Hakerzy nigdy nie byli tak aktywni jak teraz. Średnio atakowali polskie firmy 2 tys. razy tygodniowo. To wzrost o blisko 100 proc w porównaniu do wakacji br. – ustalił Check Point Research.

Wśród najbardziej zagrożonych branż są sektory użyteczności publicznej, wojskowy, rządowy i finansowy. Hakerzy atakują, by uzyskać dostęp do poufnych danych. Najczęściej dostają się do sieci firmowych za pomocą zdalnego wykonania kodu (w 64 proc. organizacji) oraz ujawnień danych (62 proc.).

W opinii ekspertów tak drastyczny wzrost liczby ataków to wynik zaangażowania naszego kraju w pomoc Ukrainie oraz aktywności grup cyberprzestępczych, przychylnych lub powiązanych z Rosją. Przykładem może być XakNet, któremu przypisuje się atak na polski Senat. Działalność hakerów ma trzy podstawowe cele: zdyskredytowanie instytucji publicznej, kradzież poufnych danych i żądanie okupu.

Check Point Research odnotował większą liczbę ataków na całym świecie, w tym skokowy wzrost dotyczy Polski, Czech i Węgier.

Artykuł Rekordowa liczba cyberataków na Polskę pochodzi z serwisu CRN.

„Panowie, dziś wyp***rzyliśmy połowę Polski, ale nie poinformowaliśmy o tym z powodu nowej strategii, nowej pozycji i nowego nastroju killmilka.

Zorganizujmy nową światową grę. Jak się czują europejskie służby specjalne? Też jesteśmy zmęczeni, ale prze***aliście walkę” – oznajmili przestępcy.

W ostatnich dniach nieznani sprawcy dokonali ataku m.in. na serwery Senatu, łódzkie Centrum Zdrowia Matki Polki oraz rządowy portal eZamówienia. Check Point nie wklucza, że to sprawka prorosyjskich hakerów.

Atak na eZamówienia

Do ataku na eZamówienia doszło w poniedziałek 7.11. Serwis przetargowy został zablokowany przez atak DDoS. „Wiemy, że atak przeprowadzono z serwerów znajdujących się poza granicami kraju” – poinformował rzecznik Urzędu Zamówień Publicznych. Zapewnił, że nie ma ryzyka wycieku wrażliwych danych.

Killnet twierdził wcześniej, że od wybuchu wojny na Ukrainie zaatakował ponad 40 celów w Polsce.

„Killnet wspomniał, że przestanie teraz informować o niektórych swoich atakach, a jedynie będzie je realizować. Twierdzą, że stosowali już tę strategię przeciwko Polsce” – komentuje Sergey Shykevich, menedżer grupy wywiadu zagrożeń w Check Point Software Technologies.

Killnet atakuje CIA i lotniska w USA (tak twierdzi)

Killnet ogłosił też na Telegramie, że przeprowadził ataki na osiem amerykańskich lotnisk, stronę CIA i inne ataki DDoS, m.in. na Departament Handlu USA.

Kilka tygodni temu ugrupowanie ogłosiło, że wstrzymuje cyberataki przeciwko USA, ponieważ nie chce być przyczyną dalszej eskalacji między krajami i sankcji wobec Rosji. Wygląda na to, że przestępcy nie dotrzymali słowa.

Artykuł Połowa Polski zaatakowana – twierdzą rosyjscy hakerzy pochodzi z serwisu CRN.

Instytut Centrum Zdrowia Matki Polki w Łodzi padł ofiarą cyberataku. „Aby zminimalizować jego skutki zdecydowaliśmy się na czasowe wyłączenie systemów informatycznych” – poinformował rzecznik ośrodka.

Jak podaje CSIRT NASK, szpital stara się prowadzić obsługę pacjentów z wykorzystaniem tradycyjnej dokumentacji. Działa oddział ratunkowy. Utrudniona jest diagnostyka. Taka sytuacja trwa od kilku dni – wynika z informacji. Nie jest jasne, jaki był charakter ataku (w sieci pojawią się przypuszczenia, że chodzi o ransomware), ani kim mogą być sprawcy. Prowadzone są działania, które mają doprowadzić do jak najszybszego ponownego uruchomienia systemów IT – według oficjalnego komunikatu.

Ostatnio w kraju odnotowano duży wzrost liczby cyberataków.

