Agresja Rosji na Ukrain?, ransomware wymierzone w systemy rosyjskie, wzrost ?wiadomo?ci zagro?enia przek?adaj?cy si? na wi?ksz? dba?o?? o bezpiecze?stwo i przest?pcy, którzy si?ga? b?d? po sztuczn? inteligencj?. To, jak komentuj? eksperci ds. cyberbezpiecze?stwa z ESET, Stormshield i DAGMA, zdarzenia i zjawiska warte szczególnego odnotowania w pierwszym pó?roczu bie??cego roku.
ESET
Zdarzeniem, które w najwi?kszym stopniu wp?yn??o na zagadnienia w obszarze cyberbezpiecze?stwa, by?a rosyjska agresja na Ukrain?. Specjali?ci ESET wskazuj? w tym kontek?cie na dwa szczególne trendy. Pierwszym jest wykorzystanie sfery cyfrowej jako pola walki. Cho? telemetria ESET i prowadzone przez firm? analizy pokazuj?, ?e dzia?ania przeciwko Ukrainie prowadzi?o w ostatnich latach wiele grup APT, to dzia?ania z ko?ca lutego by?y w tym kontek?cie o tyle szczególne, ?e ich przeprowadzenie – przygotowywane od wielu miesi?cy – by?o bezpo?rednim wst?pem do dzia?a? militarnych. Napastnicy ??czyli ataki DDoS z wykorzystaniem oprogramowania typu „wiper” (CaddyWiper, HermeticWiper czy IsaacWiper), tj. niszcz?cego zawarto?? zainfekowanych dysków. Drugim trendem, na który wskazuj?, by?o wykorzystywanie w dzia?aniach przest?pczych motywu pomocy uchod?com wojennym.
Pierwsze miesi?ce bie??cego roku przynios?y ataki cyberwojenne pierwszy raz prowadzone na tak szerok? skal?, a tak?e oszustwa w postaci fa?szywych zbiórek na rzecz pomocy mieszka?com Ukrainy. Nigdy wcze?niej nie zaobserwowano tak wielu wyspecjalizowanych i ukierunkowanych ataków wycelowanych w systemy i sieci jednego kraju, które by?yby przeprowadzone w tak krótkim okresie – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpiecze?stwa ESET.
Zwraca on równie? uwag? na fakt odnotowania przez telemetri? ESET wzmo?onej aktywno?ci wymierzonej w rosyjskie systemy cyfrowe.
W pierwszych czterech miesi?cach bie??cego roku odnotowali?my znaczny wzrost detekcji oprogramowania ransomware wycelowanego w rosyjskie systemy, niektóre z analizowanych zagro?e? pos?ugiwa?y si? nawet tytu?em „Slava Ukraini”. Wzrost detekcji oprogramowania ransomware wycelowanego w rosyjskich u?ytkowników to nowe zjawisko, wcze?niej tego typu zagro?enia generalnie unika?y infekowania systemów w Rosji – mówi Kamil Sadkowski.
Dagma Bezpiecze?stwo IT
W opinii DAGMY wart podkre?lenia jest wzrost zainteresowania zagadnieniami cyberbezpiecze?stwa, do czego przyczyni?a si? pandemia i b?d?ce jej pok?osiem zmiany. Praca zdalna, rozwój bran?y e-commerce czy medycyny online spowodowa?, ?e aktywno?? spo?eczna i zawodowa w znacznym stopniu przenios?y si? do sieci.
Wielu u?ytkowników Internetu zacz??o krytycznie podchodzi? do kwestii w?asnego cyberbezpiecze?stwa. Pomocne w zrozumieniu podstawowych zagadnie? z cyberbezpiecze?stwa by?y materia?y tworzone przez specjalistów IT security, które pokazywa?y jak bezpiecznie korzysta? z Internetu, pracowa? zdalnie czy zabezpieczy? swoje dane – komentuje Krystian Paszek, ekspert ds. cyberbezpiecze?stwa i audytów w DAGMA Bezpiecze?stwo IT.
