Zintensyfikowany w ubiegłym roku proces modernizacji infrastruktury sieci komórkowej w celu wprowadzenia standardu 5G wzbudził sporo kontrowersji. Zjawisko to stało się przedmiotem publicznej debaty, co wywołało polaryzację społeczeństwa. Mimo tego, coraz więcej krajów decyduje się na wdrożenie sieci 5G, biorąc pod uwagę korzyści, jakie zapewniają one zarówno użytkownikom indywidualnym, jak i przedsiębiorstwom.

Przepis na unikalność sieci piątej generacji

5G różni się od poprzednich generacji sieci komórkowych w dwóch głównych aspektach. Po pierwsze, rozbudowane możliwości zapewniane przez ten standard nie są wynikiem systematycznej, stopniowej ewolucji, tak jak miało to miejsce przy powstawaniu poprzednich wersji protokołów transmisji danych w urządzeniach mobilnych. Charakterystyczne dotychczas dla sieci komórkowych zamknięte protokoły i interfejsy zostały zastąpione popularnymi w branży IT protokołami, interfejsami API i mechanizmami chmurowymi.

Po drugie, 5G zapewnia wartość dodaną zarówno przedsiębiorstwom w branży przemysłowej, jak i operatorom sieci komórkowych. Dzięki szerokiej funkcjonalności firmy mogą opracowywać nowe produkty i usługi, zwiększać wydajność i wprowadzać mechanizmy automatyzujące, których stosowanie nie było możliwe wyłącznie z zastosowaniem sieci przewodowych lub Wi-Fi.

5G stwarza również szansę rozwoju operatorom sieci komórkowych. W tradycyjnym modelu ich przychody były silnie uzależnione od sprzedaży kart SIM. Dzięki ekosystemowi 5G możliwe jest lepsze zaadresowanie segmentu biznesowego i dostarczanie klientom usług wykraczających poza łączność komórkową.

Wpływ sieci 5G na cyberbezpieczeństwo

Innowacje wprowadzone w sieciach nowej generacji stwarzają nowe zagrożenia dla cyberbezpieczeństwa. Wykorzystanie w infrastrukturze powszechnie stosowanych protokołów IT oraz otwarty i rozproszony charakter sieci 5G sprawia, że staje się ona atrakcyjnym celem dla hakerów. Jej użytkownicy skupiają się głównie na zaletach, takich jak bardzo szeroki zasięg, duża skalowalność, wydajność i elastyczność obsługi – zarówno gdy infrastruktura 5G zostanie wykorzystana w rdzeniu środowiska IT, na jego brzegu, jak i do uzyskiwania zdalnego dostępu. Nie można jednak zapominać o jej odpowiednim zabezpieczeniu Mechanizmy ochronne muszą być zintegrowane zarówno z chmurową infrastrukturą wirtualną, jak też z warstwą orkiestracji, aby zapewnić bezpieczeństwo firmowym danym oraz ciągłość biznesową przedsiębiorstwa.

Hiperskalowalność, ultraniskie opóźnienia, obsługa komunikacji w modelu machine-to-machine (M2M), przewidywalność i wysoka precyzja pokrycia sygnałem – to tylko niektóre z możliwości 5G, które wpłyną na popularyzację tego standardu zarówno w przemyśle, jak i wśród konsumentów. Dlatego tak ważne jest całościowe podejście do tematu bezpieczeństwa. Automatyzacja działań ochronnych i analiza zagrożeń mają kluczowe znaczenie dla zabezpieczania np. urządzeń IoT, IIoT, sieci publicznych i prywatnych oraz aplikacji.

Bezpieczne 5G – szansa na rozwój

5G to najlepiej zaprojektowana pod kątem bezpieczeństwa generacja sieci komórkowych. Jest to jednak tylko dobry punkt wyjścia, natomiast konieczne pozostaje opracowanie szczegółowych standardów ochrony podłączonych do 5G rozwiązań. W 2020 roku firma Fortinet zorganizowała badanie na temat możliwości zastosowania sieci 5G w przedsiębiorstwach z różnych branż. Wynika z niego, że bezpieczeństwo jest kluczowym aspektem przy podejmowaniu decyzji o wykorzystaniu sieci piątej generacji:

• Prawie 90% respondentów uważa, że kwestie bezpieczeństwa zapewnianego przez operatorów sieci komórkowych są kluczowe lub bardzo ważne dla zastosowania 5G w firmach z różnych branż.
• Ponad 80% badanych stwierdziło, że zapewnione bezpośrednio w standardzie 5G zabezpieczenia są ważne, ale stanowią tylko podstawę potrzebną do pełnej ochrony.
• Według 54% ankietowanych operatorzy powinni oferować model wspólnej odpowiedzialności za bezpieczeństwo wdrożeń wykorzystujących komunikację w sieci 5G. Jednak większość z nich (86%) wyobraża sobie ten model tylko jako alternatywę wobec tradycyjnego podejścia, zakładającego kompleksowe zabezpieczenie środowiska przez operatora.

Nowe podejście

Bezpieczeństwo komunikacji w infrastrukturze mobilnej poprzednich generacji bazowało na ochronie samej sieci – tworzeniu środowiska otoczonego „murem” i zabezpieczaniu wszystkich punktów łączności, takich jak Internet, roaming, zdalny dostęp pracowników oraz partnerów zewnętrznych itp. Jednak charakter sieci 5G i jej kluczowa rola w segmencie biznesowym sprawia, że kwestie bezpieczeństwa powinny być traktowane szerzej i obejmować następujące działania:

1. Ochrona infrastruktury 5G przed atakami w celu zapewnienia ciągłości i dostępności usług, podobnie jak w sieciach poprzednich generacji.
2. Ochrona całego ekosystemu 5G, aby możliwe było zapewnienie przedsiębiorstwom z różnych branż korzystania z pełnej funkcjonalności sieci 5G z zachowaniem wymogów bezpieczeństwa oraz możliwości przestrzegania przepisów prawa i innych regulacji.
3. Umożliwianie przedsiębiorstwom zarabianie na świadczeniu szerokiej gamy usług zarządzanych związanych z zapewnianiem bezpieczeństwa przy różnego typu zastosowaniach sieci 5G.

Bezpieczeństwo powinno być istotnym czynnikiem umożliwiającym klientom rozwój dzięki wdrażanym rozwiązaniom 5G, zaś operatorom komórkowym uzyskanie dodatkowych źródeł zysku.

Ronen Shpirer, 4G & 5G Solutions Marketing Director, Fortinet

Rozwój technologiczny, zmiany nawyków zakupowych klientów oraz pandemia COVID-19 wymusiły wśród detalistów istotne zmiany w podejściu do procesu sprzedaży. Dla funkcjonowania i rozwoju sklepów niezbędna stała się cyfryzacja. Z danych zebranych przez ekspertów Fortinet wynika jednak, że aż 87% sprzedawców detalicznych doświadczyło w ostatnim roku minimum jednego przypadku naruszenia bezpieczeństwa.[1] Problem ten szybko się pogłębia, ponieważ tempo rozwoju technologii wspierającej obsługę klienta często wyprzedza poziom bezpieczeństwa.