Microsoft informował o przeprowadzonych w październiku atakach na transport i logistykę w Polsce.

Od wybuchu wojny na Ukrainie obowiązuje w kraju trzeci stopień alarmowy Charlie-CRP, co dla podmiotów infrastruktury krytycznej (jak szpitale) oznacza m.in. obowiązkowe całodobowe dyżury administratorów i personelu ds. cyberbezpieczeństwa oraz analizę zasobów pod kątem możliwych ataków.

Artykuł Cyberatak na Centrum Zdrowia Matki Polki pochodzi z serwisu CRN.

Rosyjscy hakerzy z XakNet mogli stać za atakami na polski Senat – informuje Check Point Research. Na tę grupę zdaniem ekspertów wydaje się wskazywać charakter ataków DDoS.

XakNet to grupa znana z ataków na największą ukraińską prywatną firmę energetyczną i ukraiński rząd w połowie br. Pod koniec października przyznała się do włamania do dowództwa zasobów ludzkich amerykańskiej armii. Ostatnio atakowała też parlamenty Słowacji i Izraela. W tym drugim przypadku to zemsta – jak twierdzi XakNet – za przekazanie Ukrainie informacji wywiadowczych o irańskich dronach, którymi Rosja atakuje ukraińskie miasta.

Dwa tygodnie temu przypuszczono atak DDoS na strony internetowe bułgarskiego prezydenta i rządu. Tamtejszy kontrwywiad przekazał, iż stoją za nimi rosyjscy hakerzy z grupy Killnet, która współpracowała z XakNet, np. podczas ataków na stronę izraelskiego parlamentu.

Killnet należy do najbardziej aktywnych grup w toczącej się cyberwojnie. Twierdzi, że w ciągu pół roku od agresji Rosji na Ukrainę wykonał ponad 500 ataków na kraje wspierające Ukrainę. Na Polskę takich ataków miało być ponad 40.

Niedawno doszło do ataku na porty lotnicze w kraju i oraz na transport i logistykę.

„XakNet jest stosunkowo nowy, więc niewiele o nich wiadomo. Wiemy, że są prorosyjscy, atakują proukraińskie cele. Ta grupa lubi atakować za pomocą DDoS. Obecnie istnieje około 2 tysięcy kont śledzących grupę na Telegramie. Skala i zakres ich działalności jest jednak w tej chwili niejasny” – informuje Liad Mizrachi z Check Pointa. Jak ustalono, grupy te nie zawsze współpracują z Kremlem, ale wspierają Rosję.

Bloomberg podał w czerwcu br., że amerykańska firma Mandiant zajmująca się cyberbezpieczeństwem ujawniła, iż ​​rosyjski wywiad przekazał skradzione poufne informacje do XakNetu.

Mandiant uważa również, że działania XakNetu są koordynowane z operacjami grup hakerskich powiązanymi z rosyjskim wywiadem wojskowym (GRU).

Artykuł Wytypowano sprawców ataku na polski Senat pochodzi z serwisu CRN.

Marszałek Tomasz Grodzki łączy zdarzenie z przegłosowaniem uchwały, uznającej władze Federacji Rosyjskiej za reżim terrorystyczny.

Zdaniem analityków Check Point Software Polska należy do 25 najbardziej podatnych na ataki hakerskie, a zeszłym miesiącu w wielu krajach naszego regionu zwiększyła się liczba zagrożeń. We wrześniu polskie firmy doświadczyły największego wzrostu i rekordowej liczby cyberataków w 2022 r. W pierwszym tygodniu minionego miesiąca na jedną organizację odnotowano średnio 1033 ataków, a pod koniec września już 1629 (o 60 proc. więcej).

Microsoft informował natomiast o przeprowadzonym w październiku ataku ransomware na transport i logistykę na Ukrainie i w Polsce. Sposób działania zdaniem ekspertów przypominał rosyjskie grupy hakerskie.

W dniu 19 października premier Morawiecki kolejny raz przedłużył, tym razem do 30 listopada br., obowiązujący od końca lutego br. trzeci stopień alarmowy Charlie-CRP na terenie całego kraju. Jego obowiązywanie dla podmiotów infrastruktury krytycznej (do której należy administracja centralna) oznacza m.in. całodobowe dyżury administratorów kluczowych systemów organizacji i personelu decyzyjnego w sprawach bezpieczeństwa, a także przegląd zasobów pod względem możliwości ich wykorzystania w razie ataku.