Zwraca przy tym uwag?, ?e podobny trend mo?na zauwa?y? w?ród osób decyzyjnych wielu firm, w których praca zdalna by?a novum, w zwi?zku z którym zacz??y pojawia? si? pytania o zabezpieczenie danych firmowych.
Wiele firm podj??o dodatkowe dzia?ania, które w pierwszej kolejno?ci mia?y na celu zweryfikowanie stanu bezpiecze?stwa, wskazanie luk i s?abych punktów, a w dalszych krokach podniesienie poziomu cyberbezpiecze?stwa w posiadanej infrastrukturze. Zawsze podkre?lamy, ?e ?wiadomo?? zagro?enia jest fundamentem bezpiecze?stwa, a ta kwestia przez lata by?a niedoceniana. Obecnie zauwa?amy pozytywne zmiany, cho? oczywi?cie, mówi?c kolokwialnie, wci?? jeste?my w tyle. Jednak coraz wi?cej podmiotów wprowadza w swoje struktury komórki zarz?dzaj?ce cyberbezpiecze?stwem, jak równie? wspó?pracuje z firmami zajmuj?cymi si? IT Security – mówi Krystian Paszek.
Nowym trendem jest równie? szkolenie pracowników biurowych z zakresu bezpiecze?stwa cyfrowego i radzenia sobie z socjotechnik? wykorzystywan? przez internetowych przest?pców. Do zarz?dzaj?cych dociera, ?e to cz?owiek wci?? jest najs?abszym ogniwem w przypadku ataków hakerskich. Wi?ksza ?wiadomo?? tego faktu cieszy – dodaje.
Eksperci DAGMY wskazuj? tak?e na wzrost zagro?e? zwi?zanych z dezinformacj? oraz atakami phishingowymi, przede wszystkim ukierunkowanymi na wojn? w Ukrainie. Zwracaj? uwag? na podniesienie poziomu alertu CRP, do poziomu trzeciego Charlie. Jest on wprowadzany w przypadku wyst?pienia zdarzenia potwierdzaj?cego prawdopodobny atak o charakterze terrorystycznym w cyberprzestrzeni lub uzyskania wiarygodnych informacji o planowanym zdarzeniu. Og?oszenie poziomu Charlie 3 to pok?osie zaanga?owania si? Polski w pomoc dla Ukrainy.
Rosyjscy hakerzy wielokrotnie wypowiadali wojn? w sieci, zapowiadaj?c ataki na infrastruktur? technologiczn? zachodnich pa?stw wspieraj?cych Ukrain?. Polska znacz?co zaanga?owa?a si? w pomoc dla Ukrainy, przez co znalaz?a si? w gronie pa?stw najbardziej zagro?onych odwetem i rosyjskimi atakami cybernetycznymi. Z danych zgromadzonych przez ESET wynika, ?e by?y podejmowane ataki na polski sektor zbrojeniowy i energetyczny – dodaje ekspert DAGMA Bezpiecze?stwo IT.
Alert Charlie 3 to sygna? dla s?u?b i administracji publicznej do zachowania szczególnej czujno?ci. Administracja jest zobowi?zana do ca?odobowego prowadzenia wzmo?onego monitoringu stanu bezpiecze?stwa systemów teleinformatycznych dla systemów kluczowych. Instytucje publiczne s? zobowi?zane by monitorowa? i weryfikowa?, czy nie dosz?o do naruszenia bezpiecze?stwa komunikacji elektronicznej – dopowiada Aleksander Kostuch ze Stormshield.
STORMSHIELD
Istotnie zwi?kszy?o si? zagro?enie funkcjonowania systemów krytycznych dla funkcjonowania pa?stwa i biznesu. Efekt dzia?a? ataków cybernetycznych najcz??ciej nie zawsze ma ju? na celu zarobkowanie. Ataki maj? zdestabilizowa? logistyk?, wytwarzanie i dystrybucj? energii elektrycznej, wodoci?gi, kanalizacj? czy te? gazownictwo – komentuje Aleksander Kostuch.
