Pierwsze półrocze 2022 wpłynęło na zmianę wyzwań z obszaru cyberbezpieczeństwa

W pierwszych miesiącach bieżącego roku eksperci odnotowali szczególne zdarzenia i zjawiska, które w znaczącym stopniu wpłynęły na dzisiejszy obraz światowego cyberbezpieczeństwa. Zdaniem specjalistów z firm ESET, Stormshield i DAGMA należą do nich m.in.: agresja Rosji na Ukrainę, ataki ransomware wymierzone w systemy rosyjskie, wzrost świadomości zagrożenia przekładający się na większą dbałość o bezpieczeństwo IT, a także hakerzy rozpoczynający wykorzystywanie sztucznej inteligencji w swoich atakach.

Jak wynika z badania Cisco Talos Incident Response (CTIR) ransomware nie jest już głównym cyberzagrożeniem w sieci. Nieznacznie wyprzedziły go ataki wykorzystujące tzw. commodity malware. Oznacza to, że przeżywamy obecnie pewnego rodzaju renesans zagrożeń, m.in. takich jak trojany ukierunkowane na usługi poczty elektronicznej. Istotny wpływ na rodzaj, skalę oraz dynamikę obserwowanych dziś zagrożeń miał szereg zdarzeń i trendów zauważonych już w pierwszym kwartale br.

Rosyjska agresja na Ukrainę

Zdarzeniem, które w znacznym stopniu wpłynęło na zagadnienia w obszarze cyberbezpieczeństwa, była inwazja Rosji na Ukrainę. Specjaliści z firmy ESET zauważyli dwa istotne trendy w tym obszarze. Mianowicie pierwszym z nich jest wykorzystanie sfery cyfrowej jako pola walki. Pomimo iż, działania przeciwko Ukrainie prowadziło w ostatnich latach wiele grup APT, to działania z końca lutego były w tym kontekście o tyle szczególne, że ich przeprowadzenie było bezpośrednim wstępem do działań militarnych przygotowywanym przez wiele miesięcy. Ponadto napastnicy łączyli ataki DDoS z wykorzystaniem oprogramowania typu „wiper” (CaddyWiper, HermeticWiper czy IsaacWiper), tj. niszczącego zawartość zainfekowanych dysków. Drugim trendem było z kolei wykorzystywanie motywu pomocy uchodźcom wojennym w działaniach przestępczych.

„Pierwsze miesiące bieżącego roku przyniosły ataki cyberwojenne pierwszy raz prowadzone na tak szeroką skalę, a także oszustwa w postaci fałszywych zbiórek na rzecz pomocy mieszkańcom Ukrainy. Nigdy wcześniej nie zaobserwowano tak wielu wyspecjalizowanych i ukierunkowanych ataków wycelowanych w systemy i sieci jednego kraju, które byłyby przeprowadzone w tak krótkim okresie” — komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w firmie ESET.

Specjaliści firmy DAGMA także zauważyli wzrost zagrożeń związanych z dezinformacją oraz atakami phishingowymi, przede wszystkim powiązanymi z wojną w Ukrainie. Zwrócili oni szczególną uwagę na podniesienie poziomu alertu CRP, do poziomu trzeciego Charlie, który jest wprowadzany w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny atak o charakterze terrorystycznym w cyberprzestrzeni lub uzyskania wiarygodnych informacji o planowanym zdarzeniu, a w tym wypadku był pokłosiem zaangażowania się Polski w pomoc Ukrainie. „Rosyjscy hakerzy wielokrotnie wypowiadali wojnę w sieci, zapowiadając ataki na infrastrukturę technologiczną zachodnich państw wspierających Ukrainę. Polska znacząco zaangażowała się w pomoc dla Ukrainy, przez co znalazła się w gronie państw najbardziej zagrożonych odwetem i rosyjskimi atakami cybernetycznymi. Z danych zgromadzonych przez ESET wynika, że były podejmowane ataki na polski sektor zbrojeniowy i energetyczny” — mówi Krystian Paszek, ekspert ds. cyberbezpieczeństwa i audytów w DAGMA Bezpieczeństwo IT.

Zwiększone ryzyko cyberzagrożeń ukierunkowanych na polskie instytucje publiczne, wojskowe, ale także organizacje biznesowe wymaga wdrożenia dodatkowych procesów mających na celu zapewnienie bezpieczeństwa kluczowych systemów. „Alert Charlie 3 to sygnał dla służb i administracji publicznej do zachowania szczególnej czujności. Administracja jest zobowiązana do całodobowego prowadzenia wzmożonego monitoringu stanu bezpieczeństwa systemów teleinformatycznych dla systemów kluczowych. Instytucje publiczne są zobowiązane, by monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej” – mówi Aleksander Kostuch, Pre-Sales Engineer w firmie Stormshield.

