Hakerzy upodobali sobie komputery nad Wisłą

Trickbot to dziś najpopularniejszy w Polsce wirus. Jak wynika z najnowszych badań firmy Check Point, trojan atakujący m.in. urządzenia z systemem Windows próbował już zainfekować 23 proc. firm. Do tego dochodzą liczne trojany bankowe, jak Qbot czy Dridex, które starają się wkraść na nasze konta. Analitycy ostrzegają, że obecnie to właśnie z ich strony jest największe zagrożenie – atakują najczęściej, i to zdecydowanie intensywniej niż w innych krajach. A do tego dochodzi coraz popularniejsza broń hakerów – ransomware (wirus wymuszający okup).

Czytaj także: Polska na celowniku. Kim są najgroźniejsi hakerzy i jak atakują

– W trakcie pandemii aktywność hakerów wzrosła, co pokazuje liczba incydentów bezpieczeństwa. Dlatego tak ważna jest świadomość przedsiębiorstw i odpowiednie zabezpieczanie danych – zaznacza Mateusz Piątek, menedżer w firmie Dagma Bezpieczeństwo IT.

Czytaj także: Najlepsze sposoby hakerów na okradanie nas

Zdalna praca zmorą administratorów IT

Ostatnie pół roku to dla firm i instytucji w naszym kraju czas nieustających ataków na sieci i komputery. Jak wynika z monitoringu Check Point, średnio co tydzień dochodziło aż do 497 tego typu naruszeń. Co ciekawe, aż w trzech czwartych przypadków szkodliwe pliki zostały dostarczone za pośrednictwem poczty elektronicznej. A to oznacza, że my sami, czyli użytkownicy komputerów, jesteśmy najsłabszym ogniwem. Nic dziwnego więc, że zajmujący się bezpieczeństwem IT w firmach z przerażeniem oczekują powrotu pracowników do biur. Specjaliści firmy Veeam zaznaczają, że cyberprzestępcy zdają sobie doskonale sprawę ze stopnia podatności sprzętów wykorzystywanych przez pracowników w domach (stąd już w czasie wiosennego lockdownu w 2020 r. miała miejsce zmasowana seria ataków phishingowych, wyłudzających dane). Dziś administratorzy IT obawiają się, że hakerzy zdołali umieścić w niezabezpieczonych laptopach szkodliwy kod, który zostanie uaktywniony w momencie ponownego podłączenia urządzeń do sieci przedsiębiorstwa. Choć – jak wskazuje Dave Russell, wiceprezes ds. strategii Veeam – niektóre firmy podjęły odpowiednie starania, dążąc do uniknięcia zagrożeń tego rodzaju, i dostarczyły do pracy zdalnej służbowy sprzęt objęty regularnymi aktualizacjami oprogramowania antywirusowego, to większość przedsiębiorstw skupiła się na działaniach zmierzających do szybkiego udostępnienia odpowiedniego środowiska roboczego, ale bez regularnych aktualizacji i niezbędnych kontroli zabezpieczeń. Okazuje się, że aż 61 proc. z nas używało w domu prywatnych urządzeń, a nie sprzętu przydzielonego przez pracodawcę, przy czym jedynie 9 proc. korzystało z korporacyjnego systemu antywirusowego, a 51 proc. uzyskało wsparcie informatyczne podczas przechodzenia na zdalne stacje robocze. Eksperci zauważają, że w tej sytuacji – aby skutecznie chronić się przed cyberprzestępczością – firmy muszą wdrożyć kompleksową strategię zapobiegania zagrożeniom, a nie jedynie polegać na bieżącym wykrywaniu i naprawianiu systemu.

Cel: infrastruktura

Ostatnie miesiące to jednak okres zintensyfikowanych ataków ransomware (wirus szyfrujący lub wykradający dane i żądający okupu). Tylko w maju doszło do dwóch potężnych cyberuderzeń tego typu, wymierzonych w przedsiębiorstwa strategiczne dla gospodarki USA: operatora rurociągów paliwowych (Colonial Pipeline) i potentata ubezpieczeń (CNA Financial Corp.). Obie firmy zapłaciły wysoką cenę, przelewając na konta cyberprzestępców w sumie 45 mln dol. okupu w kryptowalucie. W Polsce kilka miesięcy temu ofiarą podobnej kampanii padł CD Projekt. Analitycy nie mają wątpliwości, że podobnych zdarzeń będzie szybko przybywać. Dane Check Point wskazują, że na świecie co tydzień aż 1 tys. organizacji pada ofiarą ransomware. W ub. r. liczba ataków skoczyła o 350 proc., a tylko w I kwartale 2021 r. o kolejne ponad 20 proc. Straty z tego tytułu tylko w 2020 r. szacowano na 20 mld dol.

Niepokojące dane płyną z Polski, gdzie zaobserwowano średnio pięć ataków tego typu tygodniowo. A to czyni nasz kraj rynkiem wysokiego ryzyka (dla porównania w Czechach ten współczynnik to 0,1, zaś w Grecji – 2). Zagrożenie jest tym większe, że – jak pokazują przykłady z USA – jesteśmy świadkami coraz częstszych ataków na infrastrukturę krytyczną (w przypadku ataku na Colonial Pipeline doszło do zaszyfrowania setek terabajtów danych na serwerach firmy, co spowodowało, że sieć przesyłowa została całkowicie sparaliżowana, a w efekcie nastąpiła przerwa w dostawie paliw). – Niestety, nie są to drobne incydenty, które przechodzą bez echa, lecz coraz wyraźniejszy trend w działaniach cyberprzestępców – przestrzega Piotr Zielaskiewicz, product manager Stormshield.

Przykłady podobnych incydentów można mnożyć: lutowy atak na stację uzdatniania wody na Florydzie (hakerzy zdalnie zwiększyli ilość wodorotlenku sodu w wodzie do poziomów niebezpiecznych dla człowieka) czy majowe ataki na szpitale w Irlandii i Nowej Zelandii (doszło do sparaliżowania systemów IT służby zdrowia).

Ale w Polsce pojawiło się kolejne poważne zagrożenie. Bitdefender zidentyfikował nową kampanię typu Exploit kit, wykorzystującą luki w przeglądarce Internet Explorer (infekcja komputera złośliwym oprogramowaniem następuje po odwiedzeniu legalnej witryny internetowej bez dodatkowej interakcji ze strony użytkownika). Exploit kit jest narzędziem służącym hakerom do wykorzystywania podatności w zabezpieczeniach – najczęściej skanuje przeglądarki, wyszukując luki bezpieczeństwa, a następnie przechodzi do ofensywy w celu zdobycia kontroli nad systemem ofiary. Automatyczne pobranie i uruchomienie wirusa następuje po otworzeniu strony internetowej. Bitdefender informuje, że większość alertów dotyczących tej kampanii pochodzi Europy, w tym również z Polski.

Opinia dla „rz"

Wojciech Głażewski, dyrektor zarządzający, Check Point Software Technologies w Polsce