Od momentu rozpoczęcia inwazji militarnej Rosji na Ukrainę, ilość ataków oprogramowaniem typu ransomware wzrosła pięciokrotnie w porównaniu do okresu poprzedzającego wybuch wojny. Skala cyberataków znana jest na podstawie analizy danych pochodzących od litewskiego producenta systemu anty-malware: SpyWarrior, którego oprogramowanie zainstalowane jest w wielu krajach Europy. Ataki ransomare nie dotyczą więc wyłącznie komputerów działających w regionie Europy Środkowo-Wschodniej, krajów bałtyckich czy samej Ukrainy. Dane z końca roku 2021 wskazują, że 74% ataków dokonanych za pomocą ransomware pochodziło z terenu Rosji i były one przeprowadzone przez zorganizowane grupy hackerskie.
Phishing, boty i dezinformacja
Oprócz ataków oprogramowaniem ransomware nastąpił istotny wzrost ataków phishingowych oraz przeprowadzane były akcje dezinformacyjne za pośrednictwem mediów społecznościowych, dotyczące sytuacji na Ukrainie, przebiegu wojny, jednocześnie nastawiające negatywnie społeczność krajów Europy przeciwko uchodźcom z Ukrainy. Co istotne ataki te przeprowadzane były za pośrednictwem botów (specjalizowanego oprogramowania automatyzującego umieszczanie postów i komentarzy do nich na Facebooku, Instagramie czy Twitterze) i oprogramowania przejmującego konta prawdziwych użytkowników, którzy nierzadko nie byli nawet świadomi faktu umieszczania takich informacji w swoim imieniu.
“74% ataków dokonanych za pomocą ransomware pochodziło z terenu Rosji i były one przeprowadzone przez zorganizowane grupy hackerskie.”
Ransomware
Do niedawna ataki przeprowadzane były najczęściej za pośrednictwem wiadomości pocztowych, teraz zaś nastąpiła eksplozja ataków dokonanych przez wiadomości czy posty w mediach społecznościowych zawierające linki do złośliwego oprogramowania, które najczęściej przejmowało konto w mediach społecznościowych wysyłając wiadomości do książki adresowej uwiarygadniając nadawcę. Po kliknięciu w link następuje albo instalacja właściwego ransomware albo dalsze rozpowszechnianie wiadomości do kolejnych ofiar przez nieświadomego właściciela konta.
Komputery zombie
Kolejnym zagrożeniem są ataki na komputery, które stają się komputerami „zombie”, gdyż z nich wykonywane są ataki typu DDoS na serwery firm czy organizacji rządowych. Atak DDoS polega na uniemożliwieniu działania np. serwisu webowego poprzez zajęcie wszystkich wolnych zasobów serwera (wysyłanie wielu żądań) i przeprowadzany równocześnie z wielu komputerów z różnych miejsc. Ofiarami takich ataków padały serwery instytucji ukraińskich i z innych krajów regionu.
Najsłabszym ogniwem człowiek
Nie bez powodu człowiek nazywany jest najsłabszym ogniwem ekostystemu bezpieczeństwa. Badania przeprowadzane przez NSA (amerykańską agencję bezpieczeństwa) wskazują, że ponad 90% pomyślnych ataków cybernetycznych są wynikiem błędu człowieka, nie zaś błędów oprogramowania czy sprzętu. Błędy ludzkie to nie tylko klikanie w linki niewiadomego pochodzenia, ale także nieprzestrzeganie podstawowych zasad tworzenia, przechowywania i używania haseł czy też niestosowania się do opracowanych procedur w organizacji. Badania wskazują, że 80-90% ataków typu ransomware było skutkiem kliknięcia w link w przesłanym mailu do nieświadomego zagrożenia odbiorcy. Nierzadko też osoby, które kliknęły link uprzednio wyłączyły ochronę przed wirusami i złośliwym oprogramowaniem, ponieważ zgłaszało ono alert bezpieczeństwa…
Cybergangi
Aby uświadomić sobie skalę zagrożenia, warto wiedzieć, że grupy hackerskie to organizacje podzielone na departamenty (zarząd, programiści, testerzy, negocjatorzy, obsługa klienta) składające się z dziesiątek albo setek osób. Jednym z takich gangów jest Conti będący autorem oprogramowania ransomware o takiej samej nazwie i prowadzi witrynę, z której może wyciekać dokumenty skopiowane przez oprogramowanie ransomware od 2020 roku.
Podczas rosyjskiej inwazji na Ukrainę grupa Conti ogłosiła swoje wsparcie dla Rosji i zagroziła zastosowaniem „środków odwetowych”, jeśli zostaną przeprowadzone cyberataki na ten kraj. W lutym 2022 ujawniono dane pochodzące z czatów osób grupy i na tej podstawie pozyskano szereg informacji dotyczących grupy. Zwykli programiści zarabiają miesięcznie od $1.500 do $2.000, a członkowie negocjujący wypłatę okupu otrzymują prowizję. W 2021 roku grupa przeprowadziła z powodzeniem ataki na 400 instytucji i szacuje się, że uzyskała co najmniej 50 mln dolarów okupów z przeprowadzanych ataków. Ataki grupy ograniczone są wyłącznie do komputerów znajdujących się poza terenem Rosji.
