Na przestrzeni ostatnich tygodni spływa coraz więcej raportów i podsumowań dotyczących skali cyberzagrożeń w 2021 roku. Jak się okazuje, nie mamy zbyt wielu powodów do radości, ponieważ w minionym roku wiele firm oraz prywatnych użytkowników odczuło realne skutki cyberataków. Bez wątpienia pod największą presją ze strony hakerów i wszelkiego rodzaju cyberprzestępców były w Polsce sektory odpowiedzialne za finanse i bankowość oraz sektor rządowy i wojskowy. Jakimi metodami najczęściej posługiwali się hakerzy? Które cyberataki wywołały największe zamieszanie? Kogo hakerzy wezmą na cel w 2022 roku? Spróbujmy znaleźć odpowiedzi na te pytania.

Najnowsze dane firmy Check Point Research nie pozostawiają złudzeń. W roku 2021 odnotowano w sumie 50-procentowy wzrost liczby cyberataków w skali tygodnia. Apogeum działań hakerów przypadło natomiast na grudzień. To jeszcze nie wszystko. To właśnie w Europie stwierdzono najwyższy przyrost cyberataków i wrogich działań w cyberprzestrzeni – był to wzrost aż o 68 proc. w porównaniu do roku 2020. Jeśli zestawimy te dane z rozwojem pandemii koronawirusa oraz sytuacją geopolityczną w regionie, nikogo taka właśnie skala zjawiska nie powinna raczej dziwić. A jak prezentują się dane w odniesieniu do Polski? W przypadku sieci firmowych potwierdzono 46-procenotwy wzrost cyberataków – było to ponad 600 ataków każdego tygodnia. Atakowane były najczęściej sektory finansowy i bankowy (wzrost o 46 proc. w stosunku do 2020), a także sektor rządowy i wojskowy (wzrost o 73 proc. w stosunku do 2020 roku).

Spektakularny manifest siły hakerów – czyli… kto za tym stoi?

Zajmująca się cyberbezpieczeństwem firma Mandiant w raporcie z listopada 2021 rzucił nowe światło na kulisy operacji Ghostwriter – zakrojonej na szeroką skalę serii cyberataków i działań dezinformacyjnych wymierzonych m.in. w polskich polityków i dziennikarzy. Z czasem okazało się również, że na celowniku hakerów znaleźli się również politycy innych państw. Mandiant Threat Intelligence wskazuje, że za atakami stoi prawdopodobnie Białoruś, chociaż „nie można jednocześnie wykluczyć rosyjskiego wkładu UNC1511 lub Ghostwriter”. Analitycy ocenili z dużą pewnością, że grupa UNC1151 jest powiązana z rządem Białorusi. Ocena ta opiera się na wskaźnikach technicznych i geopolitycznych. Już w kwietniu 2021 r. ujawniono, że hakerzy z UNC1151 zapewniają wsparcie techniczne dla kampanii informacyjnej Ghostwriter. Należy w tym miejscu dodać, że o ile przed 2020 r. działania w ramach kampanii Ghostwriter były nakierowane na kraje NATO, o tyle od połowy 2020 r. skupiały się na krajach sąsiadujących z Białorusią. W podejmowanych działaniach próbowano spowodować wewnętrzne niepokoje w tych krajach m.in. przez zarzucanie korupcji lub skandalu w sferach rządzących.

Według analityków firmy Mandiant początki dezinformacyjnej części operacji Ghostwriter sięgają co najmniej 2016 r., a cyberszpiegowskiej – 2017. Kampania zyskała swoją nazwę z racji początkowych taktyk hakerów, którzy włamywali się do systemów lokalnych portali i umieszczali w nich fałszywe informacje wymierzone głównie w obecność wojsk NATO. Od tego czasu operacja rozszerzyła swój zasięg o kradzież poufnych danych i włamania na konta polityków, czego kulminacją była chociażby publikacja domniemanych e-maili z prywatnej skrzynki szefa KPRM Michała Dworczyka.

Podczas gdy w Polsce sporo mówiło się o zmasowanym cyberataku na grupę polityków, w USA problem z hakerami miał amerykański dostawca broni jądrowej. Sol Oriens LLC – firma konsultingowa zajmująca się zarządzaniem zaawansowanymi technologiami dla branży wojskowej i kosmicznej została wzięta na celownik przez owianą złą sławą grupę REvil. W ataku na strategicznego dostawcę technologii i uzbrojenia wykorzystano metodę ransomware. Wszystko wskazuje jednak na to, że cyberprzestępcy tym razem nie wyznaczyli jednak ultimatum i nie żądali okupu. Wykradzione dane… wystawili na aukcję. Hakerzy jako dowód swojego sukcesu zaczęli wystawiać na aukcjach pakiety danych różnych zaatakowanych przez siebie firm. Na liście znalazły się dane wykradzione rzekomo właśnie z Sol Oriens.

