Autor: Rafał Gałka

Próby wykorzystania luki Log4Shell najczęściej pochodziły z Rosji, USA, Chin i Europy Zachodniej – wynika z analizy przeprowadzonej przez ekspertów Sophos. Liczba udanych ataków, w ramach których skorzystano z tej podatności, była dotąd niższa niż się spodziewano, a bezpośrednie zagrożenie masowymi incydentami minęło. Jednak luka pozostanie celem cyberprzestępców przez wiele kolejnych lat. Kto może stać za atakami i jak zmienia się ich natężenie?

Najwięcej ataków przed świętami

W ciągu tygodnia od ujawnienia luki Log4Shell liczba prób jej wykorzystania zaczęła szybko rosnąć – najwięcej odnotowano między 20 a 23 grudnia. W styczniu prób ataku było znacznie mniej. Nie oznacza to jednak, że zmalał poziom zagrożenia. Początkowo próby obejmowały zarówno cyberataki z wykorzystaniem koparek kryptowalut czy ransomware, jak i działania specjalistów ds. bezpieczeństwa, którzy chcieli ocenić jak bardzo ich systemy są podatne na zagrożenia. Teraz coraz większy odsetek incydentów to prawdziwe ataki, które nadal stanowią poważne ryzyko dla firmowych systemów. 

Próby głównie z USA, Rosji i Chin

Od ujawnienia luki 9 grudnia do końca 2021 roku próby wykorzystania podatności były podejmowane przede wszystkim z adresów IP pochodzących z USA, Rosji oraz Chin. Znaczny udział miały też kraje Europy Zachodniej, jak Francja i Niemcy, oraz Ameryki Łacińskiej. Na początku 2022 roku dominacja adresów IP z Rosji i Chin zaczęła się zmniejszać. Według analityków Sophos miało to związek ze spadkiem liczby ataków wykorzystujących złośliwe koparki kryptowalut, których dokonywało kilka grup z tych regionów.

– Warto zaznaczyć, że kraje, których adresy IP dominowały na początku, mają dużą liczbę mieszkańców i wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Znaczący udział Stanów Zjednoczonych czy Niemiec prawdopodobnie odzwierciedla rozwiniętą infrastrukturę centrów danych Amazon, Microsoft czy Google, które się tam znajdują. Trzeba też pamiętać, że niekoniecznie musi istnieć związek między adresami IP, z których skanowano sieć w poszukiwaniu luki, a rzeczywistą lokalizacją osób podejmujących takie działania – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos. Mechanizm typowego ataku wygląda tak, że zaatakowane urządzenia łączą się z serwerami przestępców, aby pobrać złośliwe oprogramowanie lub przesłać skradzione dane. W przypadku luki Log4Shell mapa takich połączeń znacząco różni się od mapy adresów IP. Najwięcej notowano ich w Indiach oraz Stanach Zjednoczonych, wysokie miejsce zajęła też Wielka Brytania, RPA czy Australia. Nie jest jasne, dlaczego akurat te kraje dominują wśród miejsc docelowych ruchu związanego z luką Log4Shell. Możliwe, że jest tam dużo grup tropiących podatności, które liczą na nagrodę za szybkie wyłapanie zagrożenia i ostrzeżenie firm.

Przestępcy czekają na dobry moment

Według analityków Sophos bezpośrednie zagrożenie masowym wykorzystaniem luki Log4Shell zostało zażegnane. Powaga sytuacji zmobilizowała świat IT i skłoniła do współpracy specjalistów ds. cyberbezpieczeństwa oraz firmy oferujące usługi w chmurze czy pakiety oprogramowania. Jednak podatność może pozostawać niewykryta wewnątrz niektórych aplikacji i systemów. Prawdopodobnie pozostanie więc powszechnym celem cyberataków w kolejnych latach.

– Przestępcy mogli zabezpieczyć sobie dostęp do sieci z wykorzystaniem tej luki, ale jeszcze nie przeszli do aktywnej fazy ataku i zainstalowania złośliwego oprogramowania, więc naruszenie nadal pozostaje niewykryte. Podobne działania obserwowaliśmy ze strony grup powiązanych z Iranem czy Koreą Północną, które włamywały się do sieci przez luki w zabezpieczeniach VPN i czekały nawet kilka miesięcy zanim użyły zdobytej „furtki” do cyberataku. Jak najszybsze określenie, w których aplikacjach używana jest biblioteka zawierająca lukę i zaktualizowanie tego oprogramowania pozostaje więc kluczowe dla ochrony firm i użytkowników – podkreśla Grzegorz Nocoń.

Według raportu analityków Sophos, w 2022 roku wśród wszystkich rodzajów cyberataków nadal najpopularniejszy będzie ransomware oraz cryptojacking. W obie te techniki zaangażowane są kryptowaluty – w pierwszym przypadku uzyskiwane są przez hakerów jako okup, a w drugim nielegalnie wykopywane na urządzeniu ofiary. Cyberprzestępcy będą coraz szybciej wykorzystywać luki w urządzeniach i systemach do instalowania złośliwego oprogramowania. Na znaczeniu zyskają też techniki umożliwiające generowanie fałszywych obrazów i dźwięku, które będą wykorzystywane m.in. w atakach phishingowych czy kampaniach dezinformacyjnych.Ransomware coraz szerzej dostępny
W ubiegłym roku oprogramowanie ransomware odpowiadało za aż 79% wszystkich incydentów bezpieczeństwa. Należy zakładać, że metody działania cyberprzestępców w kolejnych latach będą coraz bardziej adaptowane tak, aby dostarczać kod ransomware’u i cryptojackingu na urządzenia ofiar. Jednocześnie ataki stają się bardziej rozproszone i dostępne dla mniej doświadczonych hakerów. Twórcy złośliwego oprogramowania coraz częściej za opłatą udostępniają je podmiotom zewnętrznym, które zajmują się np. włamaniami do sieci. Działania pojedynczych grup w nadchodzących miesiącach ustąpią miejsca większej liczbie ataków prowadzonych w modelu Ransomware as a Service (RaaS).

