Rodzaje ataków hackerskich

28 marca 2022, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

Cyfrowe narzędzia dają firmom bezprecedensowe możliwości rozwoju biznesu. Cloud computing, błyskawiczne upowszechnianie Internetu Rzeczy (IoT), praca zdalna – wszystkie te rozwiązania pozwalają firmom elastycznie i szybko reagować na rynkowe szanse i zagrożenia, zwiększać przewagę nad konkurencją i ograniczać koszty. To dobra wiadomość. Gorszą wiadomością jest to, że przez rosnący udział opartych na Internecie rozwiązań dla biznesu, firmy stały się niezwykle atrakcyjnym celem dla grup przestępczych działających w sieci. Na jakie rodzaje ataków hackerskich narażone są dziś firm? Wymieniamy poniżej.

W tym artykule:

Ataki hackerskie – prawdziwe zagrożenie dla firm
Typy ataków hackerskich
Kto właściwie dokonuje ataków hackerskich?
Największe ataki hackerskie
Jak chronić się przed różnymi rodzajami ataków hackerskich?

Dowiedz się więcej o ochronie przed atakami DDoS

Ataki hackerskie – prawdziwe zagrożenie dla firm

Wykorzystują one słabości zabezpieczeń i błędy popełniane przez użytkowników rozwiązań online, aby dokonywać kradzieży, sabotażu czy innych działań przestępczych i czerpać nielegalne zyski. Według ubiegłorocznego raportu Cybersecurity Ventures w 2021 r. grupy zajmujące się cyberprzestępczością wyrządziły szkody warte ponad 6 bln dolarów. Europol wskazuje, że cyberprzestępczość już niemal dekadę temu była bardziej dochodowa od łącznej wartości globalnej sprzedaży marihuany, kokainy i heroiny¹

Rosnące zagrożenie sprawia, że firmy potrzebują uwzględniać cyberbezpieczeństwo w swojej strategii i brać pod uwagę bezpieczeństwo systemów i danych przy każdym rodzaju biznesowej działalności – odpowiedzialność za nie ponoszą wszyscy pracownicy i menadżerowie, a nie tylko działy IT.

Najpierw jednak warto wiedzieć, przed czym dokładnie się zabezpieczać i jakie mogą być konsekwencje nieodpowiedzialności czy lekkomyślności w cyberbezpieczeństwie. Poznaj najczęstsze typy ataków hackerskich na przedsiębiorstwa i zobacz, jaki realnie mogą mieć wpływ na ekonomię.

Typy ataków hackerskich

Ataki hackerskie można podzielić na kilka kategorii, zależnie od tego, jakie metody są stosowane do pokonania zabezpieczeń ofiary. Najpopularniejsze rodzaje ataków hackerskich to:

Ataki DDoS

Ataki DDoS („Distributed Denial of Service”) są stosunkowo prymitywne, ale bardzo skuteczne. Polegają na bombardowaniu serwerów firmy falą połączeń z innych urządzeń. Serwer otrzymuje nawet setki tysięcy zapytań na sekundę, co może bardzo spowolnić jego pracę lub doprowadzić do zupełnego jej przerwania. Do prowadzenia takich ataków hackerzy stosują często sieci obejmujące tysiące zainfekowanych przez malware komputerów czy podłączonych do sieci urządzeń IoT. Na polecenie przestępców takie urządzenia mobilne czy komputery-zombie jednocześnie łączą się z wybranym celem, blokując jego pracę.

Phishing

To najczęściej stosowana przez przestępców metoda wyłudzania danych czy pokonywania zabezpieczeń firmowych. Ofiara otrzymuje wiadomość (np. e-mail, wiadomość na komunikatorze internetowym, SMS czy nawet na wewnątrzfirmowym czacie w Slacku lub Microsoft Teams), która nakłania go bądź do pobrania pliku, bądź do wejścia na dany adres.

Wiadomości są często doskonale przygotowane i bardzo trudne do odróżnienia od prawdziwych. W przypadku wyjątkowo wartościowych celów dla przestępców mogą być one bardzo dobrze spersonalizowane i adresowane do jednego, konkretnego odbiorcy o szczególnym znaczeniu, jak np. do dyrektora, prezesa czy człowieka odpowiadającego za bezpieczeństwo sieciowe (to tzw. spear phishing). Cyberprzestępcy mogą podnieść wiarygodność takich fałszywych wiadomości phishingowych poprzez odpowiednio przeprowadzony rekonesans, który pozwala dostarczyć e-maila dokładnie w okresie, w którym interesariusze spodziewają się odpowiedzi na określony temat.