Wyzwania w ochronie handlu detalicznego

Większa złożoność sieci wykorzystywanych przez sprzedawców detalicznych oznacza większe ryzyko dla bezpieczeństwa. Rozwój technik wspierających obsługę klienta często znacznie wyprzedza wprowadzenie odpowiednich mechanizmów ochronnych. Tymczasem eksperci Fortinet zwracają uwagę, że zapewnienie cyberbezpieczeństwa handlu detalicznego wiąże się ze szczególnymi wyzwaniami:

Bezpieczeństwo łańcucha sprzedaży

Każda podejmowana na komputerze lub smartfonie akcja – przeciągnięcie palcem lub kliknięcie – powoduje przesłanie do sieci danych, w tym demograficznych i finansowych. Są one przechwytywane przez systemy punktów sprzedaży (POS – Point of Sale), aplikacje mobilne i platformy e-commerce. Rozwiązania tego typu umożliwiają płynny przepływ informacji i sprawną obsługę procesu zakupowego, ale równocześnie stanowią atrakcyjny cel dla cyberprzestępców.

Wielowymiarowe skutki ataku

Konsekwencje naruszenia bezpieczeństwa sieci firmowej to dla sprzedawców detalicznych nie tylko straty finansowe. Badanie przeprowadzone przez Fortinet[2] pokazało, że doświadczenie cyberataku wpłynęło negatywnie na wizerunek marki w przypadku 42% badanych sklepów. W 40% miał miejsce przestój operacyjny, który wpłynął na przychody, a 30% utraciło ważne dane biznesowe.

Omnichannel – zagrożenia na wielu kanałach

Strategia omnichannel, wykorzystująca różnorodne kanały na linii sprzedawca-klient, jest odpowiedzią na potrzeby konsumentów. Sprzedawcy detaliczni zdają sobie z tego sprawę, dlatego wprowadzają różnorodne narzędzia poprawiające komfort odwiedzających – od prostych, związanych np. z obsługą kont lojalnościowych, po bardziej zaawansowane, jak aplikacje mobilne, urządzenia IoT czy płatności za pomocą technik zbliżeniowych. Niestety, każde dodane do sieci urządzenie i rozbudowanie o usługi chmurowe zwiększa liczbę możliwych ścieżek ataku oraz utrudnia działom IT wprowadzanie odpowiednich zabezpieczeń.

Jak zadbać o bezpieczeństwo handlu detalicznego?

Cyberochrona w placówkach handlu detalicznego powinna być traktowana podobnie jak cyfryzacja – jako kluczowa dla funkcjonowania przedsiębiorstwa. Niezbędne jest opracowanie efektywnego planu zabezpieczeń. Eksperci Fortinet rekomendują kilka skutecznych sposobów ochrony detalistów:

Scentralizowana kontrola POS

Nawet najbardziej rozproszone sieci detaliczne wymagają zastosowania scentralizowanej struktury cyberochronnej. Tylko takie podejście umożliwia pełną kontrolę nad wszystkimi punktami sprzedaży i konsolidację zarządzania bezpieczeństwem.

Wykorzystanie uczenia maszynowego

Zespoły do spraw bezpieczeństwa muszą być w stanie monitorować na bieżąco zmieniający się charakter zagrożeń i na niego reagować. Proaktywnae wykrywanie zagrożeń, przy wsparciu uczenia maszynowego, usprawnia reagowanie i raportowanie, a jednocześnie pozwala na kontrolę kosztów

Rozwiązania SD-Branch w zdalnych oddziałach

Wdrożone w skali całego przedsiębiorstwa sieci rozległe SD-WAN zapewniają bezpieczeństwo danych przesyłanych pomiędzy połączonymi nimi placówkami (dbają o to rozwiązania typu SD-Branch), a także umożliwiają zwiększenie wydajności na brzegu sieci WAN. Jednocześnie gwarantują bezpieczną łączność na brzegu sieci LAN i ochronę ruchu wewnątrz niej. Gdy funkcje rozwiązań SD-Branch zostaną skonsolidowane w ramach jednej platformy, inwestycja ta może okazać się jedną z najbardziej opłacalnych i natychmiast skutecznych, jakich może dokonać właściciel sklepu.

Rewolucja w zakresie cyberbezpieczeństwa w handlu detalicznym

Sprzedawcy detaliczni szybko dostosowali się do cyfrowej transformacji i przyjęli ją jako sposób na zwiększenie efektywności funkcjonowania oraz komfortu użytkowników. Jednak wielu z nich dopiero zaczyna rozumieć rolę cyberbezpieczeństwa w tym procesie. Aby w pełni wykorzystać inwestycje w transformację cyfrową, które poczynili (i nadal będą podejmować), muszą w sposób celowy i planowy włączyć aspekty związane z ochroną środowisk IT do swojej ogólnej strategii biznesowej, a nie traktować je wyłącznie jako element dodatkowy. Proces ten powinien zacząć się od zrozumienia zagrożeń, które mogą mieć wpływ na firmę i całą branżę, a także od wyboru platformowego podejścia do cyberbezpieczeństwa, które pomoże im lepiej chronić zasoby i skuteczniej zarządzać ryzykiem – z korzyścią dla własnej marki i dla klientów.

[1]https://www.fortinet.com/content/dam/fortinet/assets/white-papers/wp-fortinet-retail-cybersecurity-solutions.pdf

[2] Ibidem

Źródło: Fortinet

W czasie pandemii COVID-19 media społecznościowe stały się dla wielu osób kluczowym narzędziem do utrzymywania kontaktu z bliskimi. Korzystanie z popularnych platform może być jednak obarczone pewnym ryzykiem, a cyberprzestępcy wcale nie muszą wykradać danych, bo użytkownicy sami podają im jak na talerzu wiele cennych informacji.

Dane publicznie udostępniane przez użytkowników, np. takie jak adresy e-mail czy numery telefonów, również są atrakcyjne dla cyberprzestępców. Każdy, kto podaje je w mediach społecznościowych, powinien mieć świadomość, że mogą one zostać wykorzystane do wysyłania spamowych SMS-ów czy e-maili. – Tego typu dane są sprzedawane na czarnym rynku, a następnie wykorzystywane w kampaniach phishingowych. Osoby, które podają do publicznej wiadomości numer telefonu, muszą szczególnie uważać na tzw. smishing, a więc próby wyłudzenia za pomocą SMS-ów – mówi Jolanta Malak, dyrektor Fortinet w Polsce.

Jak rozpoznać phishing?

Jakiego rodzaju wiadomości powinny wzbudzać szczególną ostrożność użytkowników? Eksperci Fortinet wskazują kilka elementów. Pierwszym z nich jest zachęta do natychmiastowego działania. Cyberprzestępcy lubią motywować odbiorców wiadomości do tego, aby od razu kliknęli w przesłany link lub otworzyli załączony dokument, a stosują do tego granie na emocjach. Phishing najczęściej odwołuje się do poczucia strachu (np. w mailach o niezapłaconych mandatach), ma też na celu wywołanie zaangażowania (np. przy okazji informacji o możliwości szybszego otrzymania szczepionki przeciw COVID-19) czy też litości (przy fałszywych zbiórkach charytatywnych).