Większa presja na opłacenie okupu
W 2022 roku cyberprzestępcy będą rozwijali metody wyłudzania okupów od ofiar ransomware’u. Atakujący przebywają w zinfiltrowanej sieci nawet przez kilka dni lub tygodni, często mają też dostęp do wszystkich firmowych systemów. Zaczynają więc wykorzystywać ten czas na szukanie wrażliwych danych i ich wykradanie. Po zaszyfrowaniu zasobów żądają okupu pod groźbą nie tylko utraty informacji, ale też upublicznienia dokumentów, danych klientów czy kodów źródłowych. W obawie przed karami finansowymi, spadkami kursu akcji czy konsekwencjami prawnymi, wiele firm decyduje się zapłacić przestępcom. Metody wywierania presji będą intensyfikowane, zaobserwowano już wykonywane do ofiar telefony z pogróżkami czy dodatkowe nękanie za pomocą ataków DDoS (Distributed Denial of Service).

Ataki ukierunkowane, ale masowe
W tym roku wzrośnie również popularność ataków hybrydowych. Do tej pory przestępcy stosowali dwie metody. Pierwszą były ataki typu „shotgun”, w których spamowali jak największą liczbę osób lub optymalizowali treść złośliwych stron internetowych pod kątem ich pozycjonowania w wyszukiwarkach (SEO), aby kierować na nie niczego nieświadomych użytkowników. Drugim sposobem były ataki ukierunkowane, wymierzone w precyzyjnie wybraną grupę osób, np. pracujących w danej firmie lub na określonym stanowisku. W 2022 roku coraz więcej będzie ataków łączących obie te metody – cyberprzestępcy będą starali się „zwabić” jak najwięcej ofiar, ale zaatakują tylko te, które spełniają określone kryteria (np. pracujące w obsłudze klienta).Sfabrykowane filmy i głos pomogą w dezinformacji
W najbliższych latach przestępcy będą również rozwijali ataki typu „watering-hole”, wykorzystujące zaawansowane techniki tworzenia fałszywych obrazów i dźwięku. Sfabrykowane filmy lub głosy będą potężną bronią, wykorzystywaną w wiadomościach phishingowych, kampaniach dezinformacyjnych i innych działaniach socjotechnicznych. Systemy bazujące na sztucznej inteligencji, takie jak OpenAI czy Google AI, już teraz mogą samodzielnie pisać działający kod źródłowy. Jest więc kwestią czasu, gdy cyberprzestępcy zaadaptują sieci neuronowe do tworzenia złośliwego oprogramowania. Ta technika otwiera jednak nowe możliwości także dla specjalistów ds. cyberbezpieczeństwa – superkomputery mogą rozwiązywać problemy ochrony środowisk IT obecnie uważane za nierozwiązywalne.

Wykrywanie ataku równie ważne jak zapobieganie
Szybkość, z jaką przestępcy rozwijają działania, sprawia, że kluczowe staje się blokowanie lub spowalnianie ataków. W grudniu ubiegłego roku w ciągu tygodnia od odkrycia luki Log4j analitycy Sophos odnotowali kilkaset tysięcy prób ataków wykorzystujących tę podatność. Nawet jedno zainfekowane urządzenie może dać przestępcom dostęp do całej sieci i umożliwić sparaliżowanie działania firmy. Osoby odpowiedzialne za bezpieczeństwo będą musiały badać wszystkie incydenty, nawet pozornie nieistotne, aby szybko wykrywać intruzów w sieci. Dotąd rozwiązania ochronne koncentrowały się przede wszystkim na powstrzymywaniu złośliwego kodu przed zainstalowaniem i uruchomieniem na urządzeniach. W najbliższych latach będą coraz bardziej rozwijane także w kierunku wykrywania samych prób ataków.

Branża handlowa najczęściej ze wszystkich doświadcza ataków ransomware. Według analizy ekspertów firmy Sophos, aż 44% należących do niej firm doświadczyło w ostatnim roku cyberataku, w którym przestępcy zaszyfrowali dane i żądali okupu za ich odblokowanie. Koszty związane z obsługą tych zdarzeń, w tym przestoje, naprawa systemów IT czy odpływ klientów, wynosiły średnio prawie 2 mln dolarów. Obecnie trwa najbardziej „gorący” okres zakupowy w roku, a dane klientów to cenna waluta dla przestępców. Co mogą zrobić sklepy i konsumenci, żeby je chronić?Sklepy atrakcyjnym celem dla przestępców

Firmy z branży handlowej przechowują wiele poufnych danych osobowych klientów. Cyberprzestępcy mogą sprzedać je na czarnym rynku lub wykorzystać w kolejnych atakach. Pandemia i sezon świąteczny dodatkowo ułatwiają atakującym zadanie – skokowo wzrasta liczba transakcji online i ruch na stronach internetowych sklepów, co dokłada pracy zespołom IT. Wiele placówek handlowych korzysta ze starszych i rozproszonych systemów, trudnych w aktualizacji, co dodatkowo utrudnia ochronę zasobów. Prawie 2/3 firm z branży, które nie doświadczyły ataku ransomware w ubiegłym roku, spodziewa się go w przyszłości.

– Podmioty handlowe są szczególnie atrakcyjnym celem cyberataków, gdyż przetwarzają wiele danych, takich jak numery kart płatniczych, adresy e-mail, telefony czy daty urodzenia. Dlatego każdy sklep powinien priorytetowo traktować kwestie cyberbezpieczeństwa i inwestować w rozwiązania ochronne, które zablokują ataki. Nie mniej istotne jest szkolenie pracowników, regularne tworzenie kopii zapasowych i plan szybkiego reagowania na incydenty, który pomoże szybko wznowić działalność i minimalizować straty – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.Wysokie koszty ataków dla firm i klientów

Prawie połowa placówek handlowych doświadczyła ataku ransomware w ostatnim roku. W 54% przypadków przestępcom udało się zaszyfrować dane. Co trzecia firma, której dane zablokowano, zapłaciła okup – średnio 147 811 dolarów. Branża handlowa odnotowała też więcej ataków, w których dane zostały wykradzione pod groźbą ujawnienia, niż inne branże (12% w porównaniu ze średnią 7% dla wszystkich branży).

