2023 rok rekordowy pod względem cyberataków
W 2023 o ponad 51 proc. wzrosła liczba ataków typu ransomware. Na celowniku cyberprzestępców, jak twierdzi Crowdstrike, firma zajmująca się cyberbezpieczeństwem, były głównie duże firmy, banki, szpitale czy agencje rządowe. Co więcej, Chainalysis, organizacja analityczna, która śledzi różne branże i finanse, w tym kryptowaluty, wyjawiła, że w 2023 roku mieliśmy do czynienia również z dużym wzrostem płatności na rzecz hakerów i okupów. Cyberprzestępcy otrzymali od firm prawie 500 mln dol. za to, aby przywrócić działanie infrastruktury IT.
O tym, że 2023 rok był dobrym rokiem dla cyberprzestępców świadczy także słowa Nikesh Arora, dyrektor generalny firmy Palo Alto Networks, zajmującej się m.in. bezpieczeństwem sieciowym. Stwierdził on, że w ubiegłym roku aktywność cyberprzestępców była najwyższa w historii. — Zwłaszcza jeśli chodzi o oprogramowanie ransomware do cyfrowych okupów. Cyberprzestępcy wyrządzili szkody w znacznie krótszym czasie — powiedział.
Hot Topic i fałszowanie danych
Dowodem potwierdzającym te słowa niech będzie nasze zestawienie 10, naszym zdaniem, największych cyberataków na świecie i w Polsce. Nasze zestawienie zacznijmy od portalu Hot Topic. Między lutym a czerwcem serwis mierzył się z falą ataków polegających na fałszowaniu danych uwierzytelniających. Do wykrycia ataku doszło, ponieważ jeden z użytkowników zgłosił podejrzaną aktywność związaną z logowaniem na jego platformie z nagrodami. Dochodzenie wykazało, że cyberataki miały miejsce między 7 lutego a 21 czerwca 2023 r. i mogły umożliwić odpowiedzialnym za to złośliwym podmiotom dostęp do wrażliwych informacji klientów. Hakerzy wielokrotnie wykorzystali skradzione dane uwierzytelniające, aby uzyskać nieautoryzowany dostęp do platformy Hot Topic Rewards.
Umożliwiło im to dostęp do informacji o klientach, w tym imion i nazwisk, adresów pocztowych, dat urodzenia, numerów telefonów i historii zamówień. Dostęp do częściowych informacji o karcie płatniczej (cztery ostatnie cyfry) mógł również zostać uzyskany, jeśli ofiara zapisała na swoim koncie dane karty. Po dochodzeniu w sprawie naruszenia danych Hot Topic ustalił, że w ataku użyto legalnych danych uwierzytelniających, ale uzyskano je z „nieznanego źródła zewnętrznego”, a nie z samego Hot Topic.
Naruszenie MOVEit
W 2023 roku głośno było również o tzw. naruszeniu MOVEit. Rosyjska grupa ransomware o nazwie „CI0p” wykorzystała odkrytą w maju lukę w pakiecie produktów MOVEit firmy Progress Software do kradzieży danych z niezabezpieczonych sieci. Zaatakowanych zostało ponad 400 organizacji, a do tego opublikowano wrażliwe dane wielu osób. Atak na MOVEit należy do jednych z ciekawszych w ostatnim czasie, ponieważ dotknął wiele organizacji na Świecie. Według niemieckiej firmy badawczej KonBriefing zajmującej się cyberbezpieczeństwem na chwilę obecną włamanie do MOVEit dotknęło 421 organizacji (z czego aż 322 w USA) i 22 miliony kont.
Największy wyciek danych w sektorze finansów
W minionym roku doszło także chyba do największego wycieku danych w historii sektora finansowego. Mowa tu o Citibanku, który w wyniku naruszenia bezpieczeństwa ujawnił poufne informacje dotyczących milionów klientów. W wyniku cyberataku zostały ujawnione numery kont, dane osobowe, a nawet historie transakcji. Śledztwo wykazało, że bank stał się ofiarą złożonego ataku hakerskiego, który wykorzystał słabe punkty w infrastrukturze IT banku. Co prawda Citibank starał się ograniczyć szkody, ale sam incydent wywołał globalną i bardzo poważną dyskusję o bezpieczeństwie danych w sektorze bankowym.
