O „WannaCry” lub „Petya” słyszał chyba każdy z nas. Jak się okazuje, to nie jedyne działania cyberprzestępców, które miały miejsce w mijającym roku. Prezentujemy podsumowanie najważniejszych zagrożeń, które zdecydowanie wpłynęły na bezpieczeństwo IT w 2017 roku.

Podsumowanie roku pod znakiem RANSOWMARE

WannaCry

WannaCry trzymał nas wszystkich w napięciu przed długi czas. Zainfekowanych zostało ponad 200 000 komputerów, lecz w porównaniu do innych podobnych wydarzeń z przeszłości nie była to rekordowa liczba. Gdy jednak spojrzymy na szybkość rozprzestrzeniania się i agresywność, WannaCry plasuje się w czołówce, razem z takimi przykładami złośliwego oprogramowania jak Blaster lub Sasser. WannaCry w ciągu pierwszych 12 godzin zainfekował około 74 000 komputerów. Jak to możliwe? Jednym z powodów tak zawrotnej szybkości rozprzestrzeniania był fakt, że WannaCry wykorzystywał kod, który pojawił się wskutek wycieku plików z serwerów NSA.

W niektórych firmach kazano pracownikom powyłączać komputery i przestać z nich korzystać, by zapobiec rozprzestrzenianiu się infekcji po sieci. Ofiarą WannaCry padły nie tylko te urządzenia, w których nie zainstalowano aktualizacji: luki tej nie zabezpieczono również w starszych systemach operacyjnych Microsoftu, takich jak Windows XP, Server 2003 i Windows 8.

Petya/Notpetya

Kolejny ransomware zaatakował ponad 80 większych firm, włączając w to koncerny naftowe i firmy logistyczne. Stosowana robocza nazwa zagrożenia – Petya była nieco myląca. Z uwagi na podobieństwa do zagrożeń z serii Petya/Misha/GoldenEye, początkowo stosowano właśnie nazwę „Petya”. Pojawiały się również nazwy: NotPetya, EternalPetya, PetyaBlue, Petna, PetyaWrap, Petrwrap, SortaPetya, Nyetya, Expetr itd. Jednak mając na uwadze fakt, że chodzi o nowy wariant zagrożenia, zdecydowano ostatecznie nazwać je Petna. Petna nie została stworzona dla zysków finansowych, choć na początku ataku nikt tak naprawdę nie znał jego celu.

Spora

Spora, czyli ransomware dystrybuowany za pośrednictwem wiadomości Spam. Rozprzestrzeniała się za pośrednictwem urządzeń USB i w przeciwieństwie do innych tego typu wirusów, nie zmieniała nazwy zaszyfrowanych plików. Ofiara została poinformowana, że może opłacić usunięcie szkodnika lub odblokowanie dostępu do pojedynczego pliku, czy folderu. Ransomware samodzielnie obliczał wartość okupu, który uiścić miał właściciel sprzętu, w zamian za odszyfrowanie zainfekowanych danych.

Rurktar

Opracowanie nowego oprogramowania zawsze wymaga czasu, i tak samo rzecz wygląda w przypadku ransomware. Pracownicy G DATA Security Labs parę miesięcy temu zauważyli pewien nietypowy plik, któremu postanowili się przyjrzeć z bliska. Otrzymał roboczą nazwę Rurktar. Rurktar prawdopodobnie pochodzi z Rosji. Z dużą dozą pewności stwierdzić, że będzie wykorzystywany do precyzyjnie ukierunkowanych operacji szpiegowskich. Funkcje, które zostały już wdrożone, umożliwiają rozpoznanie infrastruktury sieci, pozwalają sprawdzić, czy konkretne urządzenie znajduje się w zasięgu, czy też nie, umożliwiają również wykonywanie zrzutów ekranu, a nawet pobieranie konkretnych plików z zainfekowanego urządzenia. Z uwagi na fakt, że oprogramowanie to jest nadal w fazie tworzenia i nie funkcjonuje na powszechną skalę, nie zdążyło się na razie za bardzo rozprzestrzenić. Tych kilka adresów IP, które do tej pory powiązano z oprogramowaniem Rurktar, mogło zostać przez programistę/programistów wykorzystanych jedynie w celach testowych.

Popcorn Time

Jeden z bardziej nietypowych i „wyrachowanych” ransomware. Osoba, której sprzęt został zainfekowany, miała dwie możliwości ratunku. Za odszyfrowanie plików na zaatakowanym komputerze żądano od niej okupu w wysokości 1 BTC lub rozesłania wirusa wśród swoich znajomych i zainfekowania tym samym co najmniej dwójki z nich. Cyberporywacze wykorzystali 2 sprawdzone metody dostarczenia złośliwych plików na nasze komputery: kampanie spamowe, ataki drive-by-download. Twórcy Popcorn Time podawali się za syryjskich rebeliantów, zmuszonych do pozyskiwania funduszy w ten niecny sposób.

 

Pozostałe wydarzenia

KRACK

Zagrożone były wszystkie urządzenia łączące się z sieciami WiFi przy użyciu szyfrowania WPA2. Luka pozwalała potencjalnemu „napastnikowi” uzyskać dostęp do sieci WiFi, a w najgorszym przypadku manipulować przesyłanymi danymi. Dla przykładu mógł on zastąpić legalnie ściągane pliki złośliwym oprogramowaniem, co mogłoby skończyć się kradzieżą danych i późniejszym wykorzystaniem ich bez zgody właściciela. Luka nie mogła jednak zostać wykorzystana do uzyskania hasła do WiFi. Wszelkie dane wysyłane z poziomu przeglądarki za pośrednictwem połączenia szyfrowanego z SSL były znacznie mniej podatne na ataki.