Firmy handlowe ponoszą też wysokie koszty postępowania w przypadku naruszenia danych. Muszą powiadomić wszystkich, których dane wyciekły bądź zostały trwale zablokowane oraz przebudować i zabezpieczyć systemy informatyczne. Straty wynikają również z przestojów w działalności, utraconej reputacji i odpływu klientów – znacznie łatwiej jest im zmienić sklep internetowy niż szkołę czy dostawcę energii.

Co może zrobić klient?

Cyberatak oznacza ryzyko dla sklepu i jego systemów IT, ale też dla klientów, których dane mogą zostać upublicznione. Jeśli w wyniku poważnego ataku wyciekły dane karty kredytowej czy dowodu, należy jak najszybciej zastrzec dokumenty i sprawdzać swoją aktywność kredytową w systemie informacji kredytowej BIK.

– Trzeba też pamiętać, że istnieje ryzyko ataków phishingowych na klientów, których dane wyciekły: przestępcy mają ich numery telefonu i adresy e-mailowe. Dlatego kluczowa jest ostrożność i nieklikanie w linki czy załączniki w wiadomościach. Status przesyłki lepiej sprawdzić samodzielnie, wchodząc na stronę sklepu czy firmy kurierskiej. Warto też dbać o bezpieczeństwo kont w innych serwisach – włączyć uwierzytelnianie dwuskładnikowe, nigdy nie używać tego samego hasła w kilku miejscach, regularnie je zmieniać i pamiętać, że powinno być silne. Aby sprawdzić, czy padło się ofiarą cyberprzestępców, na stronie haveibeenpwned.com można zweryfikować obecność swojego adresu e-mail w bazie wykradzionych danych w wyniku dużych ataków. Warto rozważyć też korzystanie z kart prepaid lub wirtualnych, przeznaczonych tylko do zakupów w sieci – radzi Grzegorz Nocoń.

Raport „State of ransomware in Retail 2021” dostępny jest na stronie: https://www.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-retail-2021-wp.pdf

Z analiz firmy Sophos wynika, że aż 95% stron internetowych korzysta z szyfrowanej transmisji treści. Pozostałe 5% to m.in. witryny zawierające narzędzia do śledzenia użytkowników w celach reklamowych (tzw. trackery), niegroźne pod kątem cyberbezpieczeństwa. Przy okazji Black Friday miliony klientów będą przeglądały oferty sklepów internetowych czy korzystały z Wi-Fi w galeriach handlowych podczas zakupów. Internet nigdy nie był bezpieczniejszy dla użytkowników, jednak nie oznacza to, że zagrożenia zniknęły. Czy jest się czego obawiać w kwestii prywatności danych?Wi-Fi bezpieczniejsze niż może się wydawać

Transmisja danych w publicznych sieciach Wi-Fi jest z reguły nieszyfrowana, dlatego przyjęło się, że korzystanie z nich nie jest bezpieczne. Rzeczywiście, praktycznie każdy w zasięgu radiowym (do ok. 100 metrów od punktu dostępowego) może „podejrzeć” informacje przesyłane między urządzeniem użytkownika a stronami, takie jak hasła i loginy, ale tylko wpisywane na niezabezpieczonych witrynach. Aby skutecznie przeprowadzić taki atak, przestępca musi znaleźć się blisko ofiary. Niskie dochody i ograniczony zasięg tej metody powodują, że cyberprzestępcy wolą wykorzystywać inne techniki takie jak phishing czy ransomware, które nie wymagają przebywania w zasięgu wzroku ofiary.

– Dla większości użytkowników działania w publicznych sieciach Wi-Fi są bezpieczne i przeglądanie za ich pomocą Facebooka, poczty elektronicznej czy ofert na Black Friday i Cyber Monday nie niesie większego zagrożenia. Oczywiście, zawsze istnieje pewne ryzyko przechwycenia informacji, ale jeśli nie jesteśmy wysoko postawionym politykiem czy celebrytą możemy założyć, że jest ono niewielkie. Osoby, które mimo wszystko obawiają się o swoje dane, mogą rozważyć korzystanie z VPN oraz funkcji DNS over HTTPS, dostępnej w ustawieniach przeglądarki. Jeśli obawy dotyczą bezpieczeństwa bankowości mobilnej, warto przełączyć się na komórkową transmisję danych na czas dokonywania transakcji – radzi Grzegorz Nocoń, inżynier systemowy w firmie Sophos. Zamknięta kłódka to nie wszystko

W 2013 roku, kiedy Edward Snowden ujawnił jak wiele informacji władze zbierają o użytkownikach, jedynie 27,5% stron internetowych korzystało z szyfrowanej transmisji danych – obecnie to około 95%. Użytkownicy przyzwyczaili się do szukania prefiksu „HTTPS” na początku adresu witryny. Towarzysząca mu zamknięta kłódka nie oznacza jednak, że strona jest w pełni bezpieczna. Nadal może być wykorzystywana do ataków ransomware lub phishingu czy wyłudzania danych. Przestępca może np. przechwycić stronę docelową i przekierowywać ruch na inny adres, pod którym zbiera dane logowania, lub wręcz uzyskać ważny certyfikat dla fałszywej strony phishingowej.

Bezpieczeństwo na barkach sklepów i administratorów

Nawet transmisja danych ze strony, na której są one przesyłane za pomocą protokołu HTTPS, może zostać naruszona przez przestępców, jeśli nie zastosowane jest dodatkowe zabezpieczenie, tzw. HSTS (HTTP Strict Transport Security). Mechanizm ten wymusza używanie szyfrowania, więc przestępca nie może przekierować połączenia na niezabezpieczoną witrynę, aby przechwycić przesyłane informacje. Z analiz badaczy Sophos wynika, że aż 61% stron z zamkniętą kłódką, oznaczonych jako zgodne z HTTPS, nie korzysta z ochrony HSTS, są więc podatne na atak. Nie są to oczywiście witryny, na których przestępcom najbardziej zależy, takie jak media społecznościowe, poczta elektroniczna, aplikacje biurowe, instytucje finansowe czy serwisy randkowe. Wyraźnie widać jednak, że wciąż nie są powszechnie stosowane funkcje, które są dla administratorów stron darmowe i zapewniają znaczną poprawę bezpieczeństwa.