W 2023 roku na celowniku cyberprzestępców znaleźli się również dostawcy infrastruktury internetowej Google Cloud, Cloudflare oraz AWS zgłosili 10 października największe w historii ataki DDoS, w którym liczba żądań na sekundę (rps) osiągnęła najwyższą wartość ponad 398 milionów, co stanowi siedem i pół raza więcej niż poprzedni rekordowy Atak DDoS. CSO Cloudflare Grant Bourzikas napisał w poście na blogu Google, że „kluczowe” jest zrozumienie, że atak mógł być przeprowadzony z użyciem „botnetu skromnej wielkości, składającego się z około 20000 maszyn”. Co więcej, dane osobowe 815 milionów mieszkańców Indii, najwyraźniej wydobyte z bazy danych ICMR dotyczącej testów na Covid, zostały wystawione na sprzedaż w darknecie na początku tego miesiąca. Według firmy ochroniarskiej Resecurity, która odkryła wpis, dane obejmowały imię i nazwisko ofiary, wiek, płeć, adres, numer paszportu i numer Aadhaar (12-cyfrowy rządowy numer identyfikacyjny).
Jeden z największych cyberataków w ramach wojny na Ukrainie
W kolei grudniu 2023 r. miał miejsce jeden z największych cyberataków w ramach wojny na Ukrainie. Celem padł telekomunikacyjny gigant Kyivstar. Podano wysokość strat finansowych związanych z incydentem. Ilija Witiuk, szef departamentu cyberbezpieczeństwa SBU, w rozmowie z agencją Reutera przekazał, że hakerzy byli obecni w sieci Kyivstar od co najmniej maja 2023 r. Dostęp do infrastruktury umożliwiał im kradzież danych. Jakich? Mowa o m.in. przechwytywaniu SMS-ów klientów. Wśród ekspertów i obserwatorów panuje przekonanie, że omawiany cyberatak należy uznać za jeden z najpoważniejszych na Ukrainie od momentu rosyjskiej inwazji z 24 lutego 2022 r.
ALAB Labolatoria i naruszenie danych medycznych
Jeśli chodzi o Polskę, to zdecydowanie miano najgłośniejszego ataku w 2023 pozyskał ten na ALAB Laboratoria — jedną z największych ogólnopolskich sieci laboratoriów medycznych. Firma padła ofiarą ataku hakerskiego skutkującego wyciekiem danych medycznych. W ramach przeprowadzonego ataku hakerskiego wykradzione zostały całe pakiety danych osobowych Polaków z ostatnich sześciu lat. Wśród nich znajdują się imiona, nazwiska, numery PESEL i adresy zamieszkania pacjentów wraz z przypisanymi do nich wynikami badań. Jak podawały media, autorami ataku była grupa ransomware RA World. Opublikowali oni bowiem na swoim blogu nie tylko informację o skutecznym włamaniu, ale także ujawnili próbkę wykradzionych danych.
Pośród nich znalazły się między innymi wyniki ponad 50 tysięcy badań medycznych, a także numery PESEL, imiona i nazwiska, daty urodzenia i miejsca zamieszkania. Ostatecznie okazało się, że wyciek danych dotyczył nie tylko niemal 200 tysięcy numerów PESEL, ale także 190 GB danych firmowych samego ALAB-u.
Na celowniku cyberprzestępców polskie uczelnie
Powyższy przykład jest tylko wierzchołkiem góry lodowej. Wiele firm, ze względu na potencjalne straty finansowe i wizerunkowe woli się nie chwalić, że było przedmiotem cyberataku. Tak było, chociażby z Akademią Sztuki Wojennej w Warszawie. Przez półtora miesiąca uczelnia ukrywała, że padła ofiarą największego znanego ataku hakerskiego na wojskową strukturę w Polsce. Atak był też na tyle poważny, że praktycznie sparaliżował pracę Akademii. Zainfekowane zostały wszystkie komputery znajdujące się w jej sieci. Do ataku doszło, ponieważ uczelnia pozostawiła w użyciu przestarzały sprzęt i niewspierane oprogramowanie systemowe, pozbawione aktualizacji i łatek bezpieczeństwa.