Za kolejną serią cyberataków stoi rosyjski kolektyw hakerów z Evil Corp. W tym miejscu warto przypomnieć, że amerykańscy urzędnicy wystawili oficjalny list gończy z zarzutami i oferują nagrodę 5 milionów dolarów za informację, która pozwoli schwytać jednego z największych cyberprzestępców ostatnich lat, Maksima Yakubetsa. Rosjanin odpowiada za rozwój oraz utrzymanie grupy hakerów Evil Corp. Lista zarzutów obciążających hakerów z tego kolektywu jest niezwykle długa, a tle jest wątek dwóch kradzieży na ogromną skalę. Rosyjskie Evil Corp na czele którego stanął Maksim Yakubets poza wieloma atakami typu ransomware (cyberatak z żądaniem okupu) jest odpowiedzialne za stworzenie złośliwego oprogramowania – trojana Dridex służącego do włamywania się na konta bankowe, niezależnie od regionu. Za pomocą tego systemu w ostatnich latach hakerzy wykradli mniej więcej 100 milionów dolarów – między innymi z Bank of America, a nawet z pojedynczych kont niektórych amerykańskich szkół. Do pościgu za hakerami dołączyli Brytyjczycy twierdząc, że z ich kraju także zniknęły ogromne sumy szacowane na setki milionów funtów. Nagroda 5 milionów dolarów wyznaczona za schwytanie lidera Evil Corp to największa w historii stawka, jaką wyznaczono za informacje na temat jakiegokolwiek cyberprzestępcy.

Hakerski arsenał

Biorąc pod uwagę najczęściej wykorzystywane obecnie formy ataków w cyberprzestrzeni, za szczególnie groźne należy uznać następujące działania:

Cryptomining

Specyficzna forma ataków wybierana przez cyberprzestępców próbujących nieco szybciej się wzbogacić. Ciekawe jest to, że częstotliwość ataków tego typu jest w znacznym stopniu związana z wahaniami w kursach najpopularniejszych kryptowalut. Choć ataki tego typu odnotowywane są znacznie częściej niż wszystkie pozostałe, są one dość łatwe do wykrycia. 

Phishing

Ataki skoncentrowane na wszelkich formach wyłudzania poufnych danych, danych do logowania oraz próbach kradzieży tożsamości.

Trendy obserwowane na przestrzeni ostatnich lat wskazują, że wzrost tego typu aktywności odnotowywany jest zwłaszcza w grudniu, w okresie świątecznym. Spore wzrosty odnotowano również wraz z rozwojem pandemii koronawirusa.

Ransomware

Atak polegający na zainfekowaniu urządzenia mobilnego lub komputera i żądaniu od użytkownika okupu za możliwość odzyskania danych lub odblokowania sprzętu. Jedno z najpoważniejszych obecnie cyberzagrożeń, którego skala z każdym miesiącem narasta.

Trojany

Rodzaj oprogramowania, które podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje, dodatkowo implementuje niepożądane, ukryte przed użytkownikiem różne funkcje.

Kalendarium cyberataków 2021

Z podsumowania 2021 roku z perspektywy największych cyberzagrożeń opracowanego przez Cisco dowiadujemy się, więcej na temat najpoważniejszych cyberataków, które hakerzy przeprowadzili w minionym roku.

Ostatnie dwanaście miesięcy nie oszczędzało społeczności specjalistów odpowiadających za cyberbezpieczeństwo, przynosząc kolejne wyzwania i zagęszczając mapę zagrożeń. Eksperci ds. bezpieczeństwa w sieci mieli w tym czasie do czynienia niemal z każdym typem cyberincydentów – począwszy od odciętych od sieci rurociągów naftowych, przez podmioty związane z cyberterroryzmem finansowane przez rządy, po wyciek danych całej platformy do streamingu gier, Twitch.

Rok 2021 nie pozostawił żadnych złudzeń, cyberprzestępcy pracowali dla tych, którzy oferowali najwyższą cenę. Nie byli oni do końca wprost „sponsorowani” przez konkretne państwo atakując inne kraje, ale np. korzystali z ochrony (lub bierności) państwa, z terytorium którego działali.

Styczeń:

Chociaż atak na łańcuch dostaw SolarWinds został odnotowany po raz pierwszy w grudniu 2020 roku, jego skutki były odczuwalne jeszcze na początku 2021 r. Wiele pytań związanych z tą kampanią nadal pozostaje bez odpowiedzi.