Przestępcy podszywają się też chętnie pod firmy, które prowadzą częstą komunikację z klientami – kurierskie, sklepy internetowe czy dostawców internetu lub telewizji. Wówczas wysyłają informacje o dodatkowych lub zaległych rachunkach, promocjach czy konieczności wniesienia dodatkowych opłat, np. za dezynfekcję paczki.

Warto też zwrócić uwagę na niepoprawny język. Wiadomości wysyłane przez hakerów często są napisane niegramatycznie, z licznymi błędami i literówkami. Wynika to głównie z faktu, że cyberprzestępcy nie władający językiem polskim korzystają z niedoskonałych automatycznych tłumaczeń.

Gdyby mail wzbudzał wątpliwości, ale jednocześnie był napisany poprawnie, należy dokładnie sprawdzić, z adresu w jakiej domenie został wysłany oraz najechać kursorem na znajdujący się w treści wiadomości tekst linku (lub grafikę, pod którą znajduje się link), aby sprawdzić jego rzeczywisty adres.

Ostatecznie, w przypadku wątpliwości, których nie można rozwiać po zweryfikowaniu powyższych elementów, należy skontaktować się nadawcą maila np. telefonicznie lub za pomocą zweryfikowanego adresu mailowego i w ten sposób sprawdzić, czy otrzymana wiadomość pochodzi z prawdziwego źródła.

Chrońmy prywatność w internecie

Zachowanie bezpieczeństwa w cyberprzestrzeni w dużej mierze zależy użytkowników platform społecznościowych. Każdy z nich powinien ostrożnie podchodzić do publikowania informacji o sobie i swojej rodzinie, upublicznianiu danych takich jak data urodzenia, miejsce pracy czy wizerunków dzieci.

– Wyobraźmy sobie podobną sytuację w realnym świecie. To tak jakbyśmy chodzili po ulicy z tabliczką, na której znalazłyby się wypisane wrażliwe informacje na nasz temat. Nikt tego nie robi i na myśl o tym pewnie wiele osób z niedowierzaniem się uśmiecha – mówi Jolanta Malak. ­– Warto więc sobie uświadomić, że bardzo podobne konsekwencje ma udostępnianie informacji o swoim życiu w cyberprzestrzeni.

Podczas korzystania z serwisów społecznościowych warto więc pamiętać o odpowiednim zabezpieczeniu konta za pomocą silnego hasła oraz weryfikacji wieloetapowej, a następnie o wyborze odpowiednich ustawień prywatności. Ostatecznie, podobnie jak w przypadku korzystania z każdego zasobu w internecie, wiele zależy od samych użytkowników i zachowania przez nich zdrowego rozsądku.

Źródło: Fortinet

Ataki typu ransomware systematycznie ewoluują, czego przykłady widać było wielokrotnie w czasie trwającej pandemii COVID-19. Cyberprzestępcy obierają za swój cel jednak nie tylko organizacje związane z ochroną zdrowia. Specjaliści do spraw bezpieczeństwa, reprezentujący wszystkie branże, powinni być świadomi, w jaki sposób chronić systemy, aplikacje i sieci przed atakami nowego typu. Zdaniem analityków z FortiGuard Labs firmy Fortinet, ransomware będzie jednym z najważniejszych wyzwań dla cyberbezpieczeństwa w 2021 roku.

Nowe trendy w cyberprzestępczości

Atak typu ransomware tradycyjnie kojarzone były z blokowaniem dostępu do danych. Obecnie jednak cyberprzestępcy stosują bardziej wyrafinowane sposoby działania. Coraz częściej zaszyfrowane dane trafiają na serwery cyberprzestępców, a ofiary są szantażowane ich ujawnieniem lub sprzedażą na czarnym rynku. Atakujący żądają okupu, a w DarkNecie rozwijają się firmy specjalizujące się w negocjacjach z hakerami. Zmieniła się nie tylko forma, ale również cel ataków ransomware. Konwergencja technik informacyjnych (IT) i operacyjnych (OT) sprawiła, że ransomware zaczął być ukierunkowywany na nowe typy danych, zbierane przez różnego rodzaju czujniki, sieci energetyczne, systemy medyczne czy infrastrukturę zarządzania transportem.

Płacić czy nie?

Chociaż w przypadku ataku ransomware niektórym firmom może wydawać się, że zapłacenie okupu to łatwiejsze rozwiązanie, konieczne jest uwzględnienie kilku czynników. Przede wszystkim, współpraca z cyberprzestępcami nie gwarantuje ustania zagrożenia. Co więcej, stanowi wyraźny sygnał, że w przyszłości ofiara też będzie gotowa do zapłacenia okupu. Możliwe jest też, że pewna część danych została już ujawniona, co będzie skutkować długofalowymi problemami.

Cyberhigiena – podstawa bezpieczeństwa firmy

Jak więc najlepiej chronić przedsiębiorstwo przed nowymi formami ransomware’u? Eksperci FortiGuard Labs przygotowali zestaw praktycznych porad dla osób odpowiedzialnych za bezpieczeństwo IT:

• Dostarczaj pracownikom aktualnych informacji o nowych typach ataków socjotechnicznych. Tylko odpowiednia wiedza pozwoli im zachować czujność.
• Wprowadź strategię typu „zero trust access” (ZTA) wraz z segmentacją i mikrosegmentacją sieci.
• Dbaj o regularne tworzenie kopii zapasowych danych. Zapisuj je również offline.
• Dopilnuj, by wszystkie dane firmy znajdujące się w sieci były szyfrowane.
• Ćwicz strategie reagowania na incydenty związane z bezpieczeństwem – upewnij się, że wszyscy pracownicy wiedzą, co powinni robić w przypadku ataku.
• Planując szkolenia uwzględniaj również rodziny pracowników – praca zdalna sprawiła, że środowisko domowe stało się czynnikiem wpływającym na bezpieczeństwo firmy.

Wspólny front w walce z hakerami

Do walki z cyberprzestępczością nie wystarczą jednak pojedyncze działania firmy. Kluczowa jest tutaj współpraca ze wszystkimi, wewnętrznymi i zewnętrznymi współpracownikami – w tym z organami ścigania. Dzielenie się danymi wywiadowczymi ze służbami i innymi organizacjami to jedyny sposób na skuteczną walkę z grupami przestępczymi. Współpraca publicznych i prywatnych podmiotów w zakresie cyberbezpieczeństwa umożliwia analizę zagrożeń i podejmowanie skutecznych działań.

Wiedza – narzędzie walki z nowymi formami ransomware’u

Analitycy Fortinet przewidują, że w 2021 roku możemy spodziewać się nowych form ataków ransomware. Ważne by firmy i organizacje przyjęły proaktywne podejście do cyberbezpieczeństwa. Konieczna jest identyfikacja zasobów o krytycznym znaczeniu dla działalności i stworzenie strategii obronnych. Nie można zapomnieć również o czynniku ludzkim. Zarówno dobra edukacja pracowników, jak i współpraca z podmiotami publicznymi i prywatnymi, są kluczowe dla ochrony przed nowymi formami zagrożeń.

