Atak hakerski dla każdego. Cyberzagrożenie, jakiego jeszcze nie było

W świecie cyberbezpieczeństwa tylko jedno jest pewne: będzie jeszcze więcej ataków. Jak piszą eksperci renomowanego magazynu „MIT Technology Review”, to nieunikniony proces w tej branży. I choć wydatki na ochronę przed złośliwym oprogramowaniem z roku na rok rosną, ryzyko stania się ofiarą hakerów jest coraz większe. To efekt oszałamiającej wręcz digitalizacji niemal każdego aspektu naszego życia. W sieci robimy nie tylko zakupy, ale pozostawiamy wiele cennych i wrażliwych informacji – od śladów naszych codziennych aktywności, przez dane medyczne, po strategiczne plany przedsiębiorstw. A to istny ocean możliwości dla cyberprzestępców.

Przyjęło się już mówić, że „dane to nowa ropa naftowa”. Dostęp do nich daje przewagę gospodarczą, polityczną i militarną. Teraz są one dla przestępców na wyciągnięcie ręki.

Czytaj więcej

Plus Minus

Czy czeka nas świat bez pracy

To będzie sielanka ciągłego rozwoju osobistego bez uciążliwych, ale koniecznych do wykonywania zawodów, czy dystopia wypełniona nudą i brakiem możliwości? Czeka nas społeczny progres czy załamanie? Czy człowiek będzie w stanie panować nad sztuczną inteligencją? I gdzie swój początek mają futurystyczne historie o buncie maszyn? O tym wszystkim dyskutują Hubert Salik i Michał Płociński w podcaście „Posłuchaj, Plus Minus”.

Czas bronić się inaczej

W tym roku globalne wydatki na ochronę przed hakerami mocno przekroczą rekordowy poziom 150 mld dol. – szacują analitycy Gartnera. Z jednej strony to kwota gigantyczna, a z drugiej zbyt mała, by skutecznie odpierać agresję online. Zresztą, jak pokazują badania firmy Eset, aż 70 proc. przedsiębiorstw przyznaje, że ich inwestycje w cyberbezpieczeństwo nie nadążają za zmianami w modelach funkcjonowania firm, takich jak powszechność pracy zdalnej czy hybrydowej.

Do tego krajobraz jest dziś inny niż ten, który znaliśmy dotąd. Rosyjska agresja na Ukrainę i liczne punkty zapalne na mapie świata sprawiły, że wiele państw sięgnęło po internetową broń. Wojna w sieci jest już faktem. Grupy powiązane z Rosją, Chinami, Koreą Północną czy krajami Bliskiego Wschodu nieustannie atakują infrastrukturę komputerową w Europie, Ameryce Północnej i Australii.

Jakby tego było mało, chęci inwestowania w ochronę przed internetowymi zagrożeniami zmniejsza obawa przed globalnym kryzysem gospodarczym. Jak pisze na łamach „GeekTime” Gabi Reish, ekspert firmy Cybersixgill, pomimo coraz bardziej rygorystycznych standardów w biznesie i administracji, a także uznania przez władze państw i zarządy firm znaczenia cyberbezpieczeństwa dla ciągłości działania tych instytucji, coraz trudniej sięgać do kieszeni po pieniądze na działania chroniące przed hakerami. „Wydatki na zabezpieczenia w sieci nie są odporne na recesję” – zaznacza Reish.

Potwierdzają to najnowsze badania unijnej Agencji ds. Cyberbezpieczeństwa. Z jej listopadowego raportu, który analizuje dane zebrane od ponad tysiąca operatorów usług kluczowych (OES) oraz dostawców usług Cyfrowych (DSP) z 27 krajów, wynika, że – paradoksalnie – coraz mniejsza część budżetu przeznaczonego na technologie informatyczne (IT) jest wykorzystywana do zapewniania bezpieczeństwa. W ubiegłym roku było to 7,7 proc., podczas gdy w obecnym już tylko 6,7 proc. Nic dziwnego, że Juhan Lepassaar, dyrektor wykonawczy agencji, alarmuje: „Odporność infrastruktury krytycznej w UE będzie w dużym stopniu zależała od naszej zdolności do dokonywania strategicznych inwestycji”.

Efekty zaniedbań mogą być katastrofalne. Zażegnywanie skutków ataków cyfrowych z reguły jest wielokrotnie bardziej kosztowne niż przeciwdziałanie im. Straty mogą być finansowe, wizerunkowe, wiązać się z paraliżem działania instytucji, a nawet państwa. W tej sytuacji, jak wskazuje Gabi Reish, zamiast reagować na ataki na bieżąco, należy przyjąć zdecydowanie bardziej proaktywne podejście. – Trzeba wykorzystywać dane wywiadowcze i jak najwcześniejsze ostrzeżenia o potencjalnym ryzyku – radzi ekspert z Cybersixgill.