– W ostatnich latach poziom ochrony danych w sieci znacznie się poprawił. Szyfrowanie komunikacji stało się wymogiem, udoskonalono sposoby ochrony użytkowników przed fałszywymi stronami. Dzięki mechanizmom takim jak m.in. HSTS internauci mogą swobodnie przeglądać strony nawet w niezaufanych sieciach Wi-Fi. Oczywiście, problemy związane z cyberbezpieczeństwem nie zostały w pełni rozwiązane, więc niezmiennie ważne jest zachowywanie ostrożności i zdrowego rozsądku. Robiąc zakupy można raczej bez obaw korzystać z publicznej sieci, wciąż trzeba jednak pamiętać, że przestępcy wyłudzają dane podszywając się pod firmy kurierskie, a w wiadomościach z przecenami nakłaniają do klikania w linki prowadzące do złośliwych stron. Sprzedawcy internetowi oraz dostawcy usług powinni więc zadbać o dodatkowe zabezpieczenia – szczególnie tam, gdzie użytkownicy nie są w stanie łatwo dostrzec zagrożeń – podsumowuje Grzegorz Nocoń.

44% pracowników w Polsce wciąż pracuje z domu, całkowicie lub w modelu hybrydowym – wynika z badania firmy Sophos. W trakcie przechodzenia na pracę zdalną co piąty zatrudniony nie otrzymał żadnego wsparcia IT. Połowa firm nie zapewniła kadrze szkoleń z zakresu cyberbezpieczeństwa; częściej dbały o to duże przedsiębiorstwa. W największych podmiotach zwracana jest też baczniejsza uwaga na kontrolowanie dostępu do danych i szyfrowanie połączeń za pomocą VPN.Pracownicy wrócili do biur
W Polsce do pracy w biurze wróciła ponad połowa osób (56%), które na początku epidemii musiały wykonywać swoje obowiązki zdalnie. Podobnie jest u południowych sąsiadów: taki sam odsetek pracuje stacjonarnie w Czechach, a na Węgrzech 44%. Jednak wciąż wiele osób, przynajmniej częściowo, pracuje z domu: w modelu hybrydowym jest to 31% pracowników, całkowicie zdalnie – 13% badanych.Wsparcie techniczne i szkolenia wciąż mało popularne
W Polsce podczas przechodzenia na pracę zdalną 22% pracowników nie otrzymało wsparcia IT, takiego jak pomoc w konfiguracji sprzętu ani szkolenia z zakresu cyberbezpieczeństwa. Z kolei 27% otrzymało tylko wsparcie IT. Na obie formy pomocy mogło liczyć 37% badanych. Tyle samo pracowników otrzymało kompleksowe wsparcie na Węgrzech. W Czechach nieco mniej – 31%. U naszych południowych sąsiadów znacznie częściej zdarzało się, że pracownik przechodząc na pracę zdalną nie otrzymał jakiejkolwiek pomocy (co trzeci w Czechach i 35% badanych na Węgrzech).

– Człowiek stanowi „najsłabsze ogniwo” zabezpieczeń firm przed cyberatakami. Zmiana sposobu pracy, zarówno przejście na pracę zdalną, jak i powrót do biur, to dla pracowników spore wyzwanie. Kadra nie powinna być więc pozostawiona sama sobie. Konieczne jest zwiększanie świadomości o potencjalnych niebezpieczeństwach, takich jak fałszywe maile podszywające się pod kuriera lub współpracownika, niebezpieczne aplikacje i strony, stosowanie tych samych haseł w wielu serwisach. Z naszego badania wynika, że jedynie połowa firm zapewniła szkolenia z zakresu cyberzagrożeń, wciąż jest więc sporo do zrobienia, zwłaszcza w mniejszych przedsiębiorstwach – podkreśla Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

 Większa firma = lepsze wsparcie?
We wszystkich badanych krajach wsparcie w przechodzeniu na pracę zdalną częściej zapewniały duże firmy. W Polsce wśród osób zatrudnionych w przedsiębiorstwach z ponad 250 pracownikami, pomoc działu IT oraz szkolenie z cyberzagrożeń otrzymało 44%. W średnich firmach zatrudniających od 50 do 250 osób na wsparcie mogło liczyć 26% badanych, natomiast w małych (do 50 pracowników) – 32%. Największe przedsiębiorstwa prawie dwukrotnie rzadziej całkowicie pomijały szkolenia i wsparcie techniczne (tylko 15% pracowników pozostawiono bez pomocy, w porównaniu z 27% w firmach do 50 osób).

 Kontrola dostępu najpopularniejszą ochroną
Spośród zabezpieczeń polskie firmy najczęściej korzystają z kontroli dostępu do danych. Aż 71% pracowników ma możliwość korzystania wyłącznie z tych plików, które są im potrzebne. Znacznie częściej takie zasady stosują największe przedsiębiorstwa zatrudniające powyżej 250 osób – aż o 20 pp. więcej niż w przypadku małych firm (odpowiednio 82% i 62%). Polskie przedsiębiorstwa częściej niż czeskie i węgierskie stosują również uwierzytelnianie wieloskładnikowe (przez SMS, token lub aplikację). Wciąż jednak na taki sposób weryfikacji decyduje się jedynie połowa firm (w Czechach 39%, na Węgrzech – 38%). Podobny odsetek korzysta z szyfrowanego połączenia takiego jak VPN (53%). Co ciekawe, w przypadku uwierzytelniania wieloskładnikowego odsetek był niemal taki sam niezależnie od wielkości firmy.

– Kontrola dostępu do danych to podstawowy sposób ochrony, z którego powinny korzystać firmy. Pozwala on minimalizować skutki ewentualnych naruszeń systemu i na bieżąco nadzorować sieć pod kątem niebezpiecznych zdarzeń. Badanie wykazało, że stosuje go większość przedsiębiorstw, co świadczy o ich świadomości dotyczącej cyberzagrożeń czy obowiązków wynikających z RODO. Jednak wciąż jedynie połowa firm stosuje wieloskładnikowe uwierzytelnianie czy szyfrowanie połączenia, które wzmocniłyby ich odporność na ataki. Przedsiębiorstwa powinny zwracać większą uwagę na łączenie jak największej liczby rozwiązań chroniących sieć i pracowników – zwłaszcza, że nie wszystkie szkolą kadrę w zakresie zagrożeń – podsumowuje Grzegorz Nocoń.