Pandemia i praca zdalna

Praca zdalna, rozwój branży e-commerce czy medycyny online związany z pandemią spowodował, że aktywność społeczna i zawodowa w znacznym stopniu przeniosły się do sieci. Wszystkie te zdarzenia spowodowały wzrost zainteresowania zagadnieniami cyberbezpieczeństwa. „Wielu użytkowników Internetu zaczęło krytycznie podchodzić do kwestii własnego cyberbezpieczeństwa. Pomocne w zrozumieniu podstawowych zagadnień z cyberbezpieczeństwa były materiały tworzone przez specjalistów IT security, które pokazywały, jak bezpiecznie korzystać z Internetu, pracować zdalnie czy zabezpieczyć swoje dane” — zauważa Krystian Paszek. „Wiele firm podjęło dodatkowe działania, które w pierwszej kolejności miały na celu zweryfikowanie stanu bezpieczeństwa, wskazanie luk i słabych punktów, a w dalszych krokach podniesienie poziomu cyberbezpieczeństwa w posiadanej infrastrukturze. Zawsze podkreślamy, że świadomość zagrożenia jest fundamentem bezpieczeństwa, a ta kwestia przez lata była niedoceniana. Obecnie zauważamy pozytywne zmiany, choć oczywiście, mówiąc kolokwialnie, wciąż jesteśmy w tyle. Jednak coraz więcej podmiotów wprowadza w swoje struktury komórki zarządzające cyberbezpieczeństwem, jak również współpracuje z firmami zajmującymi się IT Security” — dodaje.

Warto jednak dodać, że szkolenie pracowników biurowych z zakresu bezpieczeństwa cyfrowego i radzenia sobie z socjotechniką wykorzystywaną przez cyberprzestępców może okazać się niewystarczające w obliczu rosnącej profesjonalizacji ich działań.

Profesjonalizacja cyberprzestępców i wykorzystywanie poczty elektronicznej

Zdaniem ekspertów firmy Stormshield nasila się profesjonalizacja cyberprzestępców pracujących na zlecenie rządów lub innych zleceniodawców. Obecnie wykorzystywane są nie tylko podatności systemów, ale atakowani są również ludzie. Dostęp do zasobów firmowych nierzadko udostępniany jest na prywatnych, niesprawdzonych i często niezabezpieczonych komputerach, co pozwala w łatwy sposób cyberprzestępcom zdobyć i wykorzystywać wiedzę, by wyłudzać dane dostępowe i podszywać się autoryzując swoje destrukcyjne działania, bazując głównie na oprogramowaniu ransomware.

„Możemy spodziewać się, że w najbliższym czasie cyberprzestępcy będą starać się wykorzystać wiedzę z zakresu sztucznej inteligencji dla jeszcze skuteczniejszego omijania zabezpieczeń” — przewiduje Aleksander Kostuch. „Wobec tego instytucje i firmy potrzebują dalszego wzmocnienia bezpieczeństwa, aby ograniczyć ryzyko i skalę potencjalnych szkód. W tym kontekście pozytywnie należy ocenić zadeklarowane przez rząd zwiększenie nakładów na cyberbezpieczeństwo, poprzez finansowanie obowiązkowych audytów bezpieczeństwa i projekt pod nazwą Cyfrowa Gmina” — dodaje.

Co ważne, specjaliści firmy Stormshield zwrócili również uwagę na rozpowszechniający się model działania przestępców, związany z zagrożeniem dla poczty internetowej dotyczący użytkowników indywidualnych. W ciągu ostatnich kilku miesięcy grupa o nazwie UNC1151/Ghostwriter atakowała pocztę elektroniczną polskich obywateli za pomocą wiadomości spreparowanych tak, aby sprawiały wrażenie pochodzących z zaufanych domen. W ten sposób zaatakowane zostały skrzynki pocztowe utworzone na znanych portalach, takich jak: wp.pl, interia.pl, op.pl czy gmail.com.

Innym istotnym zagrożeniem są coraz bardziej powszechne ataki typu „Browser in the Browser” polegające na wyświetleniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania służący do wyłudzania wrażliwych danych.

Jak zatem wzmocnić swoje bezpieczeństwo? Zdaniem ekspertów należy stosować politykę dostępu na firewallach, aby dostęp do oficjalnych skrzynek pocztowych, był zabezpieczany poprzez podwójną autoryzację i szyfrowanie oraz wzmocnić kontrolę dostępu do stron internetowych blokując fałszywe strony przed nierozsądnym kliknięciem. Przede wszystkim należy jednak stopniowo zwiększać świadomość i czujności wśród użytkowników, i nie ulegać powszechnej dezinformacji.

News