Źródło: Fortinet

W ciągu ostatnich tygodni krajobraz cyberzagrożeń wywrócił się do góry nogami. Analitycy obserwują spadek liczby tradycyjnych metod ataku, ponieważ cyberprzestępcy skupili uwagę na pracownikach zdalnych. Według ekspertów w nieodległej przyszłości możemy spodziewać się stale rosnącej popularności oprogramowania typu ransomware. Trzy lata po globalnym kryzysie wywołanym przez atak WannaCry okazuje się, że narzędzia do wymuszania okupów są wciąż skuteczne i często wykorzystywane przez cyberprzestępców – zwłaszcza w obecnej sytuacji, gdy pracownicy zdalni często pracują na niewłaściwie zabezpieczonych urządzeniach.

Uwaga całego świata od kilku tygodni koncentruje się na pandemii COVID-19. Firmy dostosowują się do nowych realiów i przenoszą pracowników w tryb pracy zdalnej. Mogły nie mieć więc odpowiednio wiele czasu, aby właściwie zadbać o bezpieczeństwo danych. Cyberprzestępcy o tym wiedzą i wciąż sondują środowiska sieciowe pod kątem luk w zabezpieczeniach, które mogą posłużyć jako brama wejścia do sieci firmy.

Specjaliści z FortiGuard Labs firmy Fortinet zaobserwowali w ostatnich tygodniach znaczny wzrost liczby ataków phishingowych wymierzonych w osoby fizyczne oraz nowo powstałych złośliwych stron internetowych. Oto co analitycy z FortiGuard Labs – Derek Manky, Aamir Lakhani i Douglas Santos – sądzą na temat obecnej sytuacji związanej z oprogramowaniem szyfrującym.

Czy ransomware jest dzisiaj wciąż jednym z najpoważniejszych zagrożeń?

Derek Manky: Ataki wymuszające okup wciąż spędzają sen z powiek specjalistom ds. bezpieczeństwa. Dynamika występowania tego oprogramowania nie wykazuje żadnych oznak spowolnienia. Natomiast jeśli mówimy o obronie przed nim, narzędzia ochronne są tak skuteczne, jak zespół, który nimi zarządza. Wszystko, począwszy od błędów w konfiguracji rozwiązań zabezpieczających, a skończywszy na zbyt szybkim rozroście środowiska, w którym są wdrożone, może osłabić skuteczność ochrony. Ale w przypadku ransomware’u największy problem nadal stanowi czynnik ludzki.

Aamir Lakhani: Istnieją zagrożenia, które są bardziej powszechne niż ransomware. Jednak to właśnie ten rodzaj ataku jest jednym z najgroźniejszych z uwagi na konsekwencje dla przedsiębiorstw, jakie niesie ze sobą – może je całkowicie sparaliżować. W rzeczywistości ransomware nie jest skomplikowanym ani wyrafinowanym oprogramowaniem. Natomiast, paradoksalnie, może to uczynić je jeszcze bardziej niebezpiecznym, ponieważ stosujący je przestępcy nie muszą posiadać rozległej wiedzy. Zestawy narzędzi do przeprowadzenia ataku mogą być pobierane z internetu w modelu usługowym RaaS (Ransomware-as-a-Service) i modyfikowane nawet przez osobę z minimalną wiedzą programistyczną. Większość z nich nie jest realnym zagrożeniem dla dużych firm, ponieważ rozwiązania ochronne zdołają je wykryć i zablokować. Jednak biorąc pod uwagę obecne uwarunkowania – wzrost liczby pracowników zdalnych, przepracowane zespoły IT i nowe, w dużej mierze niezweryfikowane wcześniej zasady bezpieczeństwa – przedsiębiorstwa stały się nagle znacznie bardziej podatne na atak.

Dlaczego cyberhigiena i „czynnik ludzki” nadal są ważne?

Derek Manky: Problemem nie jest brak świadomości – ona jest zakorzeniona w ludzkim zachowaniu. Natomiast świadomość i działanie to dwie bardzo różne rzeczy. Cyberprzestępcy tworzą obecnie dobrze przygotowane e-maile, kierunkują ataki przeciwko konkretnym osobom w przedsiębiorstwie. Taki rodzaj ataku jest znany jako spear phishing, a celem bywa wysoko postawiona osoba w strukturach firmy. Dlatego też często działanie to nazywa się „phishingiem wielorybów”. Jednak, bez względu na to, kto jest celem ataku, każdy jest podatny na manipulacje z wykorzystaniem starannie spreparowanych wiadomości e-mail.

Douglas Santos: Kiedy mówimy o czynniku ludzkim, wskazujemy nie tylko te osoby naiwnie klikające na linki lub otwierające złośliwe dokumenty. Dotyczy to również kadry kierowniczej, która może nie rozumieć zagrożeń lub nie wie, jak je powstrzymać. Metody ataku rozwijane się znacznie szybciej, niż większość z nas jest w stanie je poznać. Systematycznie powiększa się także luka kompetencyjna, brakuje specjalistów do spraw cyberbezpieczeństwa. To trudne wyzwanie.

Jak ransomware będzie się rozwijał w 2020 roku?

Derek Manky: Należy spodziewać się większej liczby ukierunkowanych ataków – bardzo niebezpiecznych, ponieważ są specjalnie dostosowywane do określonych systemów wewnętrznych przedsiębiorstwa. Innym czynnikiem wpływającym na rosnącą liczbę ataków ransomware jest dostępność narzędzi w modelu usługowym. W bieżącym roku obserwujemy też jak cyberprzestępcy wykorzystują do swoich celów pandemię COVID-19. Pokazuje to, że ewolucja oprogramowania ransomware nie polega wyłącznie na atakach celowych, ale bazuje też na nastrojach społecznych.

Aamir Lakhani: Będziemy świadkami znaczącego wzrostu liczby ataków ransomware. Pandemia COVID-19 wymusiła na przedsiębiorstwach wiele zmian. Dotyczą one m.in. migracji danych w chmurze, zasad udzielania zdalnego dostępu do zasobów i większego uzależnienia od aplikacji internetowych. W sektorze IT wiele osób pracuje pod ogromną presją. Podobnie dzieje się w wielu innych branżach, które muszą utrzymać działanie swoich środowisk informatycznych – ochronie zdrowia, produkcji czy transporcie. Cyberprzestępcy rozumieją, że przedsiębiorstwa często wolą zapłacić okup, niż pozwolić sobie na spowolnienie działalności lub jej przestój.

