7-10 minut

Największe incydenty bezpieczeństwa w 2020 roku

Cyberataki ransomware mające na celu szantaż ofiary, wycieki danych oraz unieruchomienie serwisów w wyniku DDoS to tylko niektóre z zagrożeń odnotowanych w minionym roku. Zaskoczenie wielu przedsiębiorstw pandemią spowodowało, że cyberprzestępcy „poczuli krew w wodzie” i korzystając z nieprzygotowania firm na przeniesienie niemal całej działalności z biur do home office jeszcze intensywniej przystąpili do ofensywy. W artykule prezentujemy najistotniejsze trendy w świecie przestępczym związane z atakami na zasoby informatyczne przedsiębiorstw.

Ataki w czasie pandemii

„Pierwszą uderzającą rzeczą, jaką zauważyliśmy w naszym przeglądzie, był bezprecedensowy wzrost liczby zgłoszonych incydentów na początku okresu lockdownu w marcu 2020 r. Rok rozpoczął się spokojnie, a liczba zgłoszonych incydentów w styczniu 2020 r. wyniosła połowę średniej odnotowanej w poprzednich latach. Jednak gdy w marcu 2020 r. zaczęły obowiązywać ograniczenia związane z pandemią liczba rejestrowanych incydentów gwałtownie wzrosła.”1 – czytamy w publikacji „How Cyber Attacks Changed During the Pandemic” autorstwa F5 Security Incident Response Team.

Od początku pandemii stało się jasne, że przestępcy wykorzystają okazję do wykradania danych, do których sięgać będą pracownicy w trakcie lockdownu częściej łącząc się z zasobami biurowymi z domu. Środkiem służącym do wyłudzania informacji było m.in. oprogramowanie do wideo i telekonferencji. Na celowniku przestępców znalazł się w pierwszej kolejności Zoom. Jedną z podatności wersji dla Windows, która mogła doprowadzić do przejęcia danych logowania do systemu operacyjnego, była m.in. możliwość „wstrzyknięcia” ścieżki UNC (Universal Naming Convention) jako fragmentu rozmowy na czacie2. Specjaliści od bezpieczeństwa wykryli także luki w komunikacji Zooma, poprzez które, nawet w rzekomo szyfrowanych spotkaniach wideo podczas zakładania wideokonferencji („Require Encryption for 3rd Party Endpoints”) oprogramowanie w rzeczywistości nie stosowało tego mechanizmu zabezpieczenia3.

Kolejne z zagrożeń wiązało się z wykorzystaniem nieuwagi użytkowników, którzy mogli nie dostrzec, że w adresie przesyłanym jako link do spotkania pojawia się fałszywa domena podszywająca się pod Zoom. Według raportu Check Point w marcu 2020 odnotowano wzrost rejestrowanych domen, których nazwy zawierają „Zoom”. Od początku minionego do marca zarejestrowano ponad 1700 nowych domen. Nieuwagę użytkownika miały także wykorzystywać fałszywe aplikacje mobilne podszywające się pod narzędzia do wideokonferencji.

W trakcie pandemii przestępcy wykorzystywali również podatności obecne w rozwiązaniach VPN. Wiele z tych podatności znanych jest od co najmniej 2019 roku i opisana została m.in. w ostrzeżeniach (alertach), takich agencji jak brytyjski National Cyber Security Center4. Przestępcy dysponują gotowymi narzędziami umożliwiającymi im wykrywanie nie aktualizowanych urządzeń i następnie wykorzystanie zdobytych informacji do ataku. Należy podkreślić, że pomimo wiedzy o istniejących zagrożeniach wciąż znajdują się w sieci „nie załatane” dotychczas urządzenia VPN Pulse Secure5 Fortinet i Palo Alto oraz te posiadające relatywnie „świeże”, wykryte w październiku 2020 podatności w firewallach VPN SonicWall6. Luka w tych urządzeniach umożliwia potencjalnie nawet wykonanie kodu na urządzeniu.