O badaniu
Badanie zostało zrealizowane we wrześniu 2021 roku za pomocą ankiet internetowych CAWI w Polsce, Czechach i na Węgrzech, na próbie 800 pracowników w każdym z krajów.

Badacze Sophos wykryli nowy rodzaj oszustwa, którego ofiarami padają użytkownicy systemów iOS w USA i Europie. Cyberprzestępcy, wykorzystując fałszywe profile w serwisach randkowych takich jak Tinder, Grindr czy Facebook Dating, nakłaniają do zainstalowania złośliwych aplikacji do handlu kryptowalutami. Za ich pomocą nie tylko kradną środki finansowe, ale mogą też mieć zdalny dostęp do iPhone’ów ofiar. Na konto przestępców stosujących ten mechanizm wpłynęło już co najmniej 1,39 mln dolarów.(Nie)bezpieczny App Store

Cyberprzestępcy zakładają fałszywe profile na portalach randkowych (Tinder, Bumble, Facebook Dating i Grindr) i nawiązują kontakt z ofiarą. W kolejnym kroku nakłaniają ją do zainstalowania fałszywej aplikacji Binance do handlu kryptowalutami. Po zainwestowaniu w niej niewielkiej kwoty pozwalają użytkownikowi wypłacić pieniądze z zyskiem. Następnie zachęcają do wyłożenia większych środków. Kiedy ofiara nabiera podejrzeń lub chce odzyskać pieniądze, zostaje zablokowana. Przestępcy zarabiają na tym procederze miliony dolarów – badacze Sophos wyśledzili adres portfela bitcoin, na który oszukane osoby wysłały już ponad 1,39 mln dolarów. Prawdopodobnie takich adresów jest więcej.

– Już na początku roku Interpol ostrzegał przed rosnącą skalą oszustw dokonywanych przez aplikacje randkowe i media społecznościowe. Teraz celem są głównie użytkownicy iPhone’ów. Chociaż platforma iOS jest ogólnie uważana za bezpieczną, nawet aplikacje w App Store mogą stanowić zagrożenie. Pełno jest tam na przykład „darmowych” programów typu fleeceware, które po kilku dniach obciążają użytkowników kilkutysięcznymi subskrypcjami. Oszustwo wykorzystujące fałszywe aplikacje do kryptowalut omija kontrole bezpieczeństwa App Store. Użytkownicy systemu iOS powinni więc mieć się na baczności – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.Kradzież pieniędzy i danych osobowych

Cyberprzestępcy do rozpowszechniania fałszywych aplikacji wykorzystują system dla programistów Enterprise Signature, który umożliwia testowanie aplikacji na iOS zanim zostaną zatwierdzone przez Apple. Dzięki temu przestępcy mogą rozsyłać do użytkowników iPhone’ów fałszywe programy bez recenzji App Store. W ten sposób zyskują też zdalny dostęp do urządzeń ofiar. Potencjalnie mogą więc zbierać dane osobowe, dodawać lub usuwać konta, instalować aplikacje i zarządzać nimi.

Enterprise Signature był już wcześniej używany przez przestępców. Apple podjęło działania aby ukrócić proceder. Za rozsyłanie aplikacji do konsumentów tą drogą cofnięto nawet certyfikaty Google’a i Facebooka (potem zostały przywrócone). Nie uniemożliwiło to jednak omijania kontroli App Store.

– Oszuści są nadal aktywni, każdego dnia kolejne ofiary mogą zostać nakłonione do zainwestowania pieniędzy, z niewielką szansą na ich odzyskanie. Apple powinien ostrzegać użytkowników instalujących aplikacje za pośrednictwem systemu Enterprise, że nie zostały one sprawdzone. Właściciele iPhone’ów powinni natomiast instalować wyłącznie programy z App Store. Kluczowa zasada, o której trzeba pamiętać brzmi: jeśli coś jest zbyt piękne, aby było prawdziwe, np. nowo poznana osoba wspomina o inwestycji, która zapewni duży zysk, to niestety zazwyczaj jest to oszustwo – przestrzegai Grzegorz Nocoń.

Phishing to wciąż popularna metoda ataków na firmy. Jak wynika z badania Sophos, aż 59% dużych przedsiębiorstw w Polsce zauważyło wzrost liczby tego typu wiadomości trafiających na skrzynki pracowników w ostatnim roku. Nawet jeden e-mail ze złośliwym linkiem może skutkować wielomilionowymi stratami, związanymi z kradzieżą i zaszyfrowaniem firmowych danych. Konieczna jest edukacja pracowników, jednak trzeba przy tym pamiętać, że nawet specjaliści IT różnie definiują phishing.Od fałszywego e-maila do zablokowania systemu

Na całym świecie aż 7 na 10 firm zatrudniających co najmniej 100 pracowników zanotowało wzrost liczby ataków phishingowych w ostatnim roku. Przestępcy szybko wykorzystali możliwości, jakie stworzyła pandemia: gwałtowny wzrost liczby osób pracujących z domu, popularności zakupów online, powszechny niepokój. Podobną skalę ataków zanotowały wszystkie sektory, co wskazuje, że cyberprzestępcy starają się przede wszystkim dotrzeć do jak największej liczby pracowników.

–  Phishing pozostaje skuteczną metodą cyberataków od ponad 25 lat. Przestępcy grają na ludzkich emocjach i zaufaniu: wyłudzają dane oraz nakłaniają do kliknięcia w złośliwe linki lub załączniki, podszywając się pod znane firmy i instytucje – ostrzega Monika Sierocinski, Team Lead CAM w firmie Sophos. – Firmy często uważają phishing za niewielkie zagrożenie, jednak zazwyczaj to tylko pierwszy etap bardziej złożonego ataku. E-mail od „współpracownika” i kliknięcie w złośliwy link może skutkować wielomilionowymi stratami. Przestępcy zyskują wtedy dostęp do komputera ofiary oraz firmowej sieci, mogą pobierać z niej informacje, blokować je, a nawet kraść pieniądze.Wiele definicji phishingu

Badanie Sophos wykazało, że nawet specjaliści IT różnie rozumieją phishing. W Polsce najczęściej wskazują, że są to e-maile ze złośliwym załącznikiem (69%), e-maile wysyłane w ramach targetowanych kampanii, poprzedzonych wywiadem środowiskowym (63%), kradzież danych uwierzytelniających przez pocztę elektroniczną (63%) i e-maile ze złośliwymi linkami (62%). Wiadomości SMS nakłaniające do podania informacji (smishing) za phishing uważa 41%.

