Atak typu ransomware rosyjskich hakerów z grupy DarkSide na sieć największego w USA operatora rurociągów paliwowych Colonial Pipeline był na tyle skuteczny, że zmusił administrację prezydenta Bidena do ogłoszenia regionalnego stanu wyjątkowego. Pokazuje to rosnące niebezpieczeństwo cyberataków dla okupu wymierzonych w krytyczną infrastrukturę i pilną konieczność zabezpieczania się przed nimi – ostrzega firma Check Point Software Technologies.
Według specjalistów firmy Check Point Software Technologies do ataku wykorzystano ransomware (oprogramowanie szyfrujące) o nazwie Ryuk, które w tym roku zaatakowało ponad 2000 firm. Najwięcej ataków z udziałem tego wariantu szkodliwego oprogramowania przeprowadzono w Japonii (18%) oraz Stanach Zjednoczonych (15%). W Polsce odnotowano w tym roku co najmniej 17 incydentów z udziałem Ryuka.
Wygląda na to, że cyberatak na Colonial był największym w historii, jaki dotychczas został wymierzony w amerykański system energetyczny. Incydent ten jest bardzo podobny do niedawnego ataku SolarWind, wymierzonego w rządową infrastrukturę i zrealizowanego przez rosyjską grupę hakerów.
W wyjaśnianie zdarzenia zaangażowanych jest kilka amerykańskich instytucji federalnych, resort energii, bezpieczeństwa krajowego oraz FBI. Przedstawiciele FBI potwierdzili, że używane oprogramowanie ransomware jest powiązane z grupą hakerów o nazwie DarkSide, która prawdopodobnie ma siedzibę w Europie Wschodniej. Analiza oświadczenia grupy DarkSide sugeruje, że organizacja ta nie jest powiązana z żadnym państwem i kieruje się jedynie pobudkami finansowymi: Naszym celem jest zarabianie pieniędzy, a nie stwarzanie] problemów dla społeczeństwa – czytamy w oświadczeniu DarkSide udostępnionym agencji Reuters.
Według firmy Check Point, DarkSide dostarcza swoje usługi ransomware wielu, innym partnerom. – Oznacza to, że niewiele wiemy na temat prawdziwego autora ataku wymierzonego w Colonial, który może być jedynie jednym z partnerów DarkSide – powiedział Lotem Finkelstein, szef wywiadu zagrożeń w Check Point. – Z ujawnionych informacji wiemy, że był to wyrafinowany i dobrze zaprojektowany cyberatak. Oprogramowanie ransomware jest wykorzystywane w wielu ukierunkowanych atakach, w tym przeciwko innym firmom naftowym i gazowym.
Ataki typu ransomware stają się coraz bardziej wyrafinowane i stanowią rosnący problem. Kampanie te są wymierzone w prywatne firmy, agencje rządowe, szpitale, systemy opieki zdrowotnej, krytyczną infrastrukturę. Firma Check Point szacuje, że w 3 kwartale 2020 r. prawie połowa wszystkich przypadków ransomware obejmowała zagrożenie ujawnieniem skradzionych danych, a średnia płatność okupu wyniosła 233 817 USD – co stanowiło wzrost o 30% w porównaniu z drugim kwartałem 2020 r. Niepokojąca jest również częstotliwość ataków dla okupu. Według firmy Cybersecurity Ventures ataki ransomware będą w tym roku odbywać się co… 11 sekund!
Dane rządowej Platformy Przemysłu Przyszłości (The state of ransomware 2020) wskazują, że w Polsce połowa ataków kończy się skutecznym zaszyfrowaniem danych i żądaniem okupu. Włamywacze za cel częściej niż instytucje publiczne obierają prywatne organizacje. Co ciekawe, połowa zaatakowanych firm w Polsce decyduje się zapłacić okup. Na świecie średnia wynosi z kolei 26%. Ponad połowa (56%) zaatakowanych odzyskuje dane z kopii zapasowych, a 24% wykrywa działania cyberprzestępców, zanim dojdzie do blokady systemów.
Jak wynika z danych Check Pointa, ataki z wykorzystaniem programów typu ransomware są stosunkowo rzadkie i wykrywane są w zaledwie w 2,2% wszystkich organizacji (średnia światowa wynosi 1,9%). Ostatnią głośną kampanią wykorzystującą ransomware był tegoroczny atak na CD Projekt RED.
– Ataki ransomware wróciły w 2020 roku ze zdwojoną siłą, wywierając jeszcze większą presję na organizacjach. Szacuje się, że koszt tego typu ataków wyniósł w 2020 rok 20 miliardów dolarów, co stanowiło znaczny wzrost w stosunku do 11,5 miliarda dolarów w 2019 roku. Aby ustrzec się przed tego typu cyberprzestępczością, firmy muszą wprowadzić szeroko zakrojoną strategię zapobiegania zagrożeniom i nie polegać jedynie na systemach wykrywania i usuwania luk w systemach – podkreśla Maya Horowitz, dyrektor departamentu bezpieczeństwa i badań w firmie Check Point Software.