„Łowcy sami stali się zwierzyną”. Analitycy cyberbezpieczeństwa z całej branży zaczęli być celami cyberprzestępców sponsorowanych przez obce rządy. Kilku analityków Cisco Talos znalazło się wśród osób, do których kierowane były złośliwe linki i wiadomości w mediach społecznościowych z fałszywymi kontami mającymi na celu wyłudzenie informacji.

Luty:

Trend związany z bezplikowym złośliwym oprogramowaniem nasilił się wraz z pojawieniem się trojana Masslogger. Ten wariant miał na celu wykradanie danych uwierzytelniania.

Marzec:

Kiedy eksperci i analitycy ds. cyberbezpieczeństwa analizowali jeszcze i rozkładali na czynniki pierwsze SolarWinds, na scenie pojawili się nowi gracze, określający się jako HAFNIUM, którzy wykorzystali kilka luk zero-day w Microsoft Exchange Server.

Najbardziej niebezpieczna okazała się jedna z luk ujawnionych w ramach tej kampanii, „ProxyLogon”. Atakujący mogli wykorzystać ją, aby docelowo przejąć całkowitą kontrolę nad serwerem.

Kwiecień:

Pomimo tego, że szczepionki przeciwko COVID-19 były już powszechnie dostępne, nadal nie oznaczało to powrotu do „regularnego” trybu pracy w biurach. Pracownicy wciąż używali różnych aplikacji do współpracy i komunikacji. Niestety atakujący przystosowali się równie szybko, przejmując zaufane serwery w celu rozprzestrzeniania złośliwego oprogramowania.

Maj:

Malware LemonDuck, zaobserwowany przez ekspertów Cisco Talos po raz pierwszy w 2020 roku, stał się bardziej zaawansowany. Złośliwe oprogramowanie zaczęło atakować podatne serwery Exchange z wyżej wymienionymi lukami, a atakujący dodali do swojego arsenału narzędzie Cobalt Strike, pierwotnie wykorzystywane do symulacji cyberataków i testów penetracyjnych, zmieniając je w złośliwego trojana.

Atakujący wykorzystujący ransomware DarkSide obrali sobie za cel Colonial Pipeline, największy rurociąg naftowy na wschodnim wybrzeżu USA. Wielu stanom groziło, że w ciągu kilku dni skończy się paliwo na stacjach benzynowych, a te, które nim dysponowały, momentalnie podniosły ceny. Stało się to sygnałem alarmowym dla infrastruktury krytycznej w USA.

Czerwiec:

Kilka tygodni po ataku na Colonial Pipeline, grupa DarkSide zawiesiła działalność, likwidując swój portal. Ostatecznie, zmienili nazwę, aby powrócić jako BlackMatter.

Firma JBS, zajmująca się masową dystrybucją mięsa na całym świecie, została zaatakowana przez oprogramowanie ransomware i ostatecznie musiała zapłacić 11 milionów dolarów okupu. Mimo że nie ucierpiał żaden poziom działalności operacyjnej przedsiębiorstwa, konsumenci w panice kupowali mięso w sklepach spożywczych w Stanach Zjednoczonych, obawiając się jego niedoboru.

Lipiec:

Był to kolejny miesiąc, kiedy atakujący zaczęli wykorzystywać zestaw błędów zero-days Microsoft, tym razem lukę w usłudze Print Spooler systemu Windows. Atak ten był znany jako „PrintNightmare”.

Obchodzony w Stanach Zjednoczony Dzień Niepodległości (4 lipca) w minionym roku nie był czasem wolnym dla specjalistów ds. cyberbezpieczeństwa. Musieli zmierzyć się z kolejnym atakiem na łańcuch dostaw. Tym razem cyberprzestępcy obrali za cel dostawcę usług zarządzanych Kaseya, aby zainfekować ofiary ransomware REvil.

Sierpień:

PrintNightmare znów o sobie przypomniał, tym razem jako exploit wykorzystywany przez grupę ransomware Vice Society. Zespołowi Cisco Talos Incident Response udało się wykryć wiele organizacji, które padły ofiarą tego typu ransomware w wyniku zastosowania tej techniki.

Wraz z rosnącą popularnością aplikacji do dzielenia się zasobami w Internecie, cyberprzestępcy znajdowali kolejne sposoby, aby wykorzystać je do ataków. Platformy typu „proxyware” pozwalają użytkownikom zarobić na dodatkowej przepustowości łącza, którą „wynajmują” innym. Jak wynika z badań Cisco, w niepowołanych rękach umożliwiają one wykorzystanie przepustowości sieci użytkowników bez ich wiedzy, działając w tle na zainfekowanym urządzeniu. [Więcej na ten temat tutaj: https://blog.talosintelligence.com/2021/08/proxyware-abuse.html]

Wrzesień:

Atakujący podszywali się pod stronę Amnesty International, aby rozprzestrzeniać fałszywe antywirusy, które rzekomo usuwają oprogramowanie szpiegowskie Pegasus z urządzeń mobilnych. Zamiast tego, instalowało ono złośliwe oprogramowanie i wykradało informacje o ofiarach.

