Poznaj najpopularniejsze metody cyberataków na firmy w Polsce

Przeczytaj także: Fortinet: najbardziej dotkliwe cyberataki IV kw. 2018 r.

GandCrab – najpopularniejszy ransomware

Ransomware zupełnie zasłużenie zyskał miano epidemii online. Wydawać by się jednak mogło, że oprogramowanie, które żąda okupu w zamian za odblokowanie dostępu do zainfekowanego urządzenia lub danych, nieco straciło na sile i ustąpiło miejsca innym zagrożeniom. Tymczasem tak się nie stało. W Polsce aktywnością wykazywał się GandCrab - złośliwy program, który zagnieżdżał się w urządzeniu ofiary za pomocą fałszywej wiadomości, a następnie usuwał tapetę, wyświetlając w zamian komunikat z żądaniem okupu. W drugiej połowie minionego roku zaatakował w naszym kraju ponad 1500 razy. Jednocześnie w tym samym czasie okazał się najbardziej aktywnym (3 mln ataków) oprogramowaniem szyfrującym na świecie.

Widoczny jest znaczny spadek aktywności WannaCry, który w 2017 r. doprowadził do paraliżu wielu instytucji na całym świecie i spowodował straty wycenione przez ekspertów na 8 miliardów dolarów. W drugiej połowie 2018 r. nie znalazł się już w gronie najczęstszych ataków ransomware w Polsce. Z kolei na całym świecie odnotowano w tym czasie tylko 16 tysięcy przypadków z jego wykorzystaniem.

Unikalnym ransomware występującym w Polsce wydaje się być Shade, który pojawił się około 2014 r. i jest rozprzestrzeniony przez malspam – a więc spam zawierający złośliwy załącznik, najczęściej plik w formacie zip, prezentowany odbiorcy jako coś, co należy jak najszybciej otworzyć. W Polsce w omawianym czasie odnotowano 228 przypadków Shade, nie był natomiast zauważony w podobnej skali na całym świecie.

– Szczególnie interesujące były ataki ransomware, w których przestępcy próbowali podszywać się pod rosyjskie spółki naftowo-gazowe, w szczególności „PAO NGK Slavneft". Prawdopodobnie ich celem było uderzenie w część tego segmentu przemysłu – mówi dr Paolo Di Prodi, analityk z firmy Fortinet.

Polski Prosiak podbija świat

Interesującym przypadkiem jest pochodzące z Polski złośliwe oprogramowanie o nazwie Prosiak. Jest to wirus, którego aktywność odnotowano najczęściej nie tylko w Polsce (ponad 270 tysięcy przypadków), ale też na świecie (prawie 28 milionów przypadków).

Prosiak jest backdoorem, a więc narzędziem, które cyberprzestępca tworzy po to, aby później za jego pomocą (przez „tylne drzwi”) dostać się do wybranego za cel systemu.
Backdoory mogą pojawiać się także w inny sposób, np. w wyniku pomyłki w kodzie lub są celowo tworzone przez producentów oprogramowania, aby później za ich pomocą np. naprawiać błędy. Oczywiście w tej sytuacji istnieje ryzyko, że taka intencjonalnie pozostawiona furtka zostanie odkryta przez cyberprzestępców i wykorzystana do nielegalnych celów.

Uwaga na luki w produktach Adobe i Microsoft

Sondy FortiGuard odnotowały w Polsce największą aktywność eksploitów, a więc złośliwego oprogramowania wykorzystującego luki w zabezpieczeniach, związanych z oprogramowaniem Adobe Reader i Acrobat oraz z pakietem MS Office. Cyberprzestępcze grupy wykorzystujące te narzędzia to m.in. Cobalt Group czy Goblin Panda.

Liczba przypadków wykrycia aktywności eksploita PDF/CVE_2013_2729.E!exploit wyniosła prawie 102 tysiące. Natomiast aktywność eksploitów wykorzystujących luki w pakiecie Office odnotowano ponad 41 tysięcy razy.

Niebezpieczne botnety

Botnet jest to grupa zainfekowanych złośliwym oprogramowaniem komputerów lub urządzeń IoT, za pomocą których cyberprzestępca może rozpowszechniać inny malware, wysyłać spam lub przeprowadzać ataki typu DDoS (Distributed Denial of Service – rozproszona odmowa usługi). Właściciele przejętych urządzeń nie wiedzą, że służą one do cyberprzestępczej aktywności.

Według danych Fortinet dwa najpopularniejsze botnety obecne w Polsce (po ponad 6 milionów odnotowanych przypadków aktywności) to H-worm i Zeroaccess.

H-worm jest wykorzystywany w ukierunkowanych atakach na międzynarodowy przemysł energetyczny, jednak zaobserwowano, że jest on również wykorzystywany szerzej – jako sposób przeprowadzania ataków poprzez malspam i złośliwe linki.

Z kolei botnet Zeroaccess został odkryty co najmniej około maja 2011 r. Szacuje się, że pakiet odpowiedzialny za jego rozprzestrzenianie był obecny w co najmniej 9 milionach systemów na całym świecie. W grudniu 2013 r. koalicja pod przewodnictwem Microsoftu próbowała bez powodzenia zniszczyć sieci dowodzenia i kontroli botnetu.

Świadome zarządzanie ryzykiem

Niestety często od naruszenia bezpieczeństwa do momentu jego wykrycia upływają długie miesiące. W tym czasie cyberprzestępcy są w stanie poczynić duże spustoszenie w zasobach firmy, gdyż mają dostęp do poufnych danych, m.in. o finansach.

– Nasze wcześniejsze badanie pokazało, że aż 95% przedsiębiorstw działających w Polsce na przestrzeni minionych dwóch lat doświadczyło cyberataku – mówi Jolanta Malak, dyrektor polskiego oddziału Fortinet. – Na szczęście po zarządach firm widać stopniowy wzrost świadomości problemu. Cyberbezpieczeństwo staje się w firmach kluczowym elementem szerszej strategii zarządzania ryzykiem i wychodzi już poza kwestie związane tylko z informatyką.

Metodologia badania
Przedstawione dane pochodzą z czujników laboratorium FortiGuard rozmieszczonych na terenie Polski i zostały zebrane od 1 czerwca do 31 grudnia 2018 r. Zaprezentowano łączną liczbę przypadków wykrycia zagrożenia przez urządzenia FortiGate (za przypadek traktowano sytuację, gdy sygnatura pliku została rozpoznana przez mechanizm antywirusowy lub silnik IPS wykrył podejrzane połączenie).