Dwa najczęściej spotykane motywy wysyłania wiadomości phishingowych to:

Umieszczanie na firmowych komputerach malware za pośrednictwem zainfekowanego załącznika (tak działały zarówno Black Energy, jak i wczesne wersje niesławnego NSO Pegasus).

Wyłudzanie loginów i haseł przez przekierowanie użytkownika na stronę łudząco podobną do strony logowania do aplikacji firmowej czy banku.

Ataki siłowe

Służą do przełamywania haseł i są bardzo skuteczne w przypadku słabych zabezpieczeń. Komputery hackerów podejmują tysiące prób logowania do systemu, wykorzystując listę zawierającą tysiące czy dziesiątki tysięcy popularnych haseł. Są stosunkowo rzadkie – w 2017 r. odpowiadały za ok. 5 proc. potwierdzonych wycieków danych ². Ataki siłowe mogą być jednak bardzo skuteczne, szczególnie, że hasła są coraz słabszym zabezpieczeniem w związku z rosnącą mocą obliczeniową komputerów.

Ataki na webaplikacje

Te rodzaje działań hackerskich to wszelkie ataki wykorzystujące obecność firmy w Internecie. Często ich celem padają sklepy internetowe, ale mogą być wymierzone w dowolną aplikację internetową. Ataki te obejmują rozmaite techniki takie, jak wstrzykiwanie SQL i zainfekowanych skryptów. Dzięki temu hackerzy mogą przejąć kontrolę nad aplikacją bądź sesją użytkownika i wykorzystać tak uzyskany dostęp do np. rozsiewania malware czy pozyskania danych z firmy. Niektórym z tych ataków można zapobiec, monitorując luki w zabezpieczeniach oraz korzystając z zapór sieciowych aplikacji internetowych czy z bezpiecznego programowania.

Ataki insiderskie

Jednym z największych zagrożeń dla działalności przedsiębiorstwa są potencjalne szkodliwe działania jego własnych pracowników. Zagrożenia „insiderskie” mogą wynikać zarówno z niedbałości – nieostrożni pracownicy mogą ujawniać swoje loginy, hasła lub poufne dane nieupoważnionym osobom – jak i z poważniejszych pobudek. Powaga tego zagrożenia wynika z tego, że pracownicy mają zazwyczaj o wiele szerszy dostęp do firmowych danych, dobrze wiedzą też, gdzie szukać najcenniejszych informacji. Według Indeksu Zagrożeń IBM X-Force 2020 to właśnie zagrożenia płynące z wewnątrz były głównym czynnikiem odpowiadającym za niemal 200-procentowy wzrost incydentów z wyciekiem danych w 2019 roku. Podstawowym sposobem obrony przed tego rodzaju zagrożeniami jest precyzyjne zarządzanie uprawnieniami poszczególnych użytkowników do korzystania z firmowych zasobów: dane szczególnego znaczenia powinny być osiągalne jedynie dla tych pracowników, którzy bezwzględnie muszą mieć do nich dostęp.

Kto właściwie dokonuje ataków hackerskich?

Podobnie jak zróżnicowane są typy ataków, różny charakter mają także same grupy za nimi stojące:

Są wśród nich doskonale zorganizowane grupy specjalistów od przełamywania zabezpieczeń, opłacane i tworzone przez rządy (szczególnie aktywne są grupy działające z terytorium Rosji, Chin, Iranu, Korei Płn., USA, Wielkiej Brytanii, Holandii czy Izraela).

Można także wyróżnić zorganizowane grupy przestępcze specjalizujące się w wykradaniu danych bądź tworzeniu oprogramowania ransomware.

Zdarzają się także pojedynczy przestępcy, którzy biorą na cel konkretne przedsiębiorstwa bądź osoby i usiłują na przykład wyłudzać okupy od firm. Często grożą wtedy ujawnieniem ich danych. Wielu z nich nie ma nawet dużego doświadczenia w pracy z systemami komputerowymi. Tzw. script kiddies posługują się darmowymi, ściąganymi z sieci narzędziami hackerskimi do działań z pogranicza przestępczości i zwykłego wandalizmu.

W ostatnich latach coraz częściej pojawiają się wreszcie przestępcy oferujący tzw. Hacking as a Service, czyli mroczny odpowiednik usług chmurowych. Dokonują oni ataków DDoS czy włamań do firmowych sieci w celu wykradzenia danych czy zablokowania systemów w zamian za opłatę w Bitcoinach.