Telenowela, której głównym bohaterem jest ransomware-as-a-service rozpoczynała właśnie kolejny sezon, kiedy jeden z członków grupy cyberprzestępczej Conti (autorów oprogramowania ransomware o tej samej nazwie) ujawnił podręcznik jej działania. Dało to kilka wskazówek na temat sposobu funkcjonowania grupy.

Rosyjska grupa APT Turla dodała do swojego arsenału nowe oprogramowanie typu backdoor, które w zasadzie służy jako ostatnia deska ratunku, aby pozostać na maszynach ofiar.

Październik:

W krajobrazie zagrożeń pojawił się nowy program ładujący złośliwe oprogramowanie (ang. loader) o nazwie SQUIRRELWAFFLE.

Listopad:

Przy okazji kolejnej odsłony luk zero-day Microsoft ostrzegał o aktywnych atakach na Windows Installer, które mogły pozwolić cyberprzestępcom na podniesienie swoich uprawnień do poziomu administratora. W międzyczasie luki w serwerze Exchange nadal były celem ataku ransomware’u Babuk.

Amerykańskie organy ścigania aresztowały dwie osoby w związku z ich domniemanym udziałem w ataku na łańcuch dostaw firmy Kaseya w ramach działań grupy REvil. W związku z tym pojawiła się również informacja o nagrodzie w wysokości 10 milionów dolarów za wszelkie informacje prowadzące do aresztowania lidera REvil.

W Stanach Zjednoczonych podpisano ustawę infrastrukturalną o wartości 1 biliona dolarów, która umożliwiła m.in. dostęp do 2 miliardów dolarów finansowania inwestycji związanych z bezpieczeństwem cybernetycznym. Samorządy lokalne będą mogły ubiegać się o dotacje w 2022 r. w celu zwiększenia bezpieczeństwa infrastruktury krytycznej i szkoleń z zakresu cyberbezpieczeństwa.

Po zlikwidowaniu na początku 2021 r. trojana Emotet przez międzynarodowe organy ścigania, botnet znów wypłynął na powierzchnię i wykazuje oznaki życia.

Grudzień:

Eksperci Talos odkryli serię kampanii złośliwego oprogramowania autorstwa cyberprzestępcy o pseudonimie „Magnat”. Wykorzystuje on fałszywe rozszerzenie dla przeglądarki Google Chrome.

Luka Log4j była prawdziwą zmorą w sezonie świątecznym, zmuszając zespoły cyberbezpieczeństwa do pracy w godzinach nadliczbowych, a programistów do ciągłego wprowadzania łatek.

Prognoza na 2022

Zgodnie z najnowszymi raportami firm zajmujących się kwestiami cyberbezpieczeństwa, w 2021 r. oprogramowanie ransomware odpowiadało za aż 79 proc. wszystkich incydentów. Wśród prognoz na 2022 rok to właśnie tego typu ataki wskazywane są jako najpoważniejsze wyzwanie. Są one realizowane przez doświadczonych hakerów i coraz częściej przeprowadzane w dużym rozproszeniu. Z kolei analitycy z Sophos ostrzegają, że w tym roku hakerzy będą znacznie szybciej wykorzystywać luki w urządzeniach i systemach do instalowania złośliwego oprogramowania. Sporym zagrożeniem będzie także deepfake, czyli techniki umożliwiające generowanie fałszywych obrazów i dźwięku, które mogą zostać wykorzystane zarówno w atakach phishingowych, jak i w zakrojonych na szeroką skalę kampaniach dezinformacyjnych.

Jak widać zagrożeń jest całkiem sporo. O ile ciężko jest jednoznacznie przewidzieć, w którym kierunku podążą cyberprzestępcy w 2022 roku, można śmiało szacować, że ataki na duże organizacje oraz te związane z wyłudzaniem okupów (ransomware) będą rosły w siłę. Miejmy nadzieję, że analiza największych cyberzagrożeń z ubiegłego roku pozwoli lepiej przygotować się na to, co może nadejść w rozpoczynającym się 2022 r.

dr Piotr Łuczuk

Medioznawca, ekspert ds. cyberbezpieczeństwa.

Redaktor naczelny serwisu FilaryBiznesu.pl
Adiunkt w Katderze Komunikacji Społecznej, Public Relations i Nowych Mediów Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Redaktor naczelny serwisu FilaryBiznesu.pl. Ekspert Instytutu Staszica.