Uber nie taki bezpieczny

Co prawda wyciek miał miejsce w 2016 roku, jednak firma ogłosiła to dopiero w ostatnim okresie. Hakerzy uzyskali dostęp do danych 57 mln użytkowników. W niepowołane ręce trafiły: nazwiska, adresy e-mail i numery telefonów osób korzystających z Ubera.

Każdemu po równo (?)

W 2017 roku hakerzy wzięli tak naprawdę na celownik firmy z wielu branż. Należały do nich m.in.: InPost, Samodzielny Publiczny Zakład Opieki Medycznej w Kole, Cloudflare, Netia lub banków – CreditAgricole, ING bank, mBank.

Cyberwojsko?

Nie tylko podmioty z sektora prywatnego zaczęły zwracać uwagę na temat bezpieczeństwa. Władze państwowe również przyjrzały się zagadnieniom z zakresu ochrony przed atakami cyberprzestępców. Szef MON poinformował media, że podjęto decyzję o utworzeniu wojsk cybernetycznych, obejmujących przynajmniej liczbę 1 tys. żołnierzy zdolnych do walki w cyberprzestrzeni oraz zwiększeniu zobowiązań Narodowego Centrum Kryptologii i powołaniu pełnomocnika do spraw bezpieczeństwa i cyberprzestrzeni.

Rosyjski szpieg

Jeden z najbardziej znanych producentów oprogramowania antywirusowego również zaliczył wpadkę. Jak ujawnił Brytyjski wywiad GCHQ, istnieją podejrzenia, że tworzony przez niego program, może być wykorzystywany przez rząd Rosji jako narzędzie do zbierania informacji.

– Warto korzystać z rozwiązań firm, które podkreślają, że w swoich działaniach stawiają na filozofię „Moje dane pozostają w Europie” – tłumaczy Robert Dziemianko z G DATA. – W związku z trwającymi dyskusjami na temat działalności rosyjskich agencji wywiadowczych w USA, a także działań NSA w Europie, ma to jeszcze większe znaczenie. G DATA, jako niemiecka firma jest zobowiązana do przestrzegania surowych niemieckich przepisów dotyczących prywatności. W praktyce oznacza to, że wszelkie dane klientów są przetwarzane i przechowywane wyłącznie w Europie – dodaje przedstawiciel firmy.

A jakie są prognozy na przyszłość?

– Przyglądając się statystykom z ostatnich lat, zakładamy, że ilość zagrożeń w przyszłym roku prawdopodobnie znów ulegnie zwiększeniu. Uwagę należy zwrócić również na rosnącą popularność kryptowalut. Coraz więcej internautów interesuje się nimi, a cyberprzestępcy wykorzystują tę „modę” i tworzą lukratywne, aczkolwiek nielegalne modele biznesowe – mówi Łukasz Nowatkowski z G DATA. – Kolejna sprawa — coraz więcej codziennych czynności, takich jak bankowość lub zakupy, odbywa się online. Procesy stojące za tymi działaniami stają się łatwiejsze z dnia na dzień, co także ułatwia pracę cyberprzestępcom. To nie koniec — spodziewamy się również, że pojawi się więcej ataków na platformy, które wcześniej nie były celem hakerów. Jest to związane z tzw. internetem rzeczy i inteligentnymi urządzeniami, które teoretycznie mają ułatwiać nam życie – dodaje ekspert z G DATA.

Podsumowanie prognoz na 2018 rok:

Większa koncentracja na IoT: Inteligentne urządzenia dotrą do prywatnych gospodarstw domowych i firm. Internet rzeczy nie będzie już tylko trendem — dla wielu stanie się stałym elementem ich codziennego życia.

Ransomware zaatakuje na większą skalę: Cyberprzestępcy w 2017 roku osiągnęli wysokie dochody, dzięki atakom, a ich metody stały się coraz bardziej wyrafinowane. W związku z tym spodziewany jest dalszy wzrost liczby złośliwego oprogramowania ransomware w 2018 roku.

Wymuszenia dotyczące prywatnych danych: Kradzież danych od wielu lat była wyjątkowo dochodowym biznesem. W przeszłości cyberprzestępcy często wystawiali na sprzedaż ukradzione informacje w sieci darknet. Eksperci G DATA obserwują nowy trend — zamiast sprzedawać dane, przestępcy będą szantażować okradzione firmy i żądać od nich okupu.

– Ataki na asystentów aktywowanych głosem: Coraz więcej użytkowników zaczyna polegać na asystentach osobistych, takich jak Siri i Alexa. Eksperci ds. Bezpieczeństwa G DATA prognozują, że w 2018 roku nastąpi wiele (niestety) udanych ataków na te platformy.

– Nowe przepisy dotyczące ochrony danych: ostateczny termin realizacji europejskiego RODO zbliża się bardzo szybko. Wiele firm wciąż musi rozwiązać pilny problem ze spełnieniem wszystkich warunków wynikających z rozporządzenia. Przed upływem terminu firmy muszą zapewnić, że dane ich klientów są przetwarzane i zabezpieczane zgodnie z prawem. G DATA prognozuje, że do momentu wejścia przepisów w życie, aż 50 procent firm nie osiągnie pełnej zgodności.

Kryptowaluty celem ataku: Coraz więcej osób inwestuje w cyfrową walutę. Cyber-kryminaliści podejmować będą skoordynowane działania, aby nakłonić użytkowników do rezygnacji z pieniędzy cyfrowych.