Źródło: Fortinet

Przeciętny pracownik dziennie otrzymuje średnio 121 e-maili. Według analityków FortiGuard Labs oznacza to, że do firmy zatrudniającej 100 osób statystycznie trafia dziewięć wiadomości ze złośliwym oprogramowaniem w ciągu dnia, a kliknięcie w niebezpieczny link przez choćby jednego pracownika może mieć katastrofalne skutki dla całego przedsiębiorstwa. W dalszym ciągu głównym zagrożeniem dla biznesu jest ransomware, zaś w ostatnim czasie pracownicy muszą dodatkowo stawiać czoła zintensyfikowanym atakom socjotechnicznym takim jak phishing, często wykorzystującym motyw koronawirusa.

Nieszczelna ochrona przed atakami

Nawet jeżeli w przedsiębiorstwie wdrożone zostanie rozwiązanie chroniące pocztę elektroniczną przed złośliwymi wiadomościami, część phishingowych e-maili wciąż może się przez nie przedostać. Według specjalistów Fortinet jedna na 3 tys. wiadomości zawiera złośliwe oprogramowanie (w tym ransomware), zaś jedna na 4 tys. ma załącznik z takim kodem, który nie był wcześniej znany. Z tego powodu firmy muszą mierzyć się z zaawansowanymi i niespotykanymi dotąd zagrożeniami, zaś pracownicy – jeszcze uważniej niż kiedykolwiek – powinni sprawdzać otrzymywane e-maile i być wyczuleni na wszelkie podejrzane zawarte w nich elementy.

Eksperci Fortinet zbadali również, że jedna na 6 tys. wiadomości zawiera podejrzany adres URL. Nie każdy z tych linków musi prowadzić bezpośrednio do złośliwej zawartości, wiele z nich może stać się pomostem dla przyszłej kampanii ransomware lub próbą działania phishingowego, które ma na celu zdobycie cennych i poufnych danych. Oczywiście liczba otrzymywanych e-maili zależy w dużym stopniu od branży i wykonywanej pracy, ale szacuje się, że przeciętny pracownik otrzymuje ich dziennie 121.[1] Według statystyk oznacza to, że firma zatrudniająca sto osób otrzymuje dziennie średnio dziewięć zainfekowanych maili, w tym: cztery wiadomości ze złośliwym oprogramowaniem, trzy z nieznanym wcześniej złośliwym kodem oraz dwie zawierające podejrzane łącza URL. Problem jest o tyle znaczący, że blokowanie wszystkich podejrzanych lub nieznanych adresów może negatywnie wpłynąć na biznes. Ważne jest zatem, aby przedsiębiorstwa korzystały z rozwiązań ochronnych nowej generacji w celu wyeliminowania tych zagrożeń.

Świadomość ryzyka

Wraz z dynamiką rozwoju biznesu powiększają się jego zasoby, jak np. ilość przetwarzanych danych, które są atrakcyjne dla cyberprzestępców. Należy zatem sprawdzić, czy informacje te są odpowiednio chronione i czy zostały podjęte wszelkie możliwe działania w tym zakresie. Następnie warto przyjrzeć się lukom w zabezpieczeniach aplikacji, które mogą zostać wykorzystane, oraz przeanalizować, jakiego rodzaju złośliwe oprogramowanie atakuje konkretne środowiska. Istotne może okazać się także sprawdzenie, które ataki socjotechniczne, takie jak phishing, mogłyby ominąć obecny system bezpieczeństwa IT.

Na koniec ważne jest, aby pamiętać o regularnym uszczelnianiu zabezpieczeń oraz ich dostosowywaniu do stale zmieniających się warunków, ponieważ nawet najbardziej „cyberświadoma” firma jest narażona na działania hakerów. Oczywiście, aby dowiedzieć się jak duże jest ryzyko powodzenia ataku, należy zweryfikować poprawność pracy obecnie używanego narzędzia do ochrony poczty elektronicznej oraz sprawdzić czy jego dostawca wciąż zapewnia wsparcie na poziomie gwarantującym zabezpieczenie przed najnowszymi rodzajami zagrożeń.

[1] https://www.campaignmonitor.com/blog/email-marketing/2019/05/shocking-truth-about-how-many-emails-sent/

Źródło: Fortinet

Telemedycyna odgrywa coraz większą rolę w systemie ochrony zdrowia. Konsultacje prowadzone w sposób zdalny stają się coraz powszechniejsze w sytuacji, kiedy utrudniony jest osobisty kontakt z lekarzem. Koncepcja opieki na odległość przynosi wiele oczywistych korzyści, ale też wymaga od szpitali i przychodni zachowania niezbędnych procedur dotyczących bezpieczeństwa oraz wdrożenia zapewniających je rozwiązań.

Potencjalne ryzyko naruszenia poufności danych wynika z tego, że przetwarzające je aplikacje i urządzenia w placówce ochrony zdrowia współpracują ze sobą, aby połączyć się z siecią „zdalnych pacjentów”. W związku z tym w szpitalach i przychodniach powinny być wdrażane rozwiązania minimalizujące ryzyko udanego cyberataku i umożliwiające zachowanie zgodności z przepisami o ochronie danych osobowych.

Problemem może być sieć pacjenta

Administratorzy IT w placówkach ochrony zdrowia nie mają wglądu w ustawienia konfiguracyjne sieci, z którymi łączą się podczas telekonsultacji. – Pacjenci, korzystając z aplikacji do wideokonferencji lub przesyłania wiadomości, używają zazwyczaj prywatnych urządzeń, zaprojektowanych przede wszystkim z myślą o wydajności, a nie bezpieczeństwie. Są one często podłączone do niewłaściwie zabezpieczonych sieci domowych, a w skrajnych przypadkach do publicznych sieci Wi-Fi – mówi Jolanta Malak, dyrektor Fortinet w Polsce.

Cyberprzestępcy mają świadomość, że jednostka medyczna nie jest w stanie zarządzać zabezpieczeniami infrastruktury u osób trzecich. Wiedzą też, że za pośrednictwem użytkowników mogą spróbować uzyskać dostęp do medycznej sieci i cennych danych. Placówki ochrony zdrowia powinny więc przede wszystkim zabezpieczać własną infrastrukturę i w ten sposób minimalizować ryzyko wycieku wrażliwych informacji. W pierwszej kolejności powinny być wdrażane rozwiązania zawierające mechanizmy weryfikacyjne tożsamości pacjentów. Zdarzają się bowiem sytuacje, w których ktoś podszywa się pod inną osobę, aby zdobyć informacje o jej stanie zdrowia, a następnie wykorzystać do szantażowania jej lub w innym nieuczciwym celu.

Aby zminimalizować ryzyko takiego wycieku danych, można zastosować podobne rozwiązania jak np. w bankowości elektronicznej – powiązanie konta pacjenta z numerem telefonu komórkowego i adresem e-mail, a następnie weryfikację dwuetapową podczas rejestracji. W trakcie rejestracji pacjent może także ustawić pytanie pomocnicze (nie powinno ono dotyczyć znanych innym faktów z jego życia), na które trzeba odpowiedzieć podczas logowania.

– Podobne zabiegi pozwolą placówkom ochrony zdrowia zachować pewien stopień kontroli nad tym, kto zwraca się po poradę – podkreśla Jolanta Malak. – Nie mają one wpływu na to, jak zabezpieczona jest sieć i urządzenia zdalnego pacjenta. Mogą za to z pewnością zadbać o weryfikację tożsamości i bezpieczeństwo udostępniania danych.