Artykuł Hakerzy zaatakowali strony Senatu pochodzi z serwisu CRN.

DHL jest najczęściej wykorzystywaną marką w hakerskich atakach phishingowych – według Check Point Research. Logo niemieckiej firmy logistycznej wykorzystywane było w 22 proc. ataków typu brand phishing w III kw. br.

Innymi często nadużywanymi przez przestępców markami są Microsoft (16 proc.) i LinkedIn (11 proc.). Z tym że LinkedIn mocno stracił na „popularności” (52 proc. w I kw. br. i 45 proc. w II kw. br.).

Ataki są skierowane również przeciwko polskim klientom DHL, oszuści korzystają też z wizerunku Poczty Polskiej oraz InPostu. Ostrzegał przed tym niedawno CERT Polska.

Wzrost DHL może być częściowo spowodowany globalną kampanią phishingową, przed którą gigant logistyczny ostrzegał tuż przed wakacjami.

Do czołowej „10” zawitał Instagram. Pod tę markę przestępcy podszyli się w kampanii phishingowej „blue badge”, odkrytej we wrześniu br.

Nie traćcie czujności w związku z LinkedIn

Ataki na firmy kurierskie i spedycyjne można tłumaczyć zbliżającymi się świętami. Mimo dużego spadku dotyczącego LinkedIn eksperci ostrzegają, by nie tracić czujności i nadal zwracać uwagę na wszelkie e-maile lub komunikaty, które rzekomo pochodzą z tego serwisu.

Jak działają przestępcy

Próbują podszywać się pod oficjalną witrynę internetową firmy, używając nazwy domeny lub adresu URL i projektu strony www podobnego do oryginalnej. Link do fałszywej strony może zostać wysłany za pośrednictwem e-mail lub SMS. Użytkownik może także zostać przekierowany podczas przeglądania sieci lub przez złośliwą aplikację mobilną.

Fałszywa strona internetowa zazwyczaj zawiera formularz przeznaczony do kradzieży danych uwierzytelniających ofiar (płatności, danych osobowych), dlatego eksperci Check Pointa zalecają ostrożność podczas dzielenia się danymi.

Najczęściej wykorzystywane do phishingu marki w III kw. 2022 r.

1.            DHL (dotyczy 22% wszystkich ataków phishingowych na świecie)

2.            Microsoft (16%)

3.            LinkedIn (11%)

4.            Google (6%)

5.            Netflix (5%)

6.            WeTransfer (5%)

7.            Walmart (5%)

8.            Whatsapp (4%)

9.            HSBC (4%)

10.         Instagram (3%)

Artykuł Cyberprzestępcy podają się za kurierów i Microsoft pochodzi z serwisu CRN.

Organizacjom zagraża luka w Microsoft Office 365 Message Encryption (OME) – ostrzega WithSecure (dawniej F-Secure Business). Cyberprzestępcy, którzy pozyskają wystarczająco dużą liczbę e-maili OME, mogą wykorzystać wyciek do częściowego lub pełnego ustalenia treści wiadomości.

Usługa Microsoft Office 365 Message Encryption jest używana przez organizacje wysyłania zaszyfrowanych wiadomości e-mail.

„Atakujący, mając dostęp do dużej liczby maili, mogą być w stanie odszyfrować wiadomości. Im większa liczba e-maili w ich rękach, tym łatwiejszy i dokładniejszy jest ten proces. Cyberprzestępcy mogą wykorzystać archiwa wiadomości skradzionych podczas włamania na konta, serwery poczty elektronicznej bądź kopie zapasowe danych” – wyjaśnia Harry Sintonen, konsultant WithSecure i badacz cyberbezpieczeństwa, który odkrył lukę.

Hakerzy mogą przeprowadzić analizę wiadomości nawet offline. Nie da się już uniemożliwić im odszyfrowania e-maili, jeżeli wejdą w ich posiadanie. Do wykorzystania luki nie jest potrzebna znajomość kluczy szyfrujących, a zastosowanie schematu Bring Your Own Key (BYOK) nie rozwiązuje problemu.

Microsoft nie załatał luki

Harry Sintonen podzielił się swoimi badaniami z Microsoftem już w styczniu 2022 r., jednak koncern nie wydał poprawki – twierdzi WithSecure.

