Analiza najważniejszych incydentów jest głównym tematem opublikowanego przez Trend Micro raportu „Rosnąca fala: nowe ataki wymierzone w instytucje publiczne”. Autorzy omawiają w nim proces ewolucji narzędzi i metod, którymi posługują się hakerzy chcący uzyskać jak największy zwrot ze swoich cyberprzestępczych inwestycji. Raport zawiera także informacje dotyczące Polski.

– W drugim kwartale tego roku zaobserwowaliśmy zmianę w obszarze cyberzagrożeń – cyberprzestępcy stali się bardziej kreatywni i wyrafinowani, wzmacniając stosowane do tej pory metody ataku i posługując się nimi w nowy sposób – mówi Raimund Genes, CTO, Trend Micro. – Ogół społeczeństwa nie może w dalszym ciągu postrzegać cyberprzestępczości jako mglistego zagrożenia. Jak pokazały wydarzenia z minionego kwartału, potencjalne szkody wywołane cyberatakami mają znacznie szersze reperkusje niż prosty błąd oprogramowania, odbijając się na funkcjonowaniu samolotów pasażerskich, inteligentnych samochodów i stacji telewizyjnych.

Hakerzy przyjmują obecnie bardziej strategiczne podejście do ataków, udoskonalając sposoby działania i bardziej precyzyjnie dobierając cele, aby skuteczniej infekować systemy. Odbiciem tego trendu jest dramatyczny wzrost częstotliwości stosowania kilku tradycyjnych metod ataku, m.in. 50-procentowy wzrost częstości korzystania z pakietu exploitów Angler Kit, 67-procentowy wzrost liczby zagrożeń opartych na exploitach oraz coraz częstsze ataki ransomware CryptoWall, przy czym 79 procent infekcji tego typu miało miejsce w Stanach Zjednoczonych.

– Badacze z Trend Micro analizowali również dane z Polski. Nasz kraj został wymieniony jako jedna z ofiar działania zagrożenia o nazwie TorrentLocker – obok między innymi Australii, Hiszpanii, Niemiec, Francji i Wielkiej Brytanii – mówi Michał Jarski, Regional Sales Director CEE, Trend Micro. – Warto zauważyć, że w II kwartale tego roku 2 procent serwerów typu C&C było umiejscowionych w Polsce. W niechlubnej czołówce znajdują się Stany Zjednoczone, Ukraina i Rosja.

Należy też mieć na uwadze, że w drugim kwartale instytucje administracji publicznej odczuły na własnej skórze pełną moc cyberataków, gdy doszło do wycieku danych z amerykańskiej agencji skarbowej IRS w maju i Biura Zarządzania Kadrami OPM w czerwcu tego roku. Drugie z tych wydarzeń było największym jak dotąd incydentem tego rodzaju i doprowadziło do ujawnienia informacji osobowych około 21 milionów obywateli. Inne agencje publiczne również były celem ataków przy pomocy ukierunkowanych kampanii macro malware, serwerów Command&Control, a także nowych exploitów, w tym zagrożeń typu 0-day Pawn Storm.

Z perspektywy całego II kwartału Stany Zjednoczone zajmują czołowe miejsce zarówno pod względem zarówno źródeł, jak i celów różnego rodzaju ataków, z których najczęstsze są przypadki korzystania ze złośliwych linków, spamu, serwerów C&C i robaków ransomware.

Główne punkty raportu:

• Ataki hakerów zakłócają pracę służb publicznych

Ataki na sieci telewizyjne, samoloty pasażerskie, pojazdy zautomatyzowane i domowe routery wiążą się nie tylko z zagrożeniem infekcjami złośliwym oprogramowaniem, lecz również fizycznymi utrudnieniami i szkodami.

• Cyberprzestępcy działający w pojedynkę okrywają się złą sławą po skutecznych atakach ransomware i PoS

Złośliwe oprogramowanie FighterPoS i MalumPoS rozpowszechnione przez hakerów posługujących się pseudonimami „Lordfenix” i „Frapstar” oraz ataki keyloggera Hawkeye pokazują, że przestępcy działający w pojedynkę są w stanie wywołać duże zamieszanie na współczesnej arenie zagrożeń.

• Kontrofensywa organów bezpieczeństwa

Interpol, Europol, Departament Bezpieczeństwa Krajowego USA i FBI to instytucje, które miały swój wkład w zatrzymanie działających od dawna botnetów. Ponadto postawienie w stan oskarżenia założyciela strony Silk Road, Rossa Ulbrichta, doprowadziło do ujawnienia mglistej i niebezpiecznej natury sieci Dark Web.

• Ataki na agencje administracji publicznej wpłynęły na cały kraj i miały konsekwencje polityczne

Atak na Biuro Zarządzania Kadrami amerykańskiej administracji publicznej (OPM) był szokującym dowodem na to, że żadne dane osobowe nie są w pełni bezpieczne. Zagrożenia macro malware, ataki skokowe (island-hopping) i serwery C&C to tylko niektóre z metod wykorzystywanych podczas infiltracji rządowych baz danych i innych podobnych incydentów.

• Nowe zagrożenia wymierzone w publiczne witryny internetowe i urządzenia mobilne

Zagrożenia atakujące oprogramowanie nie są niczym nowym, ale exploity wycelowane w aplikacje Web okazały się równie niebezpieczne. Cyberprzestępcy wykorzystają każdą lukę i słabość, a wyspecjalizowane aplikacje wymagają wyspecjalizowanych zabezpieczeń, które wyeliminują ryzyko związane z obecnością takich punktów dostępu.