Specjaliści ustalili, że wykorzystane zostało złośliwe oprogramowanie typu wiper. W takim przypadku celem ataku jest sprawienie, aby zaatakowana organizacja na stałe straciła dostęp do danych. Jest to przeciwieństwo ataku ransomware, w którym dane mogą być przywrócone po opłaceniu okupu. Wiper niszczy zainfekowane dane raz na zawsze poprzez zaszyfrowanie lub nadpisanie ich zawartości, a hakerzy, atakując przestarzałe systemy operacyjne mogą uniemożliwić w ten sposób dostanie się do jakichkolwiek danych na komputerze.
W 2023 roku zaatakowano nie tylko Akademię Sztuk Wojennych. Na celowniku cyberprzestępców znalazł się także Uniwersytet Artystyczny im. Magdaleny Abakanowicz w Poznaniu. Po przełamaniu zabezpieczeń hakerzy naruszyli ochronę informacji dotyczących kilkuset pracowników i współpracowników uczelni. Na wyciek zostały narażone tak wrażliwe dane osobowe jak nazwiska, adresy czy seria i numer dowodu osobistego. Atak doprowadził do kilkudniowej blokady infrastruktury informatycznej uniwersytetu, a zagrożone środowisko serwerowe obsługujące system kadrowo-płacowy musiało zostać wyeliminowane i postawione na nowo. Było to możliwe dzięki istnieniu kopii zapasowej.
Cyberatak na system Śląskiej Karty Usług Publicznych
Cyberprzestępcy zaatakowali system Śląskiej Karty Usług Publicznych, służącej między innymi do płatności za parkowanie czy bilety komunikacji miejskiej w Metropolii Górnośląsko-Zagłębiowskiej. Blokada utrudniała codzienne życie prawie 2 milionów mieszkańców tego obszaru przez niemal dwa tygodnie. System przywrócono do działania przy pomocy tworzonych codziennie kopii zapasowych, a dane osobowe pasażerów nie były zagrożone tylko dzięki temu, że system ich nie gromadził.
W 2023 roku celem ataku cyberprzestępców, a dokładniej rosyjskiej grupy Killnet, stała się Grupa Azoty Police, czyli zakłady chemiczne w Policach należące do kontrolowanej przez Skarb Państwa Grupy Azoty. „Azoty” są największą spółką chemiczną w Polsce i drugim pod względem wielkości producentem nawozów w Unii Europejskiej.
Killnet stwierdził, że wykradł dane pracowników, w tym hasła i dodatkowo sparaliżował sieć korporacyjną dla zatrudnionych w Grupie Azoty Zakłady Chemiczne Police. „Mamy nadzieję, że w fabryce coś wybuchnie i będzie mniej agresywnej szumowiny na świecie” – napisali hakerzy na Twitterze. Na szczęście cyberprzestępcom nie poszło tak dobrze, jak utrzymywali. Finalnie, „Azoty” potwierdziły próby włamania do systemu, zapewniając jednocześnie, że atak nie był skuteczny.
Najlepsze praktyki bez zmian
2023 rok pokazał, że trzeba zachować wyjątkową ostrożność w sieci. Jeden mały błąd może skutkować poważnymi konsekwencjami. Co więcej, eksperci zgodnie twierdzą, że w 2024 roku częstotliwość cyberataków wcale się nie zmniejszy, ponieważ ransomware wciąż pozostaje główną działalnością zarobkową dla cyberprzestępców, a to oznacza, że wszystkie porady dotyczące kopii zapasowych systemu, utrzymywania w pełni zaktualizowanego oprogramowania, edukowania pracowników w zakresie rozpoznawania inżynierii społecznej we wszystkich jej formach oraz fundamentalnie zorientowanych na bezpieczeństwo pozostają tak samo ważne, jak w poprzednich latach.