Skala cyberataków jest zróżnicowana, a wachlarz metod stosowanych przez hakerów równie bogaty, co lista celów. W ostatnim czasie na sile przybrały np. ataki Ducktail, wykorzystujące serwis LinkedIn do namierzania osób i firm obecnych na platformie Facebook Ads i Business, aby przechwytywać ich konta. Stojąca za tą kampanią wietnamska grupa wykorzystuje złośliwe oprogramowanie typu infostealer, specjalnie zaprojektowane do przejmowania kont Facebook Business – wykrada „ciasteczka” (cookies) przeglądarki i wykorzystuje uwierzytelnione sesje Facebooka w celu pobrania informacji z profilu ofiary. Jak podają specjaliści z WithSecure, którzy rozpracowali hakerską grupę, straty ponoszone przez poszkodowanych szacowano na setki tysięcy dolarów.

Jedną z tzw. kohort atakujących w sieci, która odniosła w tym roku ogromny sukces, była grupa znana jako Lapsus$. Cyberprzestępcy uderzali w łańcuch firm zaopatrujących główny cel. I tak na celowniku znalazł się np. dostawca oprogramowania – Okta (firma zapewnia zarządzanie tożsamością i dostępem jako podwykonawca innych przedsiębiorstw). Umożliwiło to hakerom infiltrację takich gigantów, jak Microsoft, producent procesorów Nvidia czy studio Rockstar Games (twórca gry „GTA”).

Ofiarami coraz częściej padają jednak nie firmy, lecz podmioty najbardziej wrażliwe, a przy tym niechroniące się za wyrafinowanymi cyberzasiekami. Stąd na czoło list hakerów pną się placówki edukacyjne, naukowe i szpitale. Te czasami całkowicie bezbronne cele upodobały sobie szczególnie grupy operujące tzw. ransomware. To złośliwe oprogramowanie, które wykrada lub szyfruje dane na serwerach użytkownika i wymusza okup za odzyskanie cennych plików.

Tylko w 2021 r. szpitale bezpowrotnie straciły blisko 40 proc. danych w wyniku kampanii ransomware – szacują analitycy Veeam. Jak wynika z raportu tej firmy, już 52 proc. placówek ochrony zdrowia doświadczyło w ubiegłym roku przynajmniej jednego nieplanowanego przestoju w działaniu serwerów.

Andrzej Niziołek, dyrektor na Europę Wschodnią w Veeam, twierdzi, że ratunkiem jest tworzenie kopii zapasowych, i podaje statystyki, z których wynika, iż w 2019 r. podmioty sektora opieki medycznej wykonywały kopie zapasowe najważniejszych informacji średnio co 205 minut. Rok temu było to 121 minut.

Ale nawet takie działania nie są wystarczające, by w pełni uchronić się przed skutkami cyberataku. Fachowcy radzą, by zadbać także o odpowiednią ochronę kopiowanych danych. Kluczowe jest przyjęcie strategii zabezpieczania danych zgodnie z zasadą „3-2-1-1-0”. – Dysponowanie trzema kopiami danych, w dwóch różnych miejscach, z których jedno powinno znajdować się poza lokalizacją przechowywania danych produkcyjnych. Ponadto, jedna kopia danych powinna być fizycznie odizolowana od sieci, dzięki czemu cyberprzestępcy nie będą w stanie jej zaszyfrować. Ostatnim elementem jest zagwarantowanie, aby w trakcie automatycznego testowania spójności danych w kopii oraz podczas ich odzyskiwania nie występowały żadne błędy – tłumaczy Niziołek.

Kostarykańska przestroga

W tym roku, poza korporacjami, szpitalami i szkołami, ofiarami grup hakerskich stały się agencje rządowe, m.in. w Czarnogórze, Kostaryce i Albanii. Pod wieloma względami to, co wydarzyło się przy okazji tych cybernetycznych uderzeń, było bez precedensu. Na przykład władze w Tiranie, po raz pierwszy w historii, w odpowiedzi na e-atak wydaliły irańskich dyplomatów.