Duże firmy edukują pracowników – czy właściwie?

84% firm w Polsce, zatrudniających co najmniej 100 osób, prowadzi działania edukacyjne, aby przeciwdziałać phishingowi. Głównie są to szkolenia i symulacje ataków. 3 na 4 firmy miały program edukacyjny jeszcze przed wybuchem pandemii. Wciąż jednak tylko połowa przedsiębiorstw śledzi współczynnik kliknięć w wiadomości phishingowe, a nieco ponad 3/5 liczbę zgłaszanych podejrzanych e-maili. Takie informacje mogłyby pomóc zespołom IT w dopasowywaniu szkoleń do potrzeb pracowników oraz poprawianiu poziomu ochrony.

–  Najlepiej oczywiście uniemożliwiać docieranie złośliwych wiadomości do adresatów, z wykorzystaniem zabezpieczeń poczty elektronicznej. Jednak zawsze należy je też uzupełniać zwiększaniem świadomości zagrożeń wśród pracowników. Trzeba przy tym pamiętać, że phishing dla poszczególnych osób nie zawsze znaczy to samo. Aby szkolenia, zwłaszcza kadry nietechnicznej, były skuteczne, ważne jest wyjaśnienie definicji ataków i kanałów, którymi są podejmowane oraz upewnienie się, że wszyscy rozumieją je podobnie. Równie istotne jest sprawdzanie czy pracownicy zgłaszają podejrzane wiadomości i czy wiedzą w co nie powinni klikać – radzi Monika Sierocinski.

O badaniu

Badanie „Phishing Insights, 2021” zostało przeprowadzone przez niezależną agencję Vanson Bourne na zlecenie Sophos. Ankieta objęła 5,4 tys. decydentów IT z firm zatrudniających od 100 do 5 tys. pracowników. Badanie przeprowadzono w styczniu i lutym 2021 roku wśród respondentów z 30 krajów Europy (w tym w Polsce), obu Ameryk, Azji i Pacyfiku, Azji Środkowej, Bliskiego Wschodu i w Afryce.

Prawie połowa instytucji edukacyjnych została w ostatnim roku zaatakowana przez ransomware – wynika z badania firmy Sophos. Placówki oświatowe ponoszą najwyższe ze wszystkich branży koszty zniwelowania skutków ataku, średnio to aż 2,73 mln dolarów. Aż 35% decyduje się na zapłacenie przestępcom okupu, jednak tylko co dziesiąta odzyskuje wszystkie dane. Największe problemy stanowi przestarzała infrastruktura IT oraz braki kadrowe. Zdalne nauczanie okazją dla cyberprzestępców

Rok 2020 był trudny dla instytucji edukacyjnych – aż 44% z nich doświadczyło ataku ransomware, co stanowi największy odsetek spośród wszystkich branż. Szybkie przejście na zdalny tryb nauczania przyniosło zespołom IT z placówek oświatowych dodatkowe wyzwania: musiały zabezpieczyć nowe platformy i urządzenia, a także zapewnić szkolenia. Prawie trzy czwarte wskazuje, że w ubiegłym roku wzrosło obciążenie pracą związaną z cyberbezpieczeństwem. Prawie dwie trzecie (65%) stwierdziło zaś, że wydłużył się czas ich reakcji.

– Branża edukacyjna od dawna jest atrakcyjnym celem dla przestępców. Należące do niej placówki dysponują wrażliwymi danymi, a jednocześnie często brakuje w nich odpowiedniej infrastruktury IT, specjalistów i budżetu – komentuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos. – Zespoły IT muszą zabezpieczać przestarzałe systemy, dysponując przy tym ograniczonymi narzędziami i zasobami. Pandemia przyniosła dodatkowe wyzwania: brakowało czasu na zaplanowanie strategii bezpieczeństwa czy wybór nowych rozwiązań. Ryzyko ataków dodatkowo zwiększa niska świadomość zagrożeń wśród użytkowników szkolnych systemów.Placówki oświatowe za ataki płacą najwięcej

Aby odzyskać zaszyfrowane dane, 35% instytucji zapłaciło okup – średnio 112 tys. dolarów. Większą skłonność do płacenia przestępcom wykazały jedynie branża energetyki i usług komunalnych oraz samorządy lokalne. Tylko co dziesiąta placówka edukacyjna po spełnieniu żądań atakujących odzyskała wszystkie informacje. Co trzecia odzyskała połowę lub mniej danych.

Jak wynika z badania Sophos, oświata ponosi największe straty z powodu ransomware’u. Średnio to aż 2,73 mln dolarów, o połowę więcej niż światowa średnia. Na tę kwotę składają się koszty zapłacenia okupu, ale też odzyskania danych, załatania luk w zabezpieczeniach i usuwania skutków ataku. Wysokie straty mogą wynikać w dużej mierze z przestarzałej i rozproszonej infrastruktury IT. Po ataku instytucje często muszą odbudowywać i zabezpieczać swoje systemy od podstaw.

– Presja zapłacenia okupu wynika z konieczności zapewnienia ciągłości działalności. Cyberatak uniemożliwia dostęp do systemów i prowadzenie zajęć, dlatego w tej sytuacji kluczowy jest szybki powrót do normalnego funkcjonowania. Trzeba jednak pamiętać, że zapłacenie przestępcom nie gwarantuje odzyskania zaszyfrowanych informacji – ostrzega Grzegorz Nocoń. 

