Cyberatak to najpoważniejsze współczesne zagrożenie [BĄDŹ CYBERBEZPIECZNY]

Mamy rok 1989. Trwają rozmowy w Magdalence, podczas których ustalany jest termin obrad Okrągłego Stołu. Powstaje Związek Harcerstwa Rzeczypospolitej, widzowie po raz pierwszy mogą obejrzeć film „Piłkarski poker”. Średnia płaca w kraju wynosi 107 tys. zł, a kurs dolara waha się pomiędzy 2900 a 3000 zł. Zniesione zostają kartki na mięso, a w Dzienniku Telewizyjnym słyszymy, że „skończył się w Polsce komunizm”. W tym samym roku dr Joseph Popp, biolog z Harvardu z tytułem doktora, który zajmuje się kwestiami ewolucji, tworzy złośliwe oprogramowanie (malware)…

Swojego „wirusa AIDS” (ów program tak właśnie został nazwany z uwagi na pierwsze ofiary będące uczestnikami konferencji poświęconej AIDS) rozsyła na dyskietkach 5,25” do 20 000 osób i firm. Oprogramowanie szyfruje nazwy i rozszerzenia plików znajdujących się na komputerze ofiary. Aby móc ponownie z nich skorzystać użytkownik jest zmuszony do opłacenia „licencji”. Jej koszt to 189 dolarów za pół roku lub 378 dolarów za rok. Oprogramowanie początkowo istotnie budzi niepokój użytkowników komputerów oraz instytucji zajmujących się ich bezpieczeństwem. Ostatecznie jednak udaje się dość łatwo dotrzeć do klucza deszyfrującego, który jest zawarty w kodzie złośliwej aplikacji. Aresztowanie twórcy pierwszego w historii ransomware (programu do wyłudzania okupu) nie prowadzi nawet do jego skazania – po dwóch latach procesu dr Popp zostaje uznany za niepoczytalnego.

Złośliwe oprogramowanie

Czas płynie i jesteśmy już w roku 2017. W siedzibie firmy Maersk odpowiedzialnej za 1/5 możliwości przewozowych całego ówczesnego świata pracownicy zaczynają dostrzegać na swoich komputerach nieznane dotychczas i jakże złowieszcze komunikaty. Komputery zostały zaatakowane złośliwym oprogramowaniem i zaszyfrowane. Za odszyfrowanie danych należy wpłacić 300 dolarów od każdego komputera. Pracownicy zostają odesłani do domów, a dział IT dwoi się i troi, aby jak najszybciej postawić firmę na nogi. Ostatecznie biuro Maersk w Anglii zostaje przekształcone w centrum zarządzania kryzysowego. Okoliczne hotele przeżywają oblężenie, gdyż w tym samym czasie około 600 osób pracuje nad rozwiązaniem jednego problemu. Udaje się dotrzeć do jedynej sprawnej kopii zapasowej zlokalizowanej w Ghanie. Po dwóch tygodniach firma wraca do życia i normalnego funkcjonowania. Za atak odpowiada NotPetya – złośliwe oprogramowanie udające ransomware w rzeczywistości będące wiperem – programem do całkowitego usuwania danych. NotPetya pierwotnie uznawany był przez analityków na całym świecie za inną, znaną już wcześniej złośliwą aplikację o nazwie Petya. Kiedy prawdziwa natura wipera została ujawniona nazwę zmieniono dodając przedrostek „Not”. NotPetya zaatakował w wielu miejscach na świecie lecz ucierpiał przede wszystkim Maersk oraz infrastruktura krytyczna na Ukrainie (80% zidentyfikowanych wystąpień).

Listy ofiar cybergangów

Cztery lata później – jak określili to niektórzy badacze cyberbezpieczeństwa, pierwszym akcie cyberwojny – następuje kolejny sądny dzień. Zorganizowana grupa przestępcza występująca pod nazwą DarkSide dopuszcza się skutecznego ataku na element infrastruktury krytycznej Stanów Zjednoczonych. Ofiarą ransomware pada firma Colonial Pipeline będąca największym na wschodnim wybrzeżu USA operatorem rurociągów dystrybuujących paliwo. Z dnia na dzień, z godziny na godzinę przerażeni Amerykanie coraz intensywniej tworzą zapasy paliwa z miejsc, w których jest ono jeszcze dostępne. Colonial Pipeline musi zawiesić pracę dopóki ich systemy nie zostaną przywrócone. Przestępcy otrzymują okup w wysokości równowartosci 4.4mln dolarów w bitcoinach. Dopiero po jakimś czasie firma wraca do normalnego funkcjonowania. Kilka dni później inna grupa przestępcza – Conti – atakuje Irlandzki System Opieki Zdrowotnej. W efekcie tego przez klika dni nie udaje się zrealizować planowanych zabiegów, są problemy z udzielaniem pomocy osobom chorym lub po wypadkach. Stajemy twarzą w twarz z sytuacją, w której cyberprzestępcy zagrażają w sposób realny i dotkliwy zdrowiu, życiu i bezpieczeństwu obywateli.