„Każda organizacja korzystająca z OME do szyfrowania wiadomości e-mail, może mieć poważne problemy. Zwłaszcza te firmy, które mają wymagania dotyczące poufności umieszczone w umowach lub lokalnych przepisach. Trzeba zadać sobie pytanie, jaki wpływ na działalność danego podmiotu będzie miała kradzież tych danych” – podkreśla Sintonen.

WithSecure zaleca w tej sytuacji unikanie korzystania z OME jako sposobu na zapewnienie poufności wiadomości e-mail.

Artykuł Luka w Microsoft Office 365 pochodzi z serwisu CRN.

Od początku pandemii w marcu 2020 r. do prób naruszenia bezpieczeństwa infrastruktury IT doszło w 13 proc. szpitali w Polsce. W tym 77 proc. zapewnia, że wykryło problem tego samego dnia – według badania Biostat dla Fortinetu.

Cyberprzestępcy najczęściej atakowali za pomocą phishingu (54 proc.) i DDoS (15 proc.), a rzadko z użyciem oprogramowania szpiegującego (8 proc.). W 31 proc. placówek, które doświadczyły próby naruszeń, doszło do włamań na konta personelu.

Personel jest głównym problemem

Aż 76 proc. badanych dostrzega wyzwania związane z cyberbezpieczeństwa w swojej placówce. Wśród nich najwięcej dotyczyło pracowników. Najczęściej podkreślano niewystarczającą liczbę szkoleń (21 proc.). Prowadzono je regularnie tylko w 16 proc. placówek w ostatnich dwóch latach, a okazjonalnie w 38 proc. W 1/3 szpitali szkoleń nie było, lecz są planowane.

Brakuje specjalistów
Według badania w 36 proc. szpitali brakuje specjalistów zajmujących się infrastrukturą IT. Jest to stan, który utrzymuje się w ciągu ostatnich dwóch lat. Wówczas jedynie w 23 proc. placówek liczba specjalistów wzrosła.

Szpitale cieszą się ze swojego bezpieczeństwa

Respondenci są nie do końca konsekwentni, bo z jednej strony dostrzegają problemy związane z cyberochroną, narzekają na braki specjalistów i szkoleń, a z drugiej są zadowoleni z obecnego stanu infrastruktury IT w szpitalach (76 proc.) i poziomu bezpieczeństwa (74 proc.).  

Czym dysponują szpitale, by chronić się przed atakami:
Najpopularniejsze są antywirusy (92 proc. wskazań),
firewalle (91 proc.),
VPN (89 proc.),
zabezpieczenia urządzeń końcowych (78 proc.).

W porównaniu z badaniem Fortinetu z 2014 r. znacząco wzrosła popularność VPN (z 64 proc. 6 lat temu) i ochrony końcówek (z 72 proc).

Uwagę zwraca jednak nadal niska popularność Zero Trust Access (26 proc. w br.).

Jak lepiej ochronić placówki medyczne

Zdaniem ekspertów Fortinetu z uwagi na charakter danych (wrażliwe i unikalne dane pacjentów), jakie przetwarzają jednostki ochrony zdrowia, bardzo istotne jest, aby dysponowały one nowoczesną ochroną, jak zapory sieciowe nowej generacji (NGFW), czy EDR/XDR do ochrony urządzeń końcowych. Rozwiązania te powinny być zunifikowane w ramach jednej platformy, która zapewni lepszy wgląd w stan bezpieczeństwa środowiska IT.

Równie ważne jest posiadanie polityki bezpieczeństwa, szkolenia personelu i wdrażanie podejścia Zero Trust Network Access.

Budżety pójdą w górę

Prawie połowa badanych już teraz spodziewa się, że w 2023 r. będzie dysponowała większym budżetem na bezpieczeństwo IT. W ciągu minionych dwóch lat środki na ten cel w większości przypadków pozostawały na tym samym poziomie.

Wśród rozwiązań, które mają być wdrażane w przyszłości, respondenci wskazywali m.in. systemy wykrywania i zapobiegania włamaniom – IDS+IPS, a także ochronę urządzeń końcowych.