Największe ataki hackerskie

Firma analityczna CyberSecurity Ventures szacuje, że gdyby potraktować straty wyrządzone przez cyberprzestępców w 2021 r., jako PKB państwa byłoby ono trzecią największą gospodarką świata po USA i Chinach. Tak naprawdę hackerzy dopiero się rozkręcają, bo według prognoz tej samej firmy, do 2025 r. straty wywołane działalnością hackerów mogą przekroczyć 10,5 bln USD rocznie ³. Zagrożone są zarówno małe i średnie firmy, jak i wielkie przedsiębiorstwa, obsługujące krytyczną infrastrukturę. To one często padają ofiarą spektakularnych cyberataków.

Opisaliśmy już najczęstsze rodzaje ataków hackerskich, a teraz pokażemy, jak wyglądają one w praktyce. Oto kilka największych ataków hackerskich w historii:

Colonial Pipeline

Atak z 2021 r., który wstrząsnął amerykańskim rynkiem paliw. W maju hakerzy powiązani z gangiem ransomware DarkSide dostali się do sieci Colonial Pipeline, jednej z największych amerykańskich firm naftowo-gazowych. Skutkiem włamania było wstrzymanie działania największego rurociągu transportującego benzynę i paliwo lotnicze na wschodnim wybrzeżu USA. Włamywacze ukradli ponad 100 gigabajtów danych firmy, grożąc, że udostępnią je w Internecie, jeśli nie zostanie zapłacony okup.

Firma zapłaciła ponad 4 mln USD okupu w Bitcoinach, aby odzyskać kontrolę nad własnymi komputerami. Ponad 2 mln USD zostało odzyskanych przez FBI, ale straty były o wiele większe, bo przepływ paliwa w rurociągu został wstrzymany przez 5 dni. Jako że rurociąg firmy odpowiada za 45 proc. paliwa przesyłanego na amerykańskim wschodnim wybrzeżu, ceny benzyny gwałtownie skoczyły, a nawet 87 proc. stacji benzynowych w amerykańskiej stolicy wyczerpało zupełnie swoje zapasy. Amerykański Departament Stanu wyznaczył 10 mln USD nagrody za wskazanie sprawców.

WannaCry i NotPeya

To dwa największe i najbardziej kosztowne cyberataki w historii. Oba miały globalną skalę. Objęły komputery na niemal wszystkich kontynentach i kosztowały miliardy dolarów. Co gorsza, nastąpiły w odstępie zaledwie kilku tygodni.

Najpierw 12 maja 2017 r. wirus WannaCry zainfekował ponad 200 tys. komputerów w 150 krajach. Wystarczyło mu na to kilkanaście godzin. Robak szyfrował dane przejętych urządzeń i wyświetlał wiadomość z żądaniem okupu, ale nawet te z ofiar, które zdecydowały się zapłacić, nigdy nie dostały kluczy do odszyfrowania danych. Zdaniem służb USA i Wielkiej Brytanii, wirusa stworzono na zlecenie rządu Korei Płn.

WannaCry był największym takim atakiem w historii, ale krótko, bowiem ponad miesiąc później - 27 czerwca 2017 r. komputery w Ukrainie zaczęły padać ofiarą innego robaka. Wirus, nazwany przez ekspertów NotPetya, błyskawicznie wyrwał się jednak z tego kraju i zaczął infekować urządzenia na całym świecie. Jego ofiarami padły kijowskie szpitale, system monitorowania wyłączonych reaktorów w Czarnobylu, francuski konglomerat budowlany, amerykańska globalna firma prawnicza czy fabryka czekolady w Australii. Szczególnie mocno dotknięta atakiem była globalna firma spedycyjna Maersk. Jej systemy komputerowe zostały niemal zupełnie wyłączone z akcji, przez co porty kontenerowe na całym świecie pozostały zamknięte dla tysięcy ciężarówek. Amerykanie szacowali, że wirus, za którego stworzenie miało odpowiadać rosyjskie GRU, spowodował straty warte 10 mld USD.

SolarWinds

SolarWinds to firma tworząca oprogramowanie do zarządzania wewnętrznymi sieciami komputerowymi firm i organizacjami. Jej program Orion jest wykorzystywany przez 33 tys. organizacji na całym świecie, w tym 425 z 500 największych przedsiębiorstw w USA. Na początku 2020 r. grupa hackerów, być może powiązana z rosyjskim rządem, zdołała pokonać zabezpieczenia firmy i spenetrować jej własną sieć. Napastnicy podmienili kod aplikacji Orion na zmodyfikowaną przez siebie wersję. Zawierała ona furtkę, która pozwalała hackerom wchodzić niepostrzeżenie do sieci firm korzystających z zainfekowanego programu. Automatyczne aktualizacje oprogramowania prowadziły do automatycznych infekcji. Zainfekowaną wersję miało pobrać 18 tys. klientów firmy, w tym część amerykańskich rządowych departamentów i NATO.

