Pandemia ransomware trwa w najlepsze! Rosyjscy hakerzy wiodą prym w atakach

Wojciech Głażewski, dyrektor polskiego oddziału firmy Check Point
Wojciech Głażewski, dyrektor polskiego oddziału firmy Check Point

Za ostatnimi głośnymi ostatnimi atakami na Massachusetts Streamline Authority i JBS prawdopodobnie stoją rosyjscy hakerzy z grupy REvil – informuje Check Point Research (CPR). Eksperci bezpieczeństwa cybernetycznego mówią o istnej pandemii ataków dla okupu.

Za ostatnimi głośnymi atakami ransomware na Steamship Authority of Massachusetts oraz największej na świcie firmy przetwarzającej mięso – JBS najprawdopodobniej stoją rosyjskojęzyczni hakerzy z grupy REvil, odpowiedzialnej za dziesiątki poważnych naruszeń realizowanych od 2019 roku.

Atak na brazylijską firmę JBS spowodował wstrzymanie produkcji w Stanach Zjednoczonych, Kanadzie oraz Australii. To kolejny potężny atak ransomware w ostatnich tygodniach. Zdaniem ekspertów, ilość tego typu ataków wzrosła o ponad 102 proc. w porównaniu do zeszłego roku.

REvil, czyli hakerzy w kooperacji

Jednym z kluczowych czynników decydujących o sukcesie, stojącego za atakami na JBS, REvil ma być – zdaniem ekspertów Check Point Research – wykorzystanie tzw. podwójnego wymuszenia, czyli techniki, w której cyberprzestępcy poza szyfrowaniem plików dodatkowo wykradają newralgiczne dane organizacji. Oznacza to, że nie tylko żądają okupu za odszyfrowanie danych, ale również grożą ujawnieniem skradzionych informacji, jeśli nie zostanie uiszczona odpowiednia opłata.

REvil jest również znany z łączenia sił z innymi zaawansowanymi hakerami, którzy są odpowiedzialni za włamywanie się do nowych celów, eksfiltrację danych i szyfrowanie sieci. Grupa REvil zapewnia we wspólnych operacjach oprogramowanie ransomware oraz zarządza częścią finansową: od negocjacji po płatność.

W kwietniu tego roku REvil zademonstrowało użycie techniki tzw. potrójnego wymuszenia. Włamując się do Quanta Computer (znanego tajwańskiego producenta notebooków (ODM) i czołowego partnera biznesowego Apple), zażądano zapłaty blisko 50 milionów dolarów. Jednocześnie cyberprzestępcy ostrzegli, że suma zostanie podwojona, jeśli nie zostanie zapłacona na czas. Ponieważ firma odmówiła kontaktu z cyberprzestępcami, REvil postanowił wymusić okup na Apple, żądając odkupienia projektów ich produktów znalezionych w sieci Quanta Computer. Zaledwie tydzień później REvil usunął projekty Apple’a ze swojej strony publikującej wycieki danych.

Incydenty ransomware coraz powszechniejsze

Z analiz Check Point Research wynika, że średnio ponad 1000 organizacji na całym świecie jest co tydzień atakowanych przez oprogramowanie ransomware. To 102% wzrost ataków porównaniu z początkiem 2020 r!

– W zeszłym roku mówiono o pandemii cyberataków, opisując gwałtowny wzrost zagrożeń sieciowych w trakcie pandemii koronawirusa. Dziś główne zagrożenie jawi się w postaci oprogramowania ransomware i wyraźnie znajdujemy się w środku pandemii ataków dla okupu. Do tej pory widzieliśmy, jak kolejne ataki zdominowały nagłówki gazet: od ataku na CD Projekt, przez rurociąg Colonial, aż po JBS i Massachusetts Steamship Authority – mówi Wojciech Głażewski, Country Manager w Check Point Software.liczba ataków hakerskich

Sektorami, które obecnie doświadczają największej liczby prób ataków ransomware są opieka zdrowotna (109 ataków tygodniowo), usługi użyteczności publicznej (59) oraz ubezpieczenia i usługi prawne (34).

Najczęściej atakowanymi sią firmy z regionu APAC ze średnią 51 ataków tygodniowo. Na drugim miejscu są organizacje z Ameryki Północnej, gdzie dochodzi średnio do 29 prób ataków. W Europie i Ameryce Łacińskiej organizacja mierzy się z 14 próbami tego typu ataków w tygodniu, natomiast w Afryce dochodzi w tym czasie do 4 prób.

Polska na tle Europy i świata wydaje się względnie spokojną przestrzenią. W naszym kraju dochodzi średnio do 5 prób ataków ransomware na organizację tygodniowo. Część z nich okazuje się jednak bardzo skuteczna, o czym przekonał się niedawno CD Projekt RED, a kilka lat temu klinika Budzik. Nie oznacza to, że hakerzy nie obierają polskich celów; od stycznia do maja odnotowano 59% wzrost wszystkich typów cyberataków w porównaniu do analogicznego okresu w 2020 roku. To przyrost wyższy niż w we Włoszech (40%), Czechach (49%) czy Grecji (52%).

Obawiam się, że przyszłość przyniesie jeszcze więcej tego typu incydentów, ponieważ oprogramowanie ransomware stało się potężnym i opłacalnym dla przestępców biznesem. Niestety, im więcej organizacji płaci okupy, tym silniej finansowane są prace badawczo-rozwojowe hakerów w celu przeprowadzania bardziej wyrafinowanych ataków. Dobrym tego przykładem jest technika potrójnego wymuszenia, w której hakerzy zagrażają nie tylko swoim celom, ale także klientom i partnerom. Można śmiało powiedzieć, że oprogramowanie ransomware jest obecnie jednym z największych zagrożeń bezpieczeństwa narodowego, z jakimi mamy do czynienia – dodaje Wojciech Głażewski.