——————-

Badanie zostało przeprowadzone metodą CATI w lipcu 2022 r. przez Biostat na próbie 100 placówek medycznych w Polsce, w tym prywatnych i publicznych. Ankietowano osoby odpowiedzialne za szpitalną infrastrukturę IT.

Artykuł Ataki na szpitale w Polsce. A te są zadowolone z bezpieczeństwa pochodzi z serwisu CRN.

Microsoft poinformował, iż analizuje dwie luki w zabezpieczeniach zero-day dotyczące programów Exchange Server 2013, 2016 oraz 2019. Pierwsza to CVE-2022-41040 typu Server-Side Request Forgery (SSRF), a druga CVE-2022-41082 umożliwia zdalne wykonanie kodu, gdy PowerShell jest dostępny dla atakującego.

Aby atakujący mogli wykorzystać te błędy, niezbędny jest uwierzytelniony dostęp do podatnego serwera Exchange – twierdzi koncern.

Microsoft: „ograniczone ataki”

O lukach poinformowała wietnamska firma GTSC, specjalizująca się w cyberbezpieczeństwie. Twierdzi, że już w sierpniu br. wspomniane podatności w Exchange Server wykorzystywano do ataków na klientów. Pozwalały napastnikom penetrować sieć przedsiębiorstwa.

Microsoft przyznaje, że „zdaje sobie sprawę z ograniczonych ataków ukierunkowanych wykorzystujących te dwie luki”. W tych atakach CVE-2022-41040 może umożliwić uwierzytelnionej osobie atakującej zdalne wywołanie CVE-2022-41082.

Koncern zapewnił, iż w przyspieszonym tempie pracuje nad harmonogramem wydania poprawki. Zalecił szereg środków zaradczych i wydał wskazówki mające pomóc klientom chronić się przed atakami.

Rekomenduje m.in. klientom Exchange Server wyłączenie zdalnego dostępu PowerShell dla użytkowników, którzy nie są administratorami.

Wydano też np. rozwiązanie łagodzące problem w usłudze Exchange Emergency Mitigation Service (EEMS), wskazówki dotyczące interfejsu skanowania antymalware (AMSI) oraz zalecono audyt wyjątków antywirusowych w celu optymalizacji wykrywania i blokowania wykorzystania luk w zabezpieczeniach Exchange.

Artykuł Ataki na luki w Exchange Server. Microsoft ostrzega pochodzi z serwisu CRN.

W sierpniu Polska odnotowała 42-proc. wzrost ataków cybernetycznych – według Check Point Research. To rekordowy przyrost miesięczny.

Na początku sierpnia br. tygodniowo dokonywano w naszym kraju przeciętnie 687 ataków na pojedynczą sieć firmową. Pod koniec miesiąca liczba ta wyniosła już 977, osiągając najwyższą wartość w ostatnich dwóch kwartałach.

Na świecie jest jeszcze gorzej – w ostatnim tygodniu sierpnia br. liczba ataków na pojedynczą organizację wyniosła średnio 1180.

Co wysyłają hakerzy na polskie komputery i smartfony?

Najczęściej wykrywane są botnety, cryptominery i infostealery. Polski krajobraz zagrożeń wyróżnia się tym, że większość (52 proc.) złośliwych plików dostarczanych jest przez strony internetowe. Na świecie głównym wektorem ataków są e-maile (75 proc.).

Obecnie najbardziej rozpowszechnionym szkodliwym oprogramowaniem w krajowych sieciach firmowych jest Formbook (wykryty aż w 8,2 proc. sieci), który wyprzedził Emoteta – wynika z analiz przedstawionych przez Check Pointa. Eksperci ostrzegają również przed powrotem mobilnego oprogramowania szpiegującego Joker.

FormBook to infostealer na system Windows, który może zbierać dane uwierzytelniające, zrzuty ekranu, monitorować i rejestrować naciśnięcia klawiszy, a także pobierać i uruchamiać pliki.

Joker to oprogramowanie szpiegujące na Androida. Może kraść SMS-y, listy kontaktów i informacje o urządzeniu, a także rejestrować ofiarę w płatnych usługach premium bez jej zgody. 

Eksperci Check Pointa poinformowali również, że najczęściej wykorzystywaną luką na świecie jest Apache Log4j Remote Code Execution, która wpływała na 44 proc. organizacji na całym świecie.

Artykuł Lawina cyberataków w Polsce pochodzi z serwisu CRN.