Jakie rozwiązania stosować?

Wraz ze zmianami w sposobie funkcjonowania systemu ochrony zdrowia oraz rosnącą popularnością pracy zdalnej, przychodnie i szpitale muszą aktywnie poszukiwać rozwiązań, dzięki którym dane przesyłane w ramach usług telemedycznych będą bezpieczne. Oprócz wdrożenia infrastruktury SD-WAN, która ma na celu zabezpieczenie rozproszonych sieci bez uszczerbku dla ich wydajności, zespoły IT w placówkach medycznych powinny rozważyć następujące rozwiązania wskazane przez ekspertów Fortinet:

• Zabezpieczenie urządzeń końcowych – zapewnia możliwość sprawowania kontroli nad komputerami i sprzętem mobilnym dzięki kompleksowym informacjom dotyczącym stanu zabezpieczeń oraz gwarantuje proaktywną ochronę z wykorzystaniem bezpiecznego zdalnego dostępu poprzez wbudowaną sieć VPN. Rozwiązanie to powinno być połączone z systemem zarządzania urządzeniami końcowymi, co umożliwia skalowalne i scentralizowane zarządzanie nimi.
• Produkty do zarządzania tożsamością i dostępem (IAM) – są przeznaczone do potwierdzania tożsamości użytkowników i urządzeń w momencie ich połączenia z siecią poprzez uwierzytelnianie wieloskładnikowe oraz weryfikację posiadania stosownych certyfikatów.
• Rozwiązania do zarządzania urządzeniami bezprzewodowymi – zawierają pakiety ustawień konfiguracyjnych punktów dostępowych, dzięki czemu zapewniają bezpieczną łączność między zdalnymi lokalizacjami, a sieciami placówek medycznych. Dodatkowo, ich zespoły IT powinny również rozważyć połączenie bezprzewodowych punktów dostępowych z zaporami sieciowymi.
• Rozwiązania wyposażone w zintegrowane mechanizmy zapewniające poufność rozmów telefonicznych – technologia ta może sprostać dużemu natężeniu ruchu w komunikacji głosowej, zarówno pod względem jej bezpieczeństwa, jak i wydajności.
• Rozwiązania uwierzytelniania sieciowego – umożliwiają wielu pracownikom zdalnym bezpieczny dostęp do sieci ich pracodawcy.
• Zapory sieciowe następnej generacji – konsolidują różne rozwiązania ochronne, takie jak automatyczne zabezpieczenia przed zagrożeniami i inspekcja ruchu SSL.

Wprowadzenie nowatorskich rozwiązań do sieci placówek ochrony zdrowia znacznie zwiększa jakość opieki nad pacjentem. Dzięki telemedycynie lekarze nadal są w stanie pomagać nawet tym, którzy z różnych powodów nie mogą dotrzeć do przychodni. Narzędzia te stale się rozwijają i stają ważniejsze niż kiedykolwiek wcześniej – dlatego tak ważnym wyzwaniem jest ich odpowiednie zabezpieczanie.

Źródło: Fortinet

W minionych tygodniach analitycy z należącego do firmy Fortinet FortiGuard Labs zaobserwowali znaczący wzrost cyberataków wykorzystujących nawiązania do pandemii koronawirusa i choroby COVID-19. Specjaliści wykrywają nawet 600 nowych zagrożeń phishingowych każdego dnia, zaś liczba wirusów wzrosła w marcu 2020 roku o 131% w porównaniu z marcem 2019.

Pandemia, podobnie jak inne zdarzenia o globalnym zasięgu, jest katalizatorem powstawania nowych cyberzagrożeń. Przestępcy są świadomi, że czasy gwałtownych zmian mogą powodować poważne zakłócenia w funkcjonowaniu przedsiębiorstw i instytucji, które skupiają się wówczas głównie na zapewnieniu ciągłości działania, zaś procedury bezpieczeństwa bywają zaniedbywane. Działania ze strony cyberprzestępców były więc w obecnej sytuacji spodziewane, jednak zaskakuje ich skala.

Cyberprzestępcy wykorzystują nagłe zmiany w cyfrowym świecie

Liczba użytkowników niezabezpieczonych urządzeń, podłączonych do Internetu, jest bezprecedensowa. W każdym gospodarstwie domowym z globalnej sieci korzysta kilka osób, w tym dzieci, które przez pewien czas zajmują się zdalną nauką, a resztę czasu spędzają na rozmowach z przyjaciółmi. Często też całe rodziny angażują się w gry wieloosobowe, rozmowy z bliskimi za pośrednictwem mediów społecznościowych, a także strumieniowo odtwarzają muzykę i filmy.

Taka sytuacja to woda na młyn cyberprzestępców, którzy bynajmniej nie wykorzystują tej sytuacji do relaksu. W ostatnim czasie analitycy z FortiGuard Labs obserwują średnio około 600 nowych kampanii phishingowych dziennie. W ich treści przekazywane są fałszywe informacje na temat pandemii, zaś styl komunikacji to żerowanie na ludzkim strachu i empatii. Często w złośliwych wiadomościach pojawia się temat dostępu do trudno osiągalnych środków medycznych czy też wsparcia technicznego dla pracowników zdalnych. Organizacja „Trolling the Dark Web” ujawniła natomiast takie cyberoszustwa związane z pandemią, jak np. oferty dostarczania chlorochiny i innych leków oraz urządzeń medycznych – wszystkie żerujące na strachu związanym z koronawirusem.

Niestety, wielu użytkowników ma niewłaściwie niezabezpieczone urządzenia prywatne, z których realizują służbowe obowiązki, a nierzadką sytuacją jest całkowity brak jakiejkolwiek ochrony. Phishing jest wymierzony przede wszystkim w nich. Oszuści przygotowali nawet ataki socjotechniczne ukierunkowane na dzieci, jak np. fałszywe oferty gier online czy darmowych filmów. Wiele pirackich stron oferuje obecnie możliwość oglądania ostatnich hitów kinowych za darmo, jednocześnie infekując złośliwym oprogramowaniem urządzenie użytkownika. Tym bardziej więc należy uważać na wszelkie „darmowe” okazje.

Phishing to tylko wierzchołek góry lodowej

Większość ataków phishingowych wykorzystuje jako złośliwy „ładunek” narzędzia typu ransomware (szyfrujące dane i żądające okupu za ich odzyskanie), trojany zdanego dostępu (Remote Access Trojan) i inne złośliwe oprogramowanie, za pomocą którego można uzyskać zdalny dostęp do urządzeń podłączonych do sieci. Znacznie wzrosła także liczba oszustw finansowych powiązanych z tematem pandemii, nawet z użyciem narzędzi w modelu usługowym MaaS (Malware-as-a-Service) przeznaczonych dla początkujących cyberprzestępców, tzw. script kiddies.