Luki w oprogramowaniu

Niezwykle ważnym aspektem ochrony informacji i systemów IT przed atakami z zewnątrz są aktualizacje łatające luki w zabezpieczeniach. To właśnie luki w oprogramowaniu powodują, że możliwe są ataki wykorzystujące podatności – malware, ransomware, włamania do systemów. Firmy korzystające z oprogramowania zewnętrznego zdane są na szybkość działania dostawcy oprogramowania. Jego obowiązkiem jest dostarczenie patchy tak szybko jak to jest możliwe. W przypadku SolarWinds Orion reakcja dostawcy nastąpiła dość późno. Przez kilka miesięcy, między marcem a majem 2020, dystrybuowany był złośliwy kod znajdujący się w bibliotece tego oprogramowania służącego do monitorowania i zarządzania firmową infrastrukturą. Publicznie o ataku poinformowano dopiero w grudniu ub. r. Do zainfekowanych podmiotów należy m.in. ponad 425 firm z listy Fortune 5007, a także instytucje zajmujące się bezpieczeństwem w USA. Mechanizm ataku polegał na tym, że napastnicy zamieniali pliki, na własne, właściwie podpisane cyfrowo odpowiedniki, na oficjalnej stronie z aktualizacjami SolarWinds. Luka była dość trudna do wykrycia, bo złośliwe oprogramowanie nie aktywowało się natychmiast, lecz odczekiwało dwa tygodnie i dopiero wówczas zaczynało infekować ofiarę.8

Zazwyczaj jednak wykrycie groźnych luk w oprogramowaniu i podatności możliwe jest zanim zostanie ono wykorzystane przez przestępców, dzięki realizowanym cyklicznie audytom bezpieczeństwa wykonywanym przez profesjonalistów. Usługi takie świadczą także operatorzy telekomunikacyjni, tacy jak T‑Mobile.

Wycieki danych

W 2020 roku dochodziło także do licznych wycieków danych. Nie mamy jeszcze informacji za cały rok, ale można spodziewać się, że 2020 będzie rekordowy pod tym względem. Według raportu „2020 Q3 Report Data Breach QuickView”19 w USA do końca trzeciego kwartału 2020 wyciekło ponad 36 mln rekordów, podczas kiedy w całym 2019 roku, dotychczas najgorszym, było to około 8,35 mln. Z raportu wynika, że do najczęściej wyciekających danych należą imię i nazwisko (45%), e-mail (36%) oraz hasło (29%).

Incydenty związane z wyciekiem danych nie ominęły niestety Polski i dotknęły m.in. uczelni wyższych, ale także firm. Media informowały o wyciekach danych, które miały miejsce m.in. na Uniwersytecie Warszawskim i dotyczyły studentów MIMUW, WPiA oraz pracowników uczelni. Informacje mogły także trafić do osób niepowołanych z zagubionego laptopa pracownika SGGW, a także z uczelni, do których dokonano włamania, czyli z Politechniki Warszawskiej, SWPS i Collegium Da Vinci10.

Do wycieku danych doszło także w wypożyczalni samochodów11, skąd na zewnątrz trafiły informacje o klientach, m.in. numery telefonów, zaszyfrowane hasła, dane PESEL i adresy. Z kolei informacje o imieniu i nazwisku klientów, ich e-mail i PESEL wyciekły z polskiej firmy pożyczkowej12.

Ransomware jeszcze bardziej niebezpieczny

Podobnie jak w latach poprzednich istotnym zagrożeniem w 2020 roku był ransomware. Przestępcy, którzy posługują się tym atakiem szyfrują zawartość dysków uniemożliwiając dostęp do danych, a na ekranie zainfekowanych urządzeń wyświetlany jest komunikat o tym, co zrobić, by szantażysta umożliwił na powrót korzystanie z systemów i dostęp do danych. Skuteczną metodą pozwalającą nie ulegać szantażowi jest backup i procedury disaster recovery. W 2020 przestępcy poszli zatem o krok dalej i już nie tylko szantażują nieodzyskaniem danych, ale także ujawnieniem zdobytych z dysków ofiary poufnych informacji. Pierwszą z grup przestępczych, która zastosowała tę technikę zastraszania firm była Maze13.