Szkoły nieprzygotowane na ataki

33% placówek edukacyjnych nie doświadczyło ataku ransomware w ubiegłym roku, ale obawia się, że nastąpi to w przyszłości, zaś 22% uważa, że nie zostaną zaatakowane. Aż 6 na 10 respondentów, którzy nie spodziewają się ataku, polega przy tym na rozwiązaniach, które nie chronią przed ransomware.

– Najlepszym sposobem na powstrzymanie cyberataku i uniknięcie związanych z tym kosztów jest przygotowanie się na niego. Dlatego każda placówka i instytucja powinna przyjąć, że stanie się celem przestępców. W minimalizowaniu skutków ransomware’u ważny jest plan reagowania na incydenty oraz posiadanie kopii zapasowych. Kluczowe znaczenie ma też utrzymanie przestępców z dala od środowiska IT. Instytucje, które nie mają odpowiedniej wiedzy czy specjalistów, mogą skorzystać z pomocy zewnętrznych ekspertów „polujących” na zagrożenia. Nie należy też zapominać o potrzebie zwiększania świadomości zagrożeń wśród kadry i uczniów – radzi Grzegorz Nocoń.

 

O badaniu

Badanie Sophos „State of Ransomware in Education 2021” przeprowadzono w styczniu i lutym 2021 roku, na próbie 5,4 tys. menedżerów z obszaru IT, w tym 499 z branży edukacyjnej. Respondentów wybrano z 30 krajów w Europie (w tym także w Polsce), Ameryce Północnej i Południowej, Azji-Pacyfiku i Azji Środkowej, na Bliskim Wschodzie i w Afryce.

Ostatnie głośne ataki ransomware na firmy Kaseya i Colonial Pipeline były dotkliwe: cyberprzestępcy zatrzymali działanie rurociągu dostarczającego 45% ilości paliwa na Wschodnim Wybrzeżu USA i sparaliżowali działanie nawet ponad 350 przedsiębiorstw. Czego można się na tych przykładach nauczyć? Eksperci Sophos wskazują 6 najważniejszych lekcji, o których należy pamiętać.

1. Płacenie okupu rzadko się opłaca

Wiele firm płaci przestępcom, gdyż nie mają kopii zapasowych i chcą jak najszybciej wznowić działanie systemów; często obawiają się także upublicznienia skradzionych informacji. Jednak, według badania Sophos, nie gwarantuje to przywrócenia dostępu do zasobów. Przedsiębiorstwa, które decydują się na zapłatę okupu, odzyskują średnio tylko 65% danych, zaś jedynie w przypadku 8% odblokowywane są wszystkie. Poza tym, nawet jeśli uda się odszyfrować informacje, trzeba jeszcze przywrócić pracę systemów, naprawić szkody i zakłócenia spowodowane atakiem oraz wzmocnić zabezpieczenia, a to wymaga kolejnych nakładów.

 

2. Szkolenie pracowników to konieczność

Wejście do sieci Colonial Pipeline umożliwiło skradzione przez przestępców hasło do usługi VPN. Prawdopodobnie wykorzystali dane logowania ujawnione we wcześniejszym wycieku. W celu uniknięcia takich sytuacji konieczne jest przede wszystkim wdrożenie uwierzytelniania wieloskładnikowego, jednak równie istotne jest, aby pracownicy wiedzieli, jak chronić swoje dane dostępowe. Cyberprzestępcy wykorzystują niewiedzę atakowanych i brak ich umiejętności, stosują coraz bardziej dopracowane manipulacyjne metody socjotechniczne, takie jak phishing. Pracownicy powinni wiedzieć jak rozpoznać zagrożenia, jakiego zachowania unikać i jak reagować na podejrzane incydenty.

 

3. Najważniejsze jest szybkie wykrycie ataku

Według śledczych, przestępcy mieli dostęp do sieci Colonial Pipeline przez co najmniej osiem dni, zanim uruchomili ransomware. Brak możliwości wglądu w to, co robili w tym czasie, był jednym z powodów wyłączenia rurociągu. Przeprowadzone przez Sophos analizy pokazały, że przestępcy „spędzają” w sieci ofiary średnio 11 dni, a w niektórych przypadkach nawet pół roku, zanim zostaną wykryci. W tym czasie mogą uzyskać dostęp do danych i systemów, wykradać informacje, a nawet sabotować działanie firmy. Dlatego równie ważne jak programy ochronne są narzędzia pozwalające szybko wykryć podejrzane incydenty i aktywnie „polować” na ukryte zagrożenia.

Sophos Active Adversary Playbook 2021

4. Warto regularnie sprawdzać zabezpieczenia

Sprawdzanie poziomu ochrony przed cyberzagrożeniami pozwala znaleźć luki w zabezpieczeniach, zanim wykorzystają je przestępcy. Warto zlecać to zadanie nie tylko pracownikom działu IT, ale także zewnętrznym ekspertom. Często bowiem można spotkać się z nieświadomym przyzwoleniem na niedociągnięcia – z niewiedzy lub w działaniu z przeświadczeniem, że „zawsze tak było”. Ważne są ćwiczenia polegające na symulacjach ataków, próbach odzyskiwania danych i analizie sposobu reagowania na incydenty. Odpowiednie przygotowanie to często jedyny sposób na zminimalizowanie szkód i przestojów.

 

5. Cyberbezpieczeństwo priorytetem, bez względu na wielkość firmy

Firmy często uważają, że ataki dotykają tylko duże podmioty, gdyż te mniejsze nie są interesującym celem dla cyberprzestępców. Jednak każde przedsiębiorstwo, bez względu na wielkość czy branżę, może doświadczyć ataku. Poszukiwanie potencjalnej ofiary jest obecnie w dużym stopniu zautomatyzowane, więc kryterium „zainteresowania” pozostaje praktycznie bez znaczenia. Strategię cyberbezpieczeństwa powinna więc opracować każda firma: stworzyć plan reagowania na incydenty, przywracania systemów do działania i odzyskiwania danych, a także wdrożyć właściwe narzędzia ochrony oraz przygotować kroki, które należy podjąć, gdy coś pójdzie nie tak.

