Cyberatak - czy jesteśmy gotowi na wojnę z ransomware i hakerami?

Od metra na Ukrainie, przez fabrykę czekolady na Tasmanii, na systemach mierzących poziom radioaktywności w Czarnobylu kończąc - w czerwcu 2017 roku żądający okupu wirus Petya (nazywany także NonPetya) zaatakował w kilkunastu krajach. Dwa lata wcześniej na Ukrainie przeprowadzono cyberataki przypisywane Rosjanom.  David E. Sanger, dziennikarz New York Times specjalizujący się w cyberbezpieczeństwie, twierdzi, że operacje Rosjan na Ukrainie to forma ćwiczeń przed czymś poważniejszym.

Petya był atakiem typu ransomware, czyli oprogramowaniem blokującym komputer i żądającym za dostęp do plików okupu. W tym przypadku - równowartości 300 dolarów w kryptowalucie bitcoin (według kursu z 2017 roku). - Petya był nowszym i skuteczniejszym odpowiednikiem ataku ransomware o nazwie WannaCry. W odróżnieniu od niego, infekował w pełni zaktualizowane systemy.

- Atak przebiegał w dwóch fazach - szerzenia infekcji oraz zaszyfrowania dostępu do danych na komputerze ofiary. Petya rozprzestrzeniał się po sieci lokalnej próbując infekować sąsiednie komputery przy użyciu nazwy użytkownika i hasła wydobytego z komputera pierwszej ofiary. Po kilkudziesięciu minutach infekowania innych komputerów, następował automatyczny restart, po czym oprogramowanie szyfrowało dostęp do plików i wyświetlało ekran z żądaniem okupu - opisywał atak dla Interii Leszek Tasiemsk ekspert ds. cyberbezpieczeństwa w firmie F-Secure.

Niestety, zagrożenie takie jak Petya nie tylko pozostaje realne, ale z roku na rok jest coraz większe.

- Grupy zajmujące się atakami ransomware są cały czas aktywne. Dla hakerów jest to bardzo intratny biznes. Warto w tym miejscu przywołać prognozy Gartnera, według którego do 2025 roku co najmniej 75 proc. działów IT stanie w obliczu jednego lub więcej tego rodzaju incydentów. Dlatego nie ulega wątpliwości, że tego typu ataki mogą się powtarzać, tym bardziej, że zawsze znajdzie się ktoś, kto stworzy nową wersję malware’u - przestrzega w rozmowie z Interią Dariusz Woźniak, zastępca kierownika działu technicznego Marken Systemy Antywirusowe, technik Bitdefender.

- Elektrownie, szpitale czy systemy bankowości - te sektory cyberprzestępcy upatrzyli sobie najbardziej. - Wymienione sektory są krytyczne dla działania wielu innych gałęzi gospodarki oraz samego państwa. Z uwagi na specyfikę oraz wrażliwość przepływających danych, te organizacje stają się łakomym kąskiem dla ransomware. Poza tym duże znaczenie ma fakt, iż bardzo często są skłonne zapłacić okup - tłumaczy  Dariusz Woźniak.

Jak można się przed nimi obronić? - Jednym ze sposobów jest zastosowanie narzędzi bezpieczeństwa wykorzystujących machine learning (nauczanie maszynowe). Dzięki nim można sprawdzać pliki, które nie zostały zaliczone do podejrzanych po przeprowadzeniu analizy na podstawie sygnatur. Na rynku dostępne są już takie rozwiązania jak analizatory sandbox potrafiące dokładnie przewidzieć, jakie dokładnie zmiany zajdą w systemie, odpowiednio wcześniej i skutecznie blokują zainfekowane bądź podejrzane pliki lub skrypty. Tego typu rozwiązania stanowią zabezpieczenie przed atakami typu Petya. Inna kwestia to backup danych. Problem polega na tym, że napastnicy coraz częściej szyfrują zapasowe kopie danych, dlatego należy je odpowiednio zabezpieczyć - radzi ekspert.

Dariusz Woźniak wspomina również o działaniach Waszyngtonu dotyczących poprawy cyberbezpieczeństwa w USA oraz globalne działania mające na celu przeciwdziałanie atakom ransomware poprzez współpracę organów ścigania, agencji rządowych i sektora prywatnego. - To krok we właściwym kierunku - podsumowuje.

Rzecznik ministra-koordynatora służb specjalnych Stanisław Żaryn poinformował, że "służby dysponują wiarygodnymi informacjami łączącymi działania grupy UNC1151 z dokonaniami rosyjskich służb specjalnych". Zdaniem ekspertów Check Point Software, głównymi działaniami hakerów do tej pory była kradzież danych uwierzytelniających i dystrybucja złośliwego oprogramowania za pomocą phishingu. Prace te zostały wykorzystywane m.in. w kampaniach dezinformacyjnych, w Polsce i na Litwie.

Joanna Borowiak, Marcin Kamil Duszek, Marlena Maląg, Iwona Michałek i  Marek Suski (więcej informacji) - włamania na konta w mediach społecznościowych tych polityków były elementem szerszej akcji, czytamy w raporcie Mandianta na temat Ghostwritera. W przypadku Polski akcja UNC1151 miała charakter bardziej destabilizacyjny i oczerniający niż działający na niekorzyść NATO, jak miało to miejsce w przypadku Litwy. Metoda jednak pozostawała taka sama - uzyskanie dostępu do mediów społecznościowym poprzez skrzynkę pocztową. Według Threat Intelligence Report firmy Check Point Software Technologies, globalne ataki hakerów na organizacje polityczne i administrację znacznie wzrosły na przełomie maja i czerwca 2021 r. 

- Kluczowym wektorem ataków z wykorzystaniem złośliwego oprogramowania są wiadomości e-mail, które w Polsce odpowiadają aż za 80 proc. infekcji. W przypadku sektora rządowego i wojskowego odsetek ten jest jeszcze wyższy i sięga 89 proc. - podkreśla Wojciech Głażewski, dyrektor firmy Check Point Software Technologies w Polsce.

Nawet najlepsze systemy i dodatkowe zabezpieczenia nie wystarczą, jeśli na straży cyberbezpieczeństwa nie stoją odpowiednie osoby. Niestety, to może okazać się słabym punktem polskiej cyberinfrastruktury.

W Polsce może brakować nawet 17,5 tysiąca ekspertów z obszaru cyberbezpieczeństwa - wynika z raportu HackerU "Cybersecurity. Raport o rynku pracy w Polsce"  przygotowanego przez HRK. Średnie wynagrodzenie w tej branży wynosi 15 tys. zł  miesięcznie, a mediana kształtuje się na poziomie 12,5 tys. zł  brutto - czytamy w raporcie.  Eksperci tak naprawdę zostali docenieni przez pracodawców dopiero w ostatnich miesiącach. Doświadczeni nie mogą narzekać na brak pracy, ale problemem pozostaje wypełnienie istniejących wakatów.

Eksperci, z którymi rozmawialiśmy, potwierdzają to, co czytamy w raporcie - na polskim rynku pracy brakuje  odpowiedniej liczby specjalistów, trudno liczyć na to, że wolne miejsca pracy uda się zapełnić łatwo i szybko. - Nie łudźmy się, informatycy znajdą mniej stresujące i odpowiedzialne, a przy okazji lepiej płatne miejsca pracy. Tymczasem bez odpowiedniej kadry nie uda się powstrzymać zagrożenia - powiedział Interii jeden z doświadczonych pracowników branży cyberbezpieczeństwa, który prosił o zachowanie anonimowości.