Nie ma wielu informacji o tego rodzaju atakach w Polsce. Jednym z niewielu ujawnionych przykładów jest przypadek gminy Kościerzyna14, która zaatakowana został odmianą ransomware z rodziny Mapo. Sprawą zajął się CERT, któremu udało się napisać dekryptor i odszyfrować dane urzędu oraz wyjątkowo kilku innych firm, co nie jest zwykłą praktyką, bo CERT poziomu krajowego zazwyczaj nie przyjmuje zgłoszeń podmiotów prywatnych.

Ataki DDoS

Wśród zagrożeń pojawiających się od wielu lat istotne są także ataki powodujące przeciążenie zasobów sieciowych i obliczeniowych ofiary, co uniemożliwia im działanie. W 2020 roku zespół Google Cloud ujawnił szczegóły ataku DDoS z 2017 r., który osiągnął wartość 2,54 Tb/s15, co czyni go największym dotychczas zarejestrowanym atakiem tego rodzaju. W oddzielnym raporcie opublikowanym w tym samym czasie, zespół bezpieczeństwa Google Google Threat Threat Analysis Group (TAG) zajmujący się analizą zagrożeń high-end, poinformował, że atak został przeprowadzony przez podmiot sponsorowany przez Chiny. Atak ten był nieznacznie większych rozmiarów niż odnotowany w połowie lutego 2020 roku na infrastrukturę AWS Amazon o wartości 2,3 Tb/s16. Zdaniem ekspertów Google Cloud DDoS będą się nasilać w najbliższych latach, wraz ze wzrostem przepustowości Internetu.

Według analizy F5 Labs Security Incident Response Team (SIRT)17 liczba ataków DDoS wzrosła znacząco podczas pandemii. W styczniu 2020 ataki DDoS stanowiły jedynie 10 procent liczby zgłoszonych incydentów, ale już od marca ich wzrost był trzykrotnie wyższy niż pozostałych typów ataków rejestrowanych przez F5. Od stycznia do sierpnia 45% incydentów zgłoszonych F5 związanych z bezpieczeństwem dotyczyło właśnie DDoS, przy czym 43% z nich to ataki polegające na logowaniu się za pomocą hasła. Według danych Netscout w okresie lockdownu, który miał miejsce w większości zaawansowanych technologicznie krajów, nastąpił 25% wzrost ataków DDoS18.

W Europie także coraz częściej dochodzi do ataków DDoS, co dotyczy zwłaszcza dostawców usług internetowych. W 2020 w wyniku tych działań najbardziej ucierpieli dostawcy Internetu w Belgii, Holandii i Francji19. Niektóre ataki trwały dłużej niż 4 godziny i osiągały wartość blisko 300 Gb / s. W 2020 nie odnotowano spektakularnych ataków DDoS na instytucje w Polsce.

Phishing i spoofing

Jednym z największych zagrożeń na świecie, ale przede wszystkim w Polsce, jest Phishing. Według raportu „2020 Phishing and Fraud Report”20 w ubiegłym roku odnotowano 15% wzrost liczby przypadków phishingu w porównaniu z 2019. W szczytowym okresie obaw związanych z pandemią na świecie liczba oszustw tego rodzaju wzrosła aż o 220% w porównaniu ze średnią za cały rok.

Wyłudzanie danych stosowane było w Polsce m.in. w związku z nasileniem handlu w Internecie spowodowanym pandemią. W 2020 roku, operator paczkomatów, firma InPost wielokrotnie alarmowała swoich użytkowników o zagrożeniach, którymi były fałszywe e-maile i SMS, w których przestępcy nakłaniali użytkowników do kliknięcia w podejrzane linki zawarte w wiadomościach21.

W maju 2020 przestępcy rozsyłali wiadomości poczty elektronicznej zawierające fałszywe faktury22, w których podszywali się pod operatorów telekomunikacyjnych. Kliknięcie w zawarty w e-mailu link powodowało pobranie na urządzenie złośliwego kodu dającego atakującym dostęp do urządzenia ofiary. Korzystając z zagrożenia pandemią przestępcy podszywali się także m.in. pod SANEPID23i przesyłali użytkownikom wiadomości SMS informujące o rzekomo dodatnim wyniku testu na COVID-19. Wzywano ofiarę do natychmiastowego kontaktu na numer telefonu, pod którym pozyskiwane były wrażliwe dane osobowe.

