Wymuszanie okupu coraz częstsze w polskim internecie

Ubiegły rok w obszarze cyberbezpieczeństwa także w Polsce upłynął pod znakiem ransomware, choć tylko ułamek osób jego ofiar zgłasza to na policję. To dlatego, że często na komputerach mają jakieś nielegalne programy lub nie wierzą w skuteczność działania organów ścigania – podsumował, Tomasz Matuła dyrektor Infrastruktury ICT i Cyberbezpieczeństwa w Orange Polska prezentując coroczny raport CERT Orange Polska na temat bezpieczeństwa w polskim internecie w ubiegłym roku.

Odniósł się do ubiegłorocznych cyberataków WannaCry i Nyetya, które odbiły się głośnym echem. Pierwszy z nich był największym w historii atakiem ransomware (oprogramowanie wymuszającego okupy) i sprawił, że dziesiątki tysięcy urządzeń na całym świecie zostały zablokowane. Ofiarą padły między innymi: brytyjska służba zdrowia, rosyjskie MSW, firmy transportowe, telekomunikacyjne, ośrodki szkolnictwa i wiele innych organizacji. Petya uderzył głównie na Ukrainie, stamtąd rozprzestrzenił się, choć w znacznie mniejszym stopniu, do Rosji i krajów ościennych, w tym Polski. Ucierpiały firmy z różnych sektorów: energetycznego, transportowego czy reklamowego.

Efektem WannaCry było zainfekowanie urządzeń w 150 krajach, ale zyski jakie osiągnęli z tego cyberprzestępcy ocenia się na około 200 tys. dol. To stosunkowo niewiele i zmusza do zastanowienia, czy rzeczywiście to było rzeczywistym celem działań cyberprzestępców. Pojawiają się opinie, że ataki te służyły temu, by zacierać ślady innych działań i mogły być zlecone przez rządy jakichś krajów – zauważył Tomasz Matuła.

W przypadku sieci Orange Polska ransomware znalazł się w pierwszej trójce typów złośliwego oprogramowania (obok trojanów i backdoor), z jakim do czynienia mieli klienci sieci stacjonarnej sieci największego działającego w Polsce telekomu.

Orange od 2016 r. oferuje swym klientom do ochrony narzędzie pod nazwą CyberTarcza, zabezpieczające użytkowników sieci i jak szacuje operator, ochroniła ona w ubiegłym roku ponad 320 tys. jego klientów. A najczęstszym rodzajem zagrożenia, jakie wykrywała, było właśnie oprogramowanie wymuszające zapłacenie okupu (ransomware) – w ten sposób od ataku uchroniono 119 tys. klientów. W tej klasyfikacji na drugim miejscu były trojany (72 tys. ochronionych klientów, a na trzecim exploit kit, czyli programy uruchamianie na serwerach sieciowych służące do wykrywania luk w zabezpieczeniach (61 tys.).

Generalnie systemy monitorujące sieć Orange Polska w ubiegłym roku rejestrowały w sieci miesięcznie aż 10 mld podejrzanych zdarzeń, czyli o miliard więcej niż rok wcześniej. Jak podkreśla operator, wynika to z rosnącej liczby monitorowanych systemów i aktywności w sieci. Jednocześnie, faktycznych incydentów bezpieczeństwa zarejestrowano mniej – około 1.000 miesięcznie (blisko 1.400 w 2016). Według Orange efekt ulepszania mechanizmów wykrywania zagrożeń oraz klasyfikowania incydentów (np. szybszego eliminowania fałszywych alertów), a także doskonalenia środków prewencyjnych, zapobiegających nadużyciom.

Najczęściej analizowanymi incydentami z jakim mieli do czynienia specjaliści czuwający nad bezpieczeństwem sieci Orange Polska było „rozpowszechnianie obraźliwych i nielegalnych treści”. Ta kategoria stanowiła już prawie połowę wszystkich zagrożeń (o niemal 8 p.p. więcej niż rok wcześniej). Obejmuje także rozsyłanie spamu, w tym spamu phishingowego, w którym wiadomości e-mail czy SMS są nośnikiem złośliwego oprogramowania szyfrującego czy wykradającego dane z urządzeń ofiary.

Sporą grupę zagrożeń (prawie 20 proc.) wciąż stanowią ataki DDoS / DoS, polegające na „zalewaniu” atakowanego systemu ogromną ilością danych. W ten sposób doprowadzają do jego niedostępności, a skutkiem biznesowym takiej sytuacji może być utrata reputacji firmy czy straty finansowe. Jak zaobserwowali autorzy raportu CERT Orange Polska, zmniejsza się liczba długich i spektakularnych ataków. Bardziej opłacalna jest seria krótkich ataków, kończących się zanim rozpocznie się proces ich unieszkodliwiania, ponieważ nawet krótki atak dostarczy cyberprzestępcom informacji o odporności systemu na ataki tego typu.

Szybko rośnie udział ataków na urządzenia mobilne. W roku 2017 stanowiły one już 25 proc. wszystkich zagrożeń (w porównaniu do 7 proc. rok wcześniej).

A ponieważ sieć Orange Polska obejmuje swoim zasięgiem ok. 40 proc. polskiego internetu, wnioski z corocznego raportu CERT Orange Polska można bez ryzyka odnieść do całości sieci Internet w naszym kraju.

Nieostrożnym zachowaniem, publikowaniem zbyt szczegółowych informacji w mediach społecznościowych, nieuwagą przy otwieraniu załączników i linków narażamy na niebezpieczeństwo nie tylko siebie, ale też znajomych na portalu społecznościowym, czy pracodawcę. Cyberprzestępcy wciąż doskonalą metody zdobywania zaufania ofiar, a zdecydowanie najczęstszą drogą ataku jest zwykła wiadomość e-mail, odpowiednio sformułowana pod kątem odbiorcy – przestrzega Piotr Jaworski, dyrektor wykonawczy ds. sieci i technologii w Orange Polska.

W przyszłość możemy się spodziewać natomiast nasilenia nowych typów ataków. Autorzy raportu CERT przewidują, że w najbliższych latach wyzwaniem będzie nadal rozwijający się Internet Rzeczy (IoT). „Inteligentne urządzenia” muszą być odpowiednio zabezpieczone, aby nie były podatne na ataki i wykorzystanie ich jako boty do przeprowadzania ataków DdoS.

Nowym zjawiskiem jest wykorzystywanie sztucznej inteligencji (AI, Artificial Intelligence), zarówno do złych celów (omijania systemów zabezpieczeń czy znajdowania podatności), ale też skutecznej ochrony przed takimi działaniami.

Kolejny trend wskazany w raporcie to pozyskiwanie kryptowaluty dla przestępców. Służy temu złośliwe oprogramowanie, np. BitCoinMiner, wykorzystujący zasoby zainfekowanych urządzeń. Pozyskiwanie kryptowaluty może być wykonywane również poprzez skrypty w zaatakowanych serwisach internetowych. Aktywują się one w przeglądarkach użytkowników odwiedzających daną stronę, bez ich wiedzy i zgody. Autorzy raportu przewidują, że zjawisko to nasili się w tym roku.