A jako że w czasie izolacji ludzie szukają kontaktu z innymi za pomocą komunikatorów, wideoczatów i za pośrednictwem mediów społecznościowych, cyberprzestępcy zyskują nowe możliwości działania. Domowe urządzenia bowiem nie muszą być atakowane bezpośrednio. Wszystkie są podłączone do sieci domowej, co otwiera wiele dróg ataku, a ostatecznym celem jest uzyskanie dostępu do zasobów firmowych. W ten sposób prywatne urządzenie pracownika zdalnego (takie jak tablet, konsola do gier, aparat cyfrowy oraz sprzęt z kategorii smart home jak system alarmowy czy oświetleniowy) może stać się bramą do sieci przedsiębiorstwa i umożliwia rozprzestrzenienie się złośliwego oprogramowania na urządzenia kolejnych pracowników. Wynikające z tego kłopoty mogą być równie poważne, co konsekwencje ataku ransomware, a w efekcie spowodować długotrwały przestój w działalności firmy.

Nagły wzrost liczby wirusów

Analitycy FortiGuard Labs zaobserwowali znaczny przyrost liczby wykrytych wirusów, spośród których wiele znajdowało się w złośliwych załącznikach do phishingowych wiadomości. Na przykład, w I kwartale 2020 r. udokumentowano: wzrost o 17% liczby wirusów w styczniu, 52% w lutym i 131% w marcu (w porównaniu z danymi z analogicznych miesięcy 2019 r.).

Co ciekawe, jednocześnie widać spadek liczby botnetów (w styczniu o 66%, lutym – o 65%, marcu – o 44% w porównaniu rok do roku). Podobnie liczba ataków wykrywanych przez systemy ochrony przed włamaniami (IPS) spadła w marcu o 58% w porównaniu z marcem roku 2019. Widać więc wyraźnie, że cyberprzestępcy reagują na kryzys, dostosowując do niego strategie ataków.

Pracownicy zdalni pod ostrzałem

Istotne jest, aby administratorzy IT w przedsiębiorstwach podejmowali działania mające na celu ochronę pracowników zdalnych i pomagali im zabezpieczyć swoje urządzenia oraz sieci domowe. Zacząć należy od działań edukacyjnych, aby pracownicy zdalni i ich rodziny byli świadomi zagrożeń (Fortinet udostępnił szereg bezpłatnych kursów dla telepracowników z zakresu bezpieczeństwa). Następnie należy zapewnić szyfrowaną łączność z firmą z wykorzystaniem wirtualnej prywatnej sieci VPN. Warto też rozważyć dostarczenie pracownikowi licencji stosowanego w firmie oprogramowania do zwalczania złośliwego kodu, aby mógł je zainstalować na prywatnym sprzęcie. Być może pracownicy będą zainteresowani także konsultacjami w jaki sposób upewnić się, że ich domowe routery i punkty dostępowe Wi-Fi są odpowiednio zabezpieczone.

Oczywiście konieczne jest także zapewnienie ochrony w firmowej infrastrukturze. Szczególnie zalecane jest skorzystanie z wieloskładnikowego uwierzytelniania i systemów jednokrotnego logowania (Single-Sign On), jak też nieustanna weryfikacja, czy z siecią łączą się wyłącznie uprawnione do tego urządzenia. Ochronę przed phishingiem oraz ransomware’em zapewnią dodatkowe narzędzia zabezpieczające bramy poczty elektronicznej.

Autor: Derek Manky, Chief of Security Insights & Global Threat Alliances w firmie Fortinet

Ransomware o nazwie „Satan” pojawił się po raz pierwszy na początku 2017 roku. Od tego czasu jego autorzy stale doskonalą to narzędzie, aby skuteczniej atakować ofiary i maksymalizować zyski z przestępczego procederu. W ostatnim czasie analitycy z laboratorium FortiGuard firmy Fortinet odkryli kampanię z jego wykorzystaniem, w której jako dodatkowego narzędzia użyto oprogramowania do cryptojackingu.

Jak działa „Satan”?

Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na urządzeniu ofiary, a następnie żąda okupu za udostępnienie klucza umożliwiającego ich odblokowanie. „Satan” działa zarówno na urządzeniach z systemem Windows, jak i Linuksem. Ponadto wykorzystuje liczne luki, aby rozprzestrzeniać się w sieciach publicznych i zewnętrznych. Specjaliści z Fortinet wykryli nowy wariant, który wykorzystywał jeszcze więcej podatności.

– Najważniejszą aktualizacją, którą zaobserwowano w FortiGuard, jest dodanie kilku eksploitów odpowiedzialnych za zdalne wykonywanie kodu aplikacji internetowych, które są również zaimplementowane w wersji dla Linuksa – wyjaśnia Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.

Aby się rozprzestrzeniać, „Satan” dokonuje przekierowania adresów IP, a następnie próbuje przeskanować i wykorzystać całą listę swoich eksploitów na każdym napotkanym adresie. Ponadto może on skanować komputer pod kątem wykorzystania niektórych aplikacji, takich jak Drupal, XML-RPC, narzędzia firmy Adobe itp. Najprawdopodobniej jego celem jest zebranie statystyk ich wykorzystania, które mogą być wykorzystane do kolejnych ataków. Autorzy ransomware mogą go łatwo aktualizować w celu zaimplementowania eksploita przeciwko jednej z tych aplikacji, jeśli zauważą, że ma ona wystarczająco wielu użytkowników. W dodatku „Satan” jest już dostępny w modelu RaaS (Ransomware-as-a-Service), co umożliwia korzystanie z niego przez większą liczbę cyberprzestępców. Przekłada się to na większą częstotliwość i skalę ataków.

Z kolei użyty jako dodatkowa funkcja cryptojacking pozwala na wykorzystanie mocy obliczeniowej urządzenia – wbrew jego użytkownikowi – w celu wydobywania kryptowalut. Proceder ten oznacza dla ofiary szybsze zużywanie się podzespołów, zwłaszcza procesora, oraz zwiększony pobór energii, w konsekwencji prowadzący do naliczania wyższych rachunków za prąd.

Ransomware nie traci na popularności

Ataki z wykorzystaniem złośliwego oprogramowania służącego do wymuszania okupów należą do najbardziej spektakularnych, jakie miały miejsce w ostatnich latach. Przykładowo, cyberprzestępcy używający ransomware WannaCry zaatakowali za jego pomocą w 2017 roku cele w ponad stu państwach. Wśród ofiar znalazły się znane firmy i instytucje.

Według przeprowadzonego przez Fortinet badania, ransomware to najpoważniejszy problem, z jakim borykają się działające w Polsce firmy. Aktywności tego rodzaju złośliwego oprogramowania doświadczyła ponad połowa z nich, a 47% wskazuje na nie jako na największe możliwe zagrożenie bezpieczeństwa IT. Według danych Fortinet najczęściej występującym ransomware w Polsce w ostatnim czasie był GandCrab.