***

Wielość zagadnień związanych z  bezpieczeństwem i liczba zagrożeń czyhających na pracowników oraz klientów może przytłaczać. Do już znanych z lat poprzednich, ale wciąż doskonalonych metod ataków, takich jak włamania do systemów, wykorzystanie podatności, Ransomware i DDoS doszły w 2020 nowe metody phishingu, stosujące innowacyjne metody psychologiczne. Zwiększyła się liczba możliwych luk w zabezpieczeniach. Rosnąca złożoność i mnogość tych zagrożeń sprawiają, że firmy częściej korzystać będą ze wsparcia partnerów zapewniających specjalistyczne usługi, obejmujące profilaktykę, zabezpieczenia, audyt oraz narzędzia techniczne.

1https://www.f5.com/labs/articles/threat-intelligence/how-cyber-attacks-changed-during-the-pandemic
2 https://www.forbes.com/sites/kateoflahertyuk/2020/04/01/zoom-user-warning-this-issue-could-allow-attackers-to-steal-windows-users-passwords/
3https://theintercept.com/2020/03/31/zoom-meeting-encryption/
4https://www.ncsc.gov.uk/news/alert-vpn-vulnerabilities
5https://sekurak.pl/namierzyli-1000-podatnych-vpnow-na-calym-swiecie-i-udostepnili-sieci-do-przejecia-przez-ransomware-na-celowniku-banki-instytucje-rzadowe-sa-rowniez-instytucje-z-polski/
6 https://sekurak.pl/cve-2020-5135-krytyczna-podatnosc-w-firewallach-urzadzeniach-vpn-od-sonicwalla-800-000-podatnych-urzadzen-dostepnych-w-internecie-latajcie/
7https://www.newsweek.com/solarwinds-hack-customer-list-suspected-russian-cyberattack-1554467
8https://sekurak.pl/amerykanskie-agencje-pohackowane-napastnicy-wbudowali-backdoor-w-aktualizacje-oprogramowania-solarwinds-orion-uzywanego-rowniez-przez-polske/
9https://pages.riskbasedsecurity.com/hubfs/Reports/2020/2020%20Q3%20Data%20Breach%20QuickView%20Report.pdf
10https://zaufanatrzeciastrona.pl/post/wyciek-danych-studentow-pracownikow-i-wspolpracownikow-uniwersytetu-warszawskiego/
11https://zaufanatrzeciastrona.pl/post/wyciek-danych-klientow-i-wypozyczalni-panek-rent-a-car/
12https://niebezpiecznik.pl/post/wyciek-z-moneyman-pl-uodo-bada-sprawe/
13https://zaufanatrzeciastrona.pl/post/plac-za-zwrot-danych-juz-nieaktualne-teraz-jest-plac-albo-publikujemy/
14https://zaufanatrzeciastrona.pl/post/o-ransomware-w-polskich-gminach-czyli-historie-z-happy-endem-i-bez/
15https://www.zdnet.com/article/google-says-it-mitigated-a-2-54-tbps-ddos-attack-in-2017-largest-known-to-date/
16https://www.zdnet.com/article/aws-said-it-mitigated-a-2-3-tbps-ddos-attack-the-largest-ever/
17 https://www.f5.com/labs/articles/threat-intelligence/how-cyber-attacks-changed-during-the-pandemic
18https://www.netscout.com/netscouts-threat-intelligence-report-1H2020
19 https://www.zdnet.com/article/european-isps-report-mysterious-wave-of-ddos-attacks/
20 https://www.f5.com/labs/articles/threat-intelligence/2020-phishing-and-fraud-report
21https://inpost.pl/aktualnosci-aktualne-informacje-dotyczace-odbierania-i-nadawania-przesylek-inpost#[+Aktualizacja,+18.09.2020+]+Kolejne+ataki+phishingowe!
22https://www.bankier.pl/wiadomosc/Trwa-atak-phishingowy-na-klientow-Orange-i-Play-7886944.html
23https://sekurak.pl/uwaga-na-smsy-perfekcyjnie-podszywajace-sie-pod-sanepid-sms-spoofing/

Usługi Bezpieczeństwa IT

Ten artykuł dotyczy produktu

Usługi Bezpieczeństwa IT

Przejdź do produktu

Data publikacji: 22.01.2021

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail