{"id":38537,"date":"2021-06-23T11:10:26","date_gmt":"2021-06-23T09:10:26","guid":{"rendered":"https:\/\/biznes.t-mobile.pl\/?p=38537"},"modified":"2025-02-25T16:53:41","modified_gmt":"2025-02-25T15:53:41","slug":"ataki-ransomware-staly-sie-problemem-spolecznym","status":"publish","type":"post","link":"https:\/\/biznes.t-mobile.pl\/pl\/ataki-ransomware-staly-sie-problemem-spolecznym","title":{"rendered":"Ataki ransomware sta\u0142y si\u0119 problemem spo\u0142ecznym"},"content":{"rendered":"\n\n\n
Z TEGO ARTYKU\u0141U DOWIESZ SI\u0118:<\/span><\/strong><\/strong>\n

\u00a0<\/p>\n

    \n
  1. W JAKI SPOS\u00d3B ZMIENI\u0141 SI\u0118 SPOS\u00d3B PRZEPROWADZANIA ATAK\u00d3W RANSOMWARE W OSTATNIM ROKU?<\/span><\/strong><\/li>\n
  2. JAKIE INSTYTUCJE CYBERPRZEST\u0118PCY BIOR\u0104 OBECNIE NA CEL W PRZYPADKU ATAK\u00d3W RANSOMWARE?<\/span><\/strong><\/li>\n
  3. CZYM JEST DOXING I W JAKI SPOS\u00d3B WI\u0104\u017bE SI\u0118 Z RANSOMWARE?<\/span><\/strong><\/li>\n
  4. W JAKI SPOS\u00d3B POLSKIE PRZEDSI\u0118BIORSTWA ZAGRO\u017bONE S\u0104 ATAKAMI?<\/span><\/strong><\/li>\n
  5. JAK ZAPOBIEGA\u0106 I BRONI\u0106 SI\u0118 PRZED RANSOMWARE?<\/span><\/strong><\/li>\n<\/ol>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n

    W momencie powstawania tego artyku\u0142u lista instytucji nale\u017c\u0105cych do koalicji RTF obejmuje ju\u017c 482 <\/b><\/sup>organizacji z ca\u0142ego \u015bwiata. Globalna koalicja firm technologicznych i organ\u00f3w \u015bcigania wzywa do \u201eenergicznych i pilnych\u201d dzia\u0142a\u0144 przeciwko grupom pos\u0142uguj\u0105cym si\u0119 oprogramowaniem ransomware. RTF w kwietniu przedstawi\u0142o sw\u00f3j raport administracji prezydenta Bidena. \u00a0Wsp\u00f3\u0142przewodnicz\u0105ca RTF, Jen Ellis wypowiadaj\u0105c si\u0119 o celach koalicji podkre\u015bla, \u017ce \u201estawk\u0105 jest co\u015b wi\u0119cej ni\u017c tylko pieni\u0105dze\u201d i twierdzi, \u017ce w ci\u0105gu zaledwie kilku lat \u201eoprogramowanie ransomware sta\u0142o si\u0119 powa\u017cnym zagro\u017ceniem dla bezpiecze\u0144stwa narodowego oraz zagro\u017ceniem dla zdrowia i bezpiecze\u0144stwa publicznego\u201d. Przyk\u0142adem dobitnie \u015bwiadcz\u0105cym o tym, \u017ce s\u0142owa te znajduj\u0105 potwierdzenie w faktach jest maj\u0105cy miejsce w maju b.r. atak na publiczny system opieki zdrowotnej w Irlandii3<\/sup>. Wp\u0142yn\u0105\u0142 on na dzia\u0142anie wszystkich system\u00f3w informatycznych, \u015bwiadcz\u0105cych podstawowe us\u0142ugi medyczne. Kolejny z atak\u00f3w tych samych sprawc\u00f3w wymierzony by\u0142 w Irlandzkie Ministerstwo Zdrowia (DoH), jednak uda\u0142o si\u0119 go powstrzyma\u01074<\/sup>.<\/p>\n

    Jen Ellis, m\u00f3wi\u0105c o zagro\u017ceniu, jakie niesie ransomware, podkre\u015bla, \u017ce \u201ema ono ogromny wp\u0142yw na gospodark\u0119 i mo\u017cliwo\u015b\u0107 dost\u0119pu zwyk\u0142ych ludzi do kluczowych us\u0142ug\u201d. \u201eCo budzi szczeg\u00f3lny niepok\u00f3j to fakt, \u017ce fundusze pochodz\u0105ce z zap\u0142aconego okupu finansuj\u0105 inne formy przest\u0119pczo\u015bci zorganizowanej, takie jak handel lud\u017ami i wykorzystywanie dzieci\u201d \u2013 dodaje Ellis.<\/p>\n

    Doxing i wycieki danych<\/h2>\n

    Od 2020 grupy przest\u0119pcze zajmuj\u0105ce si\u0119 ransomware zacz\u0119\u0142y stosowa\u0107 nie tylko szyfrowanie danych uniemo\u017cliwiaj\u0105ce korzystanie z system\u00f3w informatycznych, ale kradn\u0105c informacje gro\u017c\u0105 ich upublicznieniem lub sprzeda\u017c\u0105. Doxing (lub doxxing) to dzia\u0142anie polegaj\u0105ce na publicznym ujawnianiu prywatnych danych osobowych osoby lub organizacji, zwykle za po\u015brednictwem Internetu. W maju 2021 badacz zabezpiecze\u0144 sieci znany jako DarkTracer, opublikowa\u0142 informacje dotycz\u0105ce wycieku danych<\/a> wskutek ransomware z trzydziestu czterech \u017ar\u00f3de\u0142 i opublikowa\u0142 zbiorczy raport5<\/sup> na ten temat. Wynika z niego, \u017ce wyciek powi\u0105zany z \u00a0ransomware mia\u0142 ju\u017c miejsce w 2103 organizacjach. Spo\u015br\u00f3d 34 grup zajmuj\u0105cych si\u0119 ransomware, \u015bledzonych przez DarkTracera, pi\u0119\u0107 najwi\u0119kszych to Conti (338 wyciek\u00f3w, w tym atak na s\u0142u\u017cb\u0119 zdrowia w Irlandii nie uj\u0119ty jeszcze w tych statystykach), Sodinokibi\/REvil (222 wycieki), DoppelPaymer (200 wyciek\u00f3w), Avaddon (123 wycieki) i Pysa (103 wycieki).<\/p>\n

    Warto podkre\u015bli\u0107, \u017ce w takim przypadku, zap\u0142acenie okupu przest\u0119pcom jeszcze bardziej mija si\u0119 z celem, ni\u017c w przypadku szyfrowania zawarto\u015bci dysk\u00f3w, poniewa\u017c do ukradzionych danych ma dost\u0119p wiele os\u00f3b, tak\u017ce spoza grupy, kt\u00f3ra dokona\u0142a ataku. Tym bardziej nie ma zatem gwarancji, \u017ce przest\u0119pcy po zap\u0142aceniu haraczu przez ofiar\u0119 skutecznie zniszcz\u0105 wszystkie posiadane kopie danych.<\/p>\n

    Najnowszy raport grupy Coveware, specjalizuj\u0105cej si\u0119 w problemach ransomware, opisuje\u00a0 sytuacj\u0119 w pierwszym kwartale 20216<\/sup>. Grupy przest\u0119pcze zajmuj\u0105ce si\u0119 rozwijaniem RaaS (Ransomware as service) skupi\u0142y si\u0119 na opracowywaniu modu\u0142\u00f3w szyfruj\u0105cych dane szanta\u017cowanych u\u017cytkownik\u00f3w, przeznaczonych dla system\u00f3w Unix i Linux. B\u0142\u0119dy we wcze\u015bniejszych wersjach nie tyle utrudnia\u0142y przest\u0119pcom szkodliwe dzia\u0142anie, co sprawia\u0142y, \u017ce b\u0142\u0119dnie zaszyfrowanych danych nie da\u0142o si\u0119 ju\u017c odzyska\u0107, nawet po wp\u0142aceniu okupu przez ofiar\u0119.<\/a><\/p>\n

    Zagro\u017cenie dotyczy tak\u017ce polskich przedsi\u0119biorstw<\/h2>\n

    W pierwszym kwartale 2021 \u015brednia p\u0142atno\u015b\u0107 okupu, jakiego \u017c\u0105daj\u0105 atakuj\u0105cy wzros\u0142a o 43%, do oko\u0142o 220 tys. USD. Analitycy Coveware zauwa\u017caj\u0105, \u017ce warto\u015b\u0107 ta, jak i mediana, uleg\u0142y zwi\u0119kszeniu za spraw\u0105 nielicznych grup przest\u0119pczych, w szczeg\u00f3lno\u015bci grupy CL0P, kt\u00f3ry sta\u0142 si\u0119 w ostatnim czasie bardzo aktywna. Przest\u0119pcy ci uznali, \u017ce stosuj\u0105c techniki eksfiltracji danych (ang. data exfiltration) czyli pozyskiwania kradzionych informacji, mog\u0105 \u017c\u0105da\u0107 od ofiary wi\u0119kszej kwoty, bo opr\u00f3cz utraty danych zagro\u017ceniem jest tak\u017ce ich upublicznienie. Atak ransomware w Polsce, w kt\u00f3rym mia\u0142o doj\u015b\u0107 do wycieku danych, dotyczy przypadku firmy PEKAES7<\/sup> opisywanego przez serwis Sekurak, za kt\u00f3rym prawdopodobnie sta\u0142a grupa przest\u0119pcza DarkSide, przechowuj\u0105ca dane z wycieku w Iranie.<\/p>\n

    Coveware podaje, \u017ce w pierwszym kwartale 2021 ju\u017c 77% atak\u00f3w ransomware wi\u0105za\u0142o si\u0119 z zagro\u017ceniem wyciekiem danych, co oznacza wzrost o 10% w por\u00f3wnaniu do Q4 2020 r. Cz\u0119\u015b\u0107 skradzionych informacji zazwyczaj ujawniana jest publicznie oraz ma stanowi\u0107 dow\u00f3d na to, \u017ce atak by\u0142 skuteczny i sko\u0144czy\u0142 si\u0119 nie tylko zaszyfrowaniem, ale tak\u017ce wykradzeniem danych<\/a>. \u201ePr\u00f3bka\u201d z wycieku ma zmotywowa\u0107 szanta\u017cowanych do zap\u0142acenia okupu. Jednak grupa CL0P w ostatnich kilku miesi\u0105cach obra\u0142a nieco inn\u0105 strategi\u0119. Przest\u0119pcy wykorzystali podatno\u015bci w wykorzystywanym przez du\u017ce przedsi\u0119biorstwa systemie Accellion FTA8<\/sup>. Nie maj\u0105c mo\u017cliwo\u015bci zaszyfrowania danych ofiary t\u0105 metod\u0105, CL0P jedynie krad\u0142o dane i szanta\u017cowa\u0142o ofiary ich upublicznieniem, co w niekt\u00f3rych przypadkach okaza\u0142o si\u0119 skuteczne.<\/p>\n

    Techniki ataku z wykorzystaniem metod doxing, czyli ujawniania skradzionych danych, przynosz\u0105 przest\u0119pcom najwi\u0119cej korzy\u015bci. Plaga dotkn\u0119\u0142a w pierwszej kolejno\u015bci instytucje w Stanach Zjednoczonych, ale zaraz potem ofiarami sta\u0142y si\u0119 firmy z Wielkiej Brytanii, Kanady, Francji i Niemiec. Z danych Coveware9<\/sup> wynika, \u017ce w przypadku najaktywniejszej w ostatnim czasie grupy stosuj\u0105cej te metody ataku, czyli CL0P a\u017c 43% ofiar pochodzi\u0142o z kraju b\u0119d\u0105cego s\u0105siadem Polski – z Niemiec, a jedynie 28,6% ze Stan\u00f3w Zjednoczonych. Stosowane przez grup\u0119 oprogramowanie ransomware zawiera r\u00f3\u017cne funkcje, kt\u00f3re pozwalaj\u0105 unikn\u0105\u0107 wykrycia. Obserwowane pr\u00f3bki CL0P-a usi\u0142uj\u0105 unieruchomi\u0107 procesy i us\u0142ugi odpowiedzialne za tworzenie kopii zapasowych<\/a> oraz blokowa\u0107 systemy zabezpieczaj\u0105ce firm\u0119 przed atakami10<\/sup>.<\/p>\n

    Wed\u0142ug odnosz\u0105cego si\u0119 do naszego kraju badania firmy Sophos \u201eState of Ransomware 2021\u201d atak ransomware kosztuje polsk\u0105 firm\u0119 \u015brednio 1,5 mln z\u014211<\/sup>. Zgodnie z wynikami analiz 46% polskich \u015brednich i du\u017cych firm w wyniku ataku ransomware straci\u0142a od 50 do nawet 254 tys. z\u0142, 31% ponios\u0142o koszty mi\u0119dzy 2,5 a 5 mln z\u0142. Koszty te zwi\u0105zane by\u0142y m.in. z przestojami w dzia\u0142alno\u015bci, utraconymi korzy\u015bciami, kosztami operacyjnymi oraz karami.<\/a><\/p>\n