Wykorzystywane s? nie tylko podatno?ci systemów, atakowani s? równie? ludzie. Dost?p do zasobów firmowych nierzadko udost?pniany jest na prywatnych, nie sprawdzonych i cz?sto nie zabezpieczonych komputerach. To przyczynia si? do ?atwiejszej kradzie?y danych i prze?amania zabezpiecze?. Cyberprzest?pcy wykorzystuj? zdobyt? wiedz? – wy?udzaj? dane dost?powe i podszywaj? si? autoryzuj?c swoje destrukcyjne dzia?ania, bazuj?c g?ównie na ransomware.
Mo?emy spodziewa? si?, ?e w najbli?szym czasie cyberprzest?pcy b?d? stara? si? wykorzysta? wiedz? z zakresu sztucznej inteligencji dla jeszcze skuteczniejszego omijania zabezpiecze?. – przewiduje Aleksander Kostuch. – Wobec tego instytucje i firmy potrzebuj? dalszego wzmocnienia bezpiecze?stwa, aby ograniczy? ryzyko i skal? potencjalnych szkód. W tym kontek?cie pozytywnie nale?y oceni? zadeklarowane przez rz?d zwi?kszenie nak?adów na cyberbezpiecze?stwo, poprzez finansowanie obowi?zkowych audytów bezpiecze?stwa i projekt „Cyfrowa Gmina” – dodaje.
Skuteczno?? socjotechniki powoduje, ?e dzia?ania przest?pców coraz cz??ciej wymierzone s? w pojedyncze osoby. Znaczna cz??? ataków, jak ocenia si? nawet 90% prowadzonych przeciw instytucjom publicznym i podmiotom biznesowym, jest skierowana na skrzynki email – mówi Aleksander Kostuch, in?ynier Stormshield, europejskiego lidera bran?y bezpiecze?stwa IT.
Grupa o nazwie UNC1151/Ghostwriter atakuje poczt? elektroniczn? polskich obywateli poprzez podszywanie si? pod emaile pochodz?ce rzekomo od zaufanych domen. Jej cz?onkowie wysy?aj? wiadomo?ci ze skrzynek pocztowych utworzonych na portalach, takich jak wp.pl, interia.pl, op.pl czy gmail.com.
Dzia?ania te maj? na celu wy?udzenie danych do logowania do skrzynek pocztowych. Ich tre?? nak?ania u?ytkownika do podj?cia natychmiastowego dzia?ania, którego brak mo?e rzekomo doprowadzi? do utraty dost?pu do skrzynki, a nawet jej skasowania – ostrzega Aleksander Kostuch.
Innym istotnym zagro?eniem s? ataki typu „Browser in the Browser” polegaj?ce na wy?wietleniu w ramach odwiedzanej strony pozornie nowego okna przegl?darki, zawieraj?cego fa?szywy panel logowania. Okno to jest na tyle dobrze wykonane, ?e ofiara mo?e mie? trudno?? z odró?nieniem spreparowanego okna od faktycznego nowego okna aplikacji. W ten sposób wy?udzane s? wra?liwe dane.
Te zdarzenia potwierdzaj?, ?e nale?y wzmocni? bezpiecze?stwo poprzez stosowanie polityk dost?pu na firewallach, aby dost?p do oficjalnych skrzynek pocztowych, by? zabezpieczany poprzez podwójn? autoryzacj? i szyfrowanie. Nale?y równie? wzmocni? kontrol? dost?pu do stron internetowych blokuj?c fa?szywe strony przed nieroztropnym klikni?ciem. Przede wszystkim nale?y zwi?ksza? ?wiadomo?? i czujno?ci w?ród u?ytkowników i nie ulega? powszechnej dezinformacji.