Z kolei kostarykański rząd, na skutek kampanii ransomware, którą przypisuje się grupie Conti, zdecydował się ogłosić stan wyjątkowy. Zdaniem ekspertów ten przypadek, choć napastnicy żądali 10 mln dol. okupu, a więc z punktu widzenia państwa kwoty znikomej, zasługuje na szczególną uwagę. Cybergang uderzył w sześć instytucji publicznych, w tym ministerstwo finansów. Ucierpiała znaczna część infrastruktury IT resortu – począwszy od systemów poboru podatków aż po programy nadzorujące procesy importu i eksportu za pośrednictwem agencji celnej. W konsekwencji poważnie zakłóciło to funkcjonowanie kostarykańskiej logistyki, a tempo realizowanych transakcji międzynarodowych tego kraju wyraźnie osłabło.

Co gorsza, do cyfrowej ofensywy na państwo Ameryki Środkowej doszło w momencie, gdy szykowano się do wyborów prezydenckich. Carlos Alvarado Quesada, ustępująca głowa państwa, stwierdził bez ogródek, że doszło do próby destabilizacji kraju. – To kryminalny cyberatak na państwo i nie można go oddzielić od złożonej globalnej sytuacji geopolitycznej w cyfrowym świecie – oznajmił.

Nie wiadomo, czy związana z Rosją grupa Conti osiągnęła cel. W maju 2022 r. nowym prezydentem został Rodrigo Chaves Robles, były minister finansów w rządzie Quesady. Ale Mariusz Politowicz z firmy Marken, działającej w branży cyberbezpieczeństwa, sugeruje, że mogło chodzić o coś więcej. – W przypadku ataku na instytucje rządowe Kostaryki motywy finansowe odgrywają trzeciorzędną rolę. Być może była to chęć destabilizacji kraju znajdującego się w stanie przejściowym, ale niewykluczone, że próba generalna przed podobnym atakiem na jedno z europejskich państw wspierających Ukrainę – podkreśla.

Conti zaangażowane jest w kampanie wymierzone w cele w Ukrainie. Przestępcy uderzają również w kraje Europy Zachodniej. Digital Shadows, dostawca systemów bezpieczeństwa IT, określa tę grupę jako jeden z najbardziej aktywnych gangów ransomware na świecie. Od 2018 r. (wcześniej działała pod nazwą Ryuk) przeprowadziła co najmniej 200 ataków na szpitale i placówki medyczne – np. w 2021 r. zmusiła irlandzki system ochrony zdrowia do zamknięcia systemu informatycznego – w rezultacie odwołano setki tysięcy wizyt, zabiegów i operacji.

FBI oszacowało, iż obecny wariant jej złośliwego oprogramowania jest „najbardziej kosztowną odmianą ransomware, jaką kiedykolwiek udokumentowano”. Jego ofiarami padło co najmniej tysiąc podmiotów – firm i instytucji. Departament Stanu USA wyznaczył 15 mld dol. za pomoc w rozpracowaniu tej prorosyjskiej grupy.

Czytaj więcej

Globalne Interesy

Qualcomm i Apple na wojnie. Chiny zakazują iPhone’ów

Wojna patentowa między gigantem z Cupertino a koncernem produkującym mikroprocesory zyskuje na sile. Walka amerykańskich firm ma już globalne reperkusje. W Chinach zakazano właśnie sprzedaży niektórych modeli smartfonów z logo nadgryzionego jabłka.

Każdy może być hakerem

Conti staje się symbolem współczesnych zagrożeń w świecie online. Również z z uwagi na niezwykle groźny model działania. Grupa operuje bowiem w tzw. systemie RaaS. To oznacza, iż jej złośliwe oprogramowanie szyfrujące i wymuszające okupy jest dostępne w formie… usługi. Skorzystać może każdy zainteresowany atakami.

Jak wyjaśniają eksperci, Ransomware as a Service, strategia, która polega na wynajmowaniu swoich narzędzi hakerom, którzy płacą za usługę, sprawia, iż trudno ustalić źródło ataku, bo tak naprawdę może się ono znajdować w dowolnym zakątku globu. Ale niebezpieczne jest tak naprawdę to, że ta cyfrowa broń staje się ogólnodostępna. A w niepewnej sytuacji ekonomicznej, w jakiej się znaleźliśmy, grono potencjalnych użytkowników RaaS i osób, które mogą zdecydować się na przejście na „złą stronę mocy”, rośnie.