 

6. W walce z cyberprzestępczością ważna jest współpraca

Colonial Pipeline zobowiązało się do udostępnienia pełnego raportu na temat ataku, aby inne przedsiębiorstwa mogły wyciągnąć wnioski z popełnionych błędów. Na całym świecie w ramach takich inicjatyw jak Centrum Wymiany Informacji i Analiz (ISAC) czy lokalnych grup DEF CON zrzeszone są firmy, które dzielą się informacjami o zagrożeniach i zapewniają narzędzia oraz wytyczne ograniczające ryzyko. Oprócz uczestniczenia w nich, firmy powinny też prosić o pomoc, gdy już zetkną się z zagrożeniem. Mogą wspomagać się zewnętrznymi usługami, w ramach których eksperci monitorują sieć i pomagają reagować na zagrożenia.

Spadł odsetek polskich firm zaatakowanych przez ransomware, według badania Sophos w ostatnim roku doświadczyło go 13%. Trudniej jednak usunąć skutki ataku. Kosztuje to polskie firmy średnio 1,49 mln złotych. W ciągu ostatniego roku całkowite straty spowodowane przez ransomware wzrosły ponad dwukrotnie. Badanie potwierdza, że nie warto płacić przestępcom – mniej niż 1 na 10 firm, które to zrobiły, zdołało odzyskać wszystkie dane.Ransomware kosztuje dwa razy więcej

Prawie połowa (46%) polskich średnich i dużych firm w wyniku ataku ransomware straciła od 50 do nawet 254 tys. złotych. 31% poniosło koszty między 2,5 a 5 mln złotych – związane były one z przestojami w działalności, utraconymi zamówieniami, kosztami operacyjnymi, karami związanymi z nieodpowiednim zabezpieczeniem danych itp. W ciągu ostatniego roku na świecie całkowity koszt usunięcia skutków ransomware’u wzrósł ponad dwukrotnie: z 761 tys. do 1,85 mln dolarów. To aż 10 razy więcej, niż średnia wartość zapłaconego okupu (170 tys. dolarów).

Okup nieskutecznym sposobem na odzyskanie danych

Odsetek firm, które padły ofiarą ransomware’u, spadł na całym świecie, z 51% w 2020 roku do 37% w 2021. Polska odnotowuje jeden z najniższych wskaźników – 13% przedsiębiorstw, wobec których podjęto próbę ataku, w porównaniu z 28% w 2020 roku. Może to wynikać z niższego poziomu PKB w Polsce, a co za tym idzie, mniejszej szansy uzyskania przez przestępców wartościowego okupu. Natomiast więcej firm płaci za odblokowanie danych – rok temu na świecie było to 26%, w 2021 już 32%. Jednak jedynie 8% z nich zdołało odzyskać wszystkie zasoby; co trzecia odzyskała mniej niż połowę informacji.

– Widoczny spadek odsetka firm dotkniętych przez ransomware prawdopodobnie oznacza, że przestępcy zmieniają strategię działania. Zamiast masowych, zautomatyzowanych ataków, stosują ukierunkowane, wymierzone w konkretne przedsiębiorstwo. Ogólna liczba ataków jest więc mniejsza, jednak trudniej zneutralizować ich efekty, a wartość wyrządzanych szkód dynamicznie rośnie. Odzyskiwanie danych może trwać przez lata, nie ma też gwarancji, że się uda. Wykorzystywanie przez przestępców niskiej jakości lub pospiesznie tworzonego złośliwego kodu może utrudnić lub wręcz uniemożliwić odszyfrowanie zasobów, nawet gdy firma zapłaci okup – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.Polskie firmy z lepszą ochroną

Średnie i duże polskie firmy coraz lepiej zabezpieczają się przed cyberzagrożeniami. 43% deklaruje, że ma szczegółowy plan odzyskiwania danych po ataku. Spośród firm, wobec których podjęto próbę ataku ransomware, aż 77% zablokowało go zanim dane zostały zaszyfrowane. Jedynie 15% incydentów kończyło się powodzeniem i zablokowaniem przez przestępców dostępu do informacji.

Ataku ransomware spodziewa się 6 na 10 firm, które dotąd go nie doświadczyły. Ponad połowa z nich (54%) wskazuje, że cyberataki są obecnie zbyt zaawansowane, aby je zatrzymać. 39% spodziewa się ataku, gdyż inne podmioty z branży już go doświadczyły. Co trzecia (27%) polska firma zakłada jednak, że nie padnie ofiarą ransomware’u. Aż 3 na 4 z nich wskazują, że specjaliści IT są odpowiednio wyszkoleni do zatrzymywania ataków i dysponują skutecznymi rozwiązaniami ochronnymi. 63% posiada kopie zapasowe, które pozwolą na przywrócenie działania firmy.

– Coraz częściej ataki ransomware wiążą się nie tylko z zaszyfrowaniem danych, ale też żądaniem okupu za nieujawnianie skradzionych informacji. Dlatego ważna jest warstwowa ochrona, która powstrzyma przestępców jeszcze zanim zdołają wejść do firmowej sieci. Aby ograniczać koszty neutralizacji ataku, warto opracować plan przywracania działania firmy i stosować podejście 3-2-1 – trzy zestawy kopii zapasowych, na dwóch różnych nośnikach, z których jeden jest przechowywany w trybie offline. Jeśli firma padnie jednak ofiarą ataku, nie musi stawiać czoła przestępcom sama. Na rynku dostępne są usługi zewnętrznych centrów eksperckich, które oferują wsparcie specjalistów i reagowanie w trybie 24/7 – mówi Grzegorz Nocoń.

O badaniu

Badanie State of Ransomware 2021 zostało przeprowadzone przez niezależną agencję badawczą Vanson Bourne w styczniu i lutym 2021 roku. W ramach badania przeprowadzono wywiady z 5400 decydentami IT w 30 krajach: USA, Kanadzie, Brazylii, Chile, Kolumbii, Meksyku, Austrii, Francji, Niemczech, Wielkiej Brytanii, Włoszech, Holandii, Belgii, Hiszpanii, Szwecji, Szwajcarii, Polsce, Czechach, Turcji, Izraelu, ZEA, Arabii Saudyjskiej, Indiach, Nigerii, RPA, Australii, Japonii, Singapurze, Malezji i na Filipinach. Respondenci pochodzili z firm zatrudniających od 100 do 5 tys. pracowników.