Ransomware jest także niebezpieczny dla użytkowników prywatnych. – Atak zazwyczaj poprzedzony jest rozesłaniem phishingowej wiadomości e-mail, w której zawarty jest link prowadzący do pliku ze złośliwym oprogramowaniem lub zainfekowanej strony – wyjaśnia Robert Dąbrowski. – Dlatego jednym z najważniejszych elementów cyberhigieny jest zasada, aby nie otwierać podejrzanych wiadomości, ani tym bardziej nie klikać na zawarte w nich hiperłącza.

Źródło: Fortinet

Analitycy z laboratorium FortiGuard firmy Fortinet sprawdzili, jakie narzędzia były wykorzystywane przez cyberprzestępców do ataków na działające w Polsce firmy. Za część z nich odpowiada złośliwe oprogramowanie znane na całym świecie, jak GandCrab czy Zeroaccess. Globalną karierę zrobił też opracowany w Polsce wirus o swojsko brzmiącej nazwie… Prosiak.

GandCrab – najpopularniejszy ransomware

Ransomware to popularne wśród cyberprzestępców narzędzie blokujące urządzenie ofiary i szyfrujące zgromadzone na nim dane, a następnie żądające okupu za odzyskanie do nich dostępu. Jedne z najsłynniejszych cyberataków, do których doszło w ostatnich latach – WannaCry oraz Petya/NotPetya – należą właśnie do tej rodziny złośliwego oprogramowania.

Tymczasem w Polsce najczęściej występował ransomware o nazwie GandCrab. W drugiej połowie 2018 r. odnotowano ponad 1500 przypadków aktywności jego różnych wariantów. GandCrab był w tym samym czasie także najczęściej występującym oprogramowaniem szyfrującym na świecie, z ponad 3 milionami przypadków ataku.

Widoczny jest znaczny spadek aktywności WannaCry, który w 2017 r. doprowadził do paraliżu wielu instytucji na całym świecie i spowodował straty wycenione przez ekspertów na 8 miliardów dolarów. W drugiej połowie 2018 r. nie znalazł się już w gronie najczęstszych ataków ransomware w Polsce. Z kolei na całym świecie odnotowano w tym czasie tylko 16 tysięcy przypadków z jego wykorzystaniem.

Unikalnym ransomware występującym w Polsce wydaje się być Shade, który pojawił się około 2014 r. i jest rozprzestrzeniony przez malspam – a więc spam zawierający złośliwy załącznik, najczęściej plik w formacie zip, prezentowany odbiorcy jako coś, co należy jak najszybciej otworzyć. W Polsce w omawianym czasie odnotowano 228 przypadków Shade, nie był natomiast zauważony w podobnej skali na całym świecie.

– Szczególnie interesujące były ataki ransomware, w których przestępcy próbowali podszywać się pod rosyjskie spółki naftowo-gazowe, w szczególności „PAO NGK Slavneft”. Prawdopodobnie ich celem było uderzenie w część tego segmentu przemysłu – mówi dr Paolo Di Prodi, analityk z firmy Fortinet.

Polski Prosiak podbija świat

Interesującym przypadkiem jest pochodzące z Polski złośliwe oprogramowanie o nazwie Prosiak. Jest to wirus, którego aktywność odnotowano najczęściej nie tylko w Polsce (ponad 270 tysięcy przypadków), ale też na świecie (prawie 28 milionów przypadków).

Prosiak jest backdoorem, a więc narzędziem, które cyberprzestępca tworzy po to, aby później za jego pomocą (przez „tylne drzwi”) dostać się do wybranego za cel systemu.

Backdoory mogą pojawiać się także w inny sposób, np. w wyniku pomyłki w kodzie lub są celowo tworzone przez producentów oprogramowania, aby później za ich pomocą np. naprawiać błędy. Oczywiście w tej sytuacji istnieje ryzyko, że taka intencjonalnie pozostawiona furtka zostanie odkryta przez cyberprzestępców i wykorzystana do nielegalnych celów.

Uwaga na luki w produktach Adobe i Microsoft

Sondy FortiGuard odnotowały w Polsce największą aktywność eksploitów, a więc złośliwego oprogramowania wykorzystującego luki w zabezpieczeniach, związanych z oprogramowaniem Adobe Reader i Acrobat oraz z pakietem MS Office. Cyberprzestępcze grupy wykorzystujące te narzędzia to m.in. Cobalt Group czy Goblin Panda.

Liczba przypadków wykrycia aktywności eksploita PDF/CVE_2013_2729.E!exploit wyniosła prawie 102 tysiące. Natomiast aktywność eksploitów wykorzystujących luki w pakiecie Office odnotowano ponad 41 tysięcy razy.

Niebezpieczne botnety

Botnet jest to grupa zainfekowanych złośliwym oprogramowaniem komputerów lub urządzeń IoT, za pomocą których cyberprzestępca może rozpowszechniać inny malware, wysyłać spam lub przeprowadzać ataki typu DDoS (Distributed Denial of Service – rozproszona odmowa usługi). Właściciele przejętych urządzeń nie wiedzą, że służą one do cyberprzestępczej aktywności.

Według danych Fortinet dwa najpopularniejsze botnety obecne w Polsce (po ponad 6 milionów odnotowanych przypadków aktywności) to H-worm i Zeroaccess.

H-worm jest wykorzystywany w ukierunkowanych atakach na międzynarodowy przemysł energetyczny, jednak zaobserwowano, że jest on również wykorzystywany szerzej – jako sposób przeprowadzania ataków poprzez malspam i złośliwe linki.

Z kolei botnet Zeroaccess został odkryty co najmniej około maja 2011 r. Szacuje się, że pakiet odpowiedzialny za jego rozprzestrzenianie był obecny w co najmniej 9 milionach systemów na całym świecie. W grudniu 2013 r. koalicja pod przewodnictwem Microsoftu próbowała bez powodzenia zniszczyć sieci dowodzenia i kontroli botnetu.

Świadome zarządzanie ryzykiem

Niestety często od naruszenia bezpieczeństwa do momentu jego wykrycia upływają długie miesiące. W tym czasie cyberprzestępcy są w stanie poczynić duże spustoszenie w zasobach firmy, gdyż mają dostęp do poufnych danych, m.in. o finansach. – Nasze wcześniejsze badanie pokazało, że aż 95% przedsiębiorstw działających w Polsce na przestrzeni minionych dwóch lat doświadczyło cyberataku – mówi Jolanta Malak, dyrektor polskiego oddziału Fortinet. – Na szczęście po zarządach firm widać stopniowy wzrost świadomości problemu. Cyberbezpieczeństwo staje się w firmach kluczowym elementem szerszej strategii zarządzania ryzykiem i wychodzi już poza kwestie związane tylko z informatyką.

Metodologia badania

Przedstawione dane pochodzą z czujników laboratorium FortiGuard rozmieszczonych na terenie Polski i zostały zebrane od 1 czerwca do 31 grudnia 2018 r. Zaprezentowano łączną liczbę przypadków wykrycia zagrożenia przez urządzenia FortiGate (za przypadek traktowano sytuację, gdy sygnatura pliku została rozpoznana przez mechanizm antywirusowy lub silnik IPS wykrył podejrzane połączenie).

Źródło: Fortinet