Jak pisze „InfoSecurity Magazine”, zysk finansowy to główny motywator zdecydowanej większości ataków, a skoro nawet w sprzyjających warunkach gospodarczych ich liczba nieustannie rosła, należy spodziewać się kontynuacji groźnego trendu. Tezę potwierdza Daniel Dos Santos, szef badań nad bezpieczeństwem w firmie Forescout, który zaznacza, że „istnieje niezaprzeczalny związek między cyberprzestępczością a problemami ekonomicznymi”. Wskazuje przykłady trojanów bankowych w Brazylii, cyberoszustw popularnych w Nigerii czy nad wyraz rozwiniętej przestępczości internetowej w krajach byłego ZSRR. – Przy wielu nowych możliwościach, jakie daje rynek cyberprzestępczości, nie wszyscy, którzy popadną w trudności finansowe, oprą się pokusie łatwego zarobku – przekonuje.

W tzw. darknecie, części sieci z ograniczonym dostępem, można nabyć programy RaaS, a także sprzedać lub kupić skradzione dane uwierzytelniające. W ostatnich dniach głośno jest choćby o sprawie wystawienia na jednym z forów hakerskich numerów telefonów i danych osobowych niemal 490 mln użytkowników WhatsAppa z 84 krajów. Na liście są numery ponad 2,6 mln Polaków, czyli ponad 15 proc. wszystkich użytkowników WhatsAppa nad Wisłą.

Specjaliści ostrzegają, że opublikowana w darknecie oferta to pierwszy krok dla ataków phishingowych, czyli wykorzystujących nasze zaufanie do znanych nam osób lub poważanych instytucji.

– Kampanie phishingowe przeprowadzane są regularnie na całym świecie. W Polsce w ostatnim czasie hakerzy najchętniej podszywają się pod dostawców energii oraz firmy kurierskie – mówi Wojciech Głażewski, country manager z Check Point Software Technologies.

Skala ataków wymyka się spod kontroli

Z najnowszych danych Check Point wynika, że w skali globalnej cyberprzestępcy najczęściej podszywają się pod znane marki jak DHL (22 proc.), Microsoft (16 proc.) czy LinkedIn (11 proc.). Hakerzy chętnie wykorzystują również popularność WhatsAppa, będącego wabikiem w przypadku 4 proc. złośliwych wiadomości.

– E-maile lub esemesy phishingowe są ważnym narzędziem w arsenale każdego hakera, ponieważ można je szybko wdrożyć i mogą dotrzeć do milionów użytkowników przy stosunkowo niskich kosztach. Dają cyberprzestępcom możliwość wykorzystania reputacji marek w celu przejęcia danych osobowych lub istotnych informacji handlowych – wyjaśnia Wojciech Głażewski.

Z ostatnich doniesień z e-frontu wynika, że teraz hakerzy mierzą w użytkowników TikToka. Uwagę cyberprzestępców przyciągnął Invisible Challenge – to coraz popularniejsze wyzwanie, którego główny hashtag ma w tej aplikacji już ponad 25 milionów wyświetleń. Wykorzystują go do dystrybucji złośliwego oprogramowania kradnącego wrażliwe dane. Według Kamila Sadkowskiego, starszego specjalisty ds. cyberbezpieczeństwa w Eset, to przykład pokazujący, jak szybko cyberprzestępcy potrafią dopasować się do aktualnych trendów. – Stosują przy tym niezwykle kreatywne metody socjotechniczne, a ich ofiary często nie są świadome, że stały się obiektem ataków – podkreśla.

Fachowcy uważają, że choć jesteśmy stale bombardowani informacjami o cyfrowych zagrożeniach, wielu z nas nie wyciąga wniosków i wciąż bagatelizuje ryzyko, stając się łatwym celem. Z drugiej strony biznes świetnie zdaje sobie sprawę z wyzwań. Badani przez Sapio Research decydenci w obszarze bezpieczeństwa IT firm z 29 państw, w tym z Polski, twierdzą, że są zaniepokojeni skalą ataków hakerskich (73 proc. respondentów), a sytuacja, którą obserwują, stale ewoluuje i jest chaotyczna (37 proc.). Aż 43 proc. ankietowanych przyznaje: skala ataków wymyka się spod kontroli.

Dane Check Point wskazują, że średnia tygodniowa liczba ataków na firmy i organizacje wzrosła w tym roku znacząco: firmy z sektora rekreacji i hotelarstwa muszą się mierzyć z dynamiką na poziomie 65 proc., instytucje finansowe – 62 proc., a handel i przemysł odpowiednio 47 i 42 proc. Nic dziwnego, że coraz większym zainteresowaniem cieszą się ubezpieczenia od tzw. ryzyk cybernetycznych. – To efekt rosnącej świadomości firm – komentuje Marcin Nagórski, ekspert od cyberubezpieczeń w EIB.