40 mln dolarów 15 mln dolarów, 10 mln dolarów – takie kwoty musiały wpłacić ofiary, aby współcześni korsarze przekazali klucze deszyfrujące po skutecznym ataku na ich infrastrukturę. Wpłacenie okupu ma także gwarantować, iż wykradzione dane nie zostaną publicznie ujawnione a kolejny atak nie nastąpi. Babuk, Conti, Clop, DarkSide, Avaddon, REvil, Ryuk – to największe, ale nie jedyne grupy które kradną w formie okupu gigantyczne pieniądze (w 2020 roku łączna kwota okupu przekroczyła 350 mln $). Wedle relacji badaczy cyber-śladów większość z tych grup operuje na terenie Rosji (część z nich deklaruje nawet, iż nie atakuje obiektów zlokalizowanych na terenie krajów byłego ZSRR). Są świetnie przygotowane – posiadają odpowiednią infrastrukturę, doskonałych (prawie wszyscy) programistów. Przed atakiem z reguły dowiadują się na temat potencjalnego celu jak najwięcej po to, aby m.in. dostosować kwotę okupu do możliwości ofiary. Sami zachęcają do negocjacji, czasami wręcz zmuszają do ich podjęcia podejmując kolejne ataki na już skompromitowane środowisko całkowicie w ten sposób uniemożliwiając jakąkolwiek działalność. Państwa grupy G7 14 czerwca br. wydały komunikat wskazujący operatorów ransomware jako najpoważniejsze współczesne globalne zagrożenie!

Celem ransomware nie są jednak tylko giganci. W swojej praktyce spotkałem się już z kilkunastoma firmami działającymi wyłącznie lokalnie, które również dołączyły do tzn. „Hall of shame” – listy ofiar cyber gangów. Szczególnie narażone na ataki są biura rachunkowe, kancelarie prawne i wszystkie te instytucje, które dysponują danymi prywatnymi (kontrahentów, klientów, pracowników) i które są w stanie zapłacić za to, aby dane te nie zostały ujawnione.

Czy możemy się obronić przed cyberatakiem?

Co należy zrobić, aby czuć się bezpiecznym? Na rynku cyberbezpieczeństwa wykształciła się specjalizacja w ramach której prowadzone są badania powłamaniowe. Digital forensics – bo tak się ona nazywa – pozwala nie tylko na podjęcie próby odzyskania zaszyfrowanych danych. Opracowuje też swego rodzaju szczepionki – dodatkowe informacje dla programów antywirusowych dzięki którym mogą one rozpoznać i zablokować atak. Szczepionki takie mogą zawierać „próbkę” znanego już złośliwego programu – tzw. sygnatury. Mogą też opisywać sposób i ścieżki infekcji – są to metody behawioralne.

Niestety, 100% bezpieczeństwo w tym zakresie zwyczajnie nie istnieje. Odpowiednio zdeterminowani przestępcy mogą np. wykorzystać taką podatność (błąd bezpieczeństwa) aplikacji, o której nie wie nawet sam jej twórca (tzw. 0-day). Aby jednak zminimalizować ryzyko ataku musimy pamiętać, żeby systematycznie aktualizować zarówno nasze oprogramowanie antywirusowe, jak i wszystkie aplikacje które zainstalowaliśmy na naszych komputerach (także system operacyjny – np. Windowsa). Nie powinniśmy też instalować aplikacji „na wszelki wypadek” – jeśli z jakichś programów nie korzystamy – zwyczajnie je odinstalujmy zmniejszając tym samym powierzchnię ataku. Przestępcy często używają w swej „pracy” phishingu i za pomocą specjalnie spreparowanych e-maili zachęcają nas do pobrania i zainstalowania złośliwego „trojana” który później pobierze właściwy ransomware. Należy więc zwracać uwagę na to od kogo i o jakiej treści e-maile otwieramy na naszych komputerach. Skuteczny atak bardzo często nie ogranicza się do bezpośrednio zaatakowanego komputera (ransomware infekuje inne komputery w sieci – jak wirus). Dobrze jest zatem krytyczne zasoby firmy (m.in. bazy danych zawierające dane osobowe, dokumentację, licencje oraz klucze prywatne) przechowywać w sieci odseparowanej od tej, z której korzystają inne stacje robocze. W końcu elementem obligatoryjnym jest posiadanie działającej kopii zapasowej – najlepiej tworzonej na zasadzie 3/2/1 (3 ostatnie kopie przechowywane w 2 różnych miejscach i aktualizowane codziennie) oraz testowanej pod kątem tego, czy w sytuacji krytycznej będziemy w stanie realnie odzyskać nasze dane. Kopia oczywiście powinna być przechowywana całkowicie poza naszą infrastrukturą przeznaczoną do codziennego użytku.

Firmy, którym szczególnie zależy na uniknięciu przestojów w pracy związanych z infekcją ransomware lub jakąkolwiek inną formą cyberataku powinny systematycznie zlecać tzw. testy penetracyjne. Są to zabiegi mające na celu zasymulowanie ataku i wskazanie wszystkich słabych punktów infrastruktury firmowej po to, aby nie mogli z nich skorzystać cyberprzestępcy. Na polskim rynku istnieje sporo firm specjalizujących się właśnie w wykonywaniu testów penetracyjnych.

Grzegorz Boruszewski

E-WYDANIE TYGODNIKA KRĄG

FacebooktwittermailFacebooktwittermail

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

Skip to content