    Jak si\u0119 broni\u0107 przed ransomware?<\/h2>\n

    Jeszcze rok temu odpowiedzieliby\u015bmy, \u017ce podstaw\u0105 ochrony firmy przed skutkami ataku ransomware<\/a> jest skuteczny backup przechowywanych danych<\/a>. Obecnie, ze wzgl\u0119du na zmian\u0119 metod stosowanych przez szanta\u017cyst\u00f3w jest to jednak zdecydowanie niewystarczaj\u0105ce, poniewa\u017c \u201epostawienie\u201d system\u00f3w od nowa wraz z zachowanymi danymi nie chroni przed ich wyciekiem. Przedsi\u0119biorstwa musz\u0105 jeszcze bardziej uszczelni\u0107 swoje zasoby informacyjne i w spos\u00f3b sta\u0142y, systemowy zabezpiecza\u0107 si\u0119 przed cyberatakiem<\/a>.<\/p>\n

    Do zagro\u017cenia, jakie niesie ze sob\u0105 ransomware,\u00a0 nale\u017cy podej\u015b\u0107 w spos\u00f3b kompleksowy. Dzia\u0142ania ze strony przedsi\u0119biorstwa powinny mie\u0107 jak najszerszy zasi\u0119g, pocz\u0105wszy od test\u00f3w socjotechnicznych (podatno\u015bci u\u017cytkownik\u00f3w), poprzez analizy \u015brodowiska IT poprzez pentesty, wdro\u017cenia metod i technik ochrony \u0142ataj\u0105cych \u201edziury\u201d w infrastrukturze przedsi\u0119biorstwa, po zastosowanie odpowiednich, w\u0142a\u015bciwych technologii dla organizacji. Ka\u017cdy z tych element\u00f3w mo\u017ce by\u0107 wdra\u017cany etapowo, stopniowo zwi\u0119kszaj\u0105c poziom zabezpiecze\u0144 lub kompleksowo.<\/p>\n

    Opisane metody ochrony dostarcza T-Mobile. Operator oferuje sta\u0142y monitoring zespo\u0142\u00f3w bezpiecze\u0144stwa<\/a> Security Operations Center (SOC) we w\u0142asnych DC przez 24 godziny na dob\u0119 wykrywaj\u0105c i reaguj\u0105c na zagro\u017cenia non stop. Us\u0142ugi oferowane w ramach SOC pozwalaj\u0105 ekspertom od bezpiecze\u0144stwa \u201epo\u0142\u0105czy\u0107 kropki\u201d uwzgl\u0119dniaj\u0105c korelacje zdarze\u0144 i alarm\u00f3w mog\u0105cych wskazywa\u0107 na ransomware, co pozwoli uchroni\u0107 organizacj\u0119 przed skutkami ataku.<\/p>\n

    W obecnych czasach sam backup niestety nie jest wystarczaj\u0105c\u0105 metod\u0105 ochrony. Weryfikacj\u0119 zabezpiecze\u0144 organizacji, na przyk\u0142ad poprzez regularne pentesty, nale\u017cy przeprowadza\u0107 cyklicznie, bo zmienia si\u0119 zar\u00f3wno technologia IT, sama organizacja, jak i jej otoczenie. Ca\u0142y czas pojawiaj\u0105 si\u0119 nowe zagro\u017cenia, kt\u00f3re nale\u017cy bra\u0107 pod uwag\u0119. Zesp\u00f3\u0142 przeprowadzaj\u0105cy audyt i pentesty musi pos\u0142ugiwa\u0107 si\u0119 najnowsz\u0105 metodologi\u0105 i technologiami, kt\u00f3rymi pos\u0142uguj\u0105 si\u0119 przest\u0119pcy. Takim warsztatem i kompetencjami legitymuj\u0105 si\u0119 najbardziej znane podmioty na rynku audytu i pentest\u00f3w, m.in. T\u2011Mobile.<\/p>\n

    Podsumowanie<\/h3>\n

    Przypomnijmy najwa\u017cniejsze informacje dotycz\u0105ce atak\u00f3w ransomware w ostatnim roku:<\/p>\n