znaczna część ataków, jak ocenia się nawet 90% prowadzonych przeciw instytucjom publicznym i podmiotom biznesowym, jest skierowana na skrzynki email – mówi Aleksander Kostuch, inżynier Stormshield, europejskiego lidera branży bezpieczeństwa IT.
Grupa o nazwie UNC1151/Ghostwriter atakuje pocztę elektroniczną polskich obywateli poprzez podszywanie się pod emaile pochodzące rzekomo od zaufanych domen. Jej członkowie wysyłają wiadomości ze skrzynek pocztowych utworzonych na portalach, takich jak wp.pl, interia.pl, op.pl czy gmail.com.
– Działania te mają na celu wyłudzenie danych do logowania do skrzynek pocztowych. Ich treść nakłania użytkownika do podjęcia natychmiastowego działania, którego brak może rzekomo doprowadzić do utraty dostępu do skrzynki, a nawet jej skasowania – ostrzega Aleksander Kostuch.
Innym istotnym zagrożeniem są ataki typu „Browser in the Browser” polegające na wyświetleniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania. Okno to jest na tyle dobrze wykonane, że ofiara może mieć trudność z odróżnieniem spreparowanego okna od faktycznego nowego okna aplikacji. W ten sposób wyłudzane są wrażliwe dane.
Te zdarzenia potwierdzają, że należy wzmocnić bezpieczeństwo poprzez stosowanie polityk dostępu na firewallach, aby dostęp do oficjalnych skrzynek pocztowych, był zabezpieczany poprzez podwójną autoryzację i szyfrowanie. Należy również wzmocnić kontrolę dostępu do stron internetowych blokując fałszywe strony przed nieroztropnym kliknięciem. Przede wszystkim należy zwiększać świadomość i czujności wśród użytkowników i nie ulegać powszechnej dezinformacji.