Deep fake
Warto wspomnieć tutaj o kolejnych zagrożeniach wynikających z doskonalenia się technologii deep-fake czyli technik obróbki obrazu i dźwięku, polegająca na łączeniu obrazów twarzy ludzkich i głosu przy użyciu technik sztucznej inteligencji czego wynikiem jest nagranie dźwiękowe lub wideo, które do złudzenia przedstawia realną wypowiedź czy nagranie wideo jakiejś osoby. Wiele przedsiębiorstw padło ofiarą takiej manipulacji, kiedy na przykład wykonano przelew (na konto cyberprzestępców) na podstawie polecenia głosowego CEO firmy, które jedynie naśladowało jego głos.
Żyjemy w świecie, gdzie zagrożenia militarne połączone są z zagrożeniami cyfrowymi, dlatego powinniśmy jeszcze mocniej zadbać o swoje cyberbezpieczeństwa, jak i bezpieczeństwo organizacji, dla których pracujemy.
Środki bezpieczeństwa
Poniżej znajduje się lista ośmiu podstawowych elementów cyberbezpieczeństwa, który każdy z nas, użytkowników Internetu, powinien wdrożyć, aby zapewnić wysoki poziom bezpieczeństwa. Pamiętajmy o tym, że środki technologiczne są tylko jednym z elementów ekosystemu cyberbezpieczeństwa i nic nie zastąpi po prostu uwagi i zdrowego rozsądku.
- Konta pocztowe – stosować oddzielne konta pocztowe do aktywności zawodowych i celów prywatnych. Warto też mieć tzw. „śmieciową” skrzynkę pocztową, którą ujawniamy w serwisach, które wymagają jej podania i którą przeznaczamy na otrzymywanie spamu.
- Uwierzytelnianie wieloskładnikowe polegające na zwiększonej ochronie dostępu do zasobów sieciowych, jak np. portali społecznościowych czy cloud storage, uniemożliwiający zalogowanie się do tych zasobów przez nieuprawnione osoby, które zdobyły identyfikator użytkownika i hasło uwierzytelniające przez stosowanie dodatkowego zabezpieczenia np. wpisywania kodów z SMS czy linku w mailu lub dedykowanej aplikacji.
- Hasła powinny być określonej „mocy”: składające się z określonej liczby liter, cyfr, znaków oraz różne w różnych usługach i serwisach. Dlaczego? Jeśli login (którym jest najczęściej adres do skrzynki mailowej) wycieknie wraz z hasłem – to hackerzy próbują użyć takiego zestawu danych w innych serwisach i na innych stronach internetowych. Hasło powinno być regularnie zmieniane.
- Zanim klikniesz w link, który dostałeś w komunikatorze albo wiadomości mailowej – zastanów się. Jeśli masz choćby chwilę wątpliwości nie rób tego, zwłaszcza w momencie kiedy program antywirusowy ostrzega Cię przed otwarciem.
- Rób regularnie kopię zapasową najlepiej za pomocą dedykowanego oprogramowania, które tworzy kopie samoczynnie, co określony czas, przechowując dane z kilku dni. Dzięki temu, jeśli jednak padniesz ofiarą ransomware, będziesz w stanie odzyskać zaszyfrowane pliki przez cyberprzestępców
- Stosuj aktualizowane oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem od wiarygodnych producentów.
- Nie używaj otwartych sieci bezprzewodowych, w których transfer danych nie jest szyfrowany i które mogą być pułapkami stworzonymi przez cyberprzestępców. Każdy z nas ma telefon komórkowy, który pozwala na uruchomienie routera bezprzewodowego – jest to naprawdę bezpieczniejsze niż korzystanie z niepewnych punktów dostępowych z otwartym połączeniem.
- Szyfruj dane przechowywane na dysku w komputerze i w chmurze, szyfruj dane podczas przesyłania. Im większą mają wartość finansową, wizerunkową, biznesową, tym bardziej zadbaj o ich bezpieczeństwo przed niepowołanym dostępem. Pamiętaj o tym, że regulacje prawne wymuszają szyfrowanie w wielu dziedzinach gospodarki (choćby służba zdrowia czy wymogi RODO).
Czy to wszystko – na pewno nie – to najistotniejsze elementy, które spełnić musi każdy indywidualny użytkownik komputera czy smartfonu. W firmach i organizacjach rządowych i samorządowych ten ekosystem bezpieczeństwa rozszerzony jest o zabezpieczenia sieci i serwerów.
Artykuł powstał na podstawie podcastu przeprowadzonego z Mindaugasem Sinkeviciusem, Dyrektorem Operacyjnym w SpyWarrior (producent oprogramowania anti-malware).