BlackEnergy

To największy w historii atak wymierzony w infrastrukturę krytyczną. Zawierające malware wiadomości phishingowe zostały wysłane do wysokich rangą pracowników ukraińskich firm energetycznych. 23 grudnia 2015 r. napastnicy wykorzystali dostęp do komputerów energetyków. Wyłączyli na nawet 6 godzin energię elektryczną na części terytorium Ukrainy, pozbawiając prądu niemal ćwierć miliona ludzi. Rok później atak z użyciem innych, jeszcze bardziej zaawansowanych narzędzi wyłączył prąd w części Kijowa. Ślady działalności Black Energy odkryto później w obsługujących krytyczną infrastrukturę systemach na całym świecie, także w Polsce.

Jak chronić się przed różnymi rodzajami ataków hackerskich?

W jaki sposób może przebiegać atak cyberprzestępców na firmę? Jest kilka możliwych scenariuszy i kilka sposobów zabezpieczenia firmowej sieci i danych przed zagrożeniem.

Phishing

Najczęściej spotykanym i potencjalnie jednym z najbardziej niebezpiecznych ataków na polskie firmy są ataki phishingowe, których skutkiem może być utrata danych po nieopatrznym udostępnieniu loginu i hasła przez pracownika bądź zainfekowanie firmowych komputerów przez malware. Obrona przed takim atakiem jest możliwa, ale wymaga zarówno technologicznych zabezpieczeń, jak i edukacji.

Technologiczne zabezpieczenia mogą polegać na rozwiązaniach takich, jak Netia Ochrona Poczty Usługa ta oferuje filtrowanie i blokowanie potencjalnych wiadomości phishingowych oraz zaawansowaną ochronę przed wyciekami danych z poczty elektronicznej (to właśnie od niej zaczyna się 9 na 10 ataków phishingowych).

Edukacja opiera się na uświadamianiu pracownikom zagrożeń i uczulaniu ich na możliwe sposoby wyłudzania od nich danych. Pomocnym narzędziem jest tutaj oferowany przez Netię Phishing-On-Demand, czyli test polegający na wysyłaniu pracownikom kontrolowanych wiadomości i sprawdzający ich gotowość na niebezpieczeństwa płynące z sieci.

DDoS

Wiele firm pada ofiarą ataków DDoS. Mogą one powodować paraliż stron internetowych firmy, co w przypadku np. sklepu internetowego prowadzi do błyskawicznych strat. Mogą też utrudniać funkcjonowanie serwerów pocztowych czy innych, kluczowych dla prawidłowego funkcjonowania firmy, narzędzi. Mogą nawet uderzać w produkty firmy i ich użytkowników. Ataki DDoS są niezwykle bolesne np. dla firm z e-commerce czy branży gamingowej, bo napastnicy mogą próbować wyłączyć serwery dystrybuujące gry i aktualizacje, czy zablokować serwery obsługujące grę multiplayer. Atak DDoS może w takiej sytuacji uniemożliwić graczom granie w zakupioną grę, co z kolei może przełożyć się na zwroty, reklamacje i utracone dochody.

Netia oferuje usługę DDoS Protection, która filtruje podejrzany ruch w sieci i zabezpiecza komputery przed paraliżującym atakiem.

Ataki na sieć firmy

Sama sieć firmy także może paść ofiarą napastników, którzy korzystając z jej słabych zabezpieczeń, mogą podjąć próby penetracji systemu. Ich celem mogą być kradzież danych bądź umieszczenie na firmowych urządzeniach oprogramowania malware czy ransomware. Zasadniczymi metodami obrony przed takimi atakami są:

Po pierwsze, stała aktualizacji oprogramowania wykorzystywanego w firmie, w tym systemów operacyjnych i oprogramowania urządzeń mobilnych. Kolejne łaty zazwyczaj zamykają najczęściej wykorzystywane przez przestępców luki.

Po drugie, nie można zapominać o narzędziach do monitorowania i zabezpieczania ruchu przychodzącego, wychodzącego i następującego wewnątrz firmowej sieci. Warto zacząć od podstawowej ochrony punktu styku z Internetem w postaci a href="https://www.netia.pl/pl/srednie-i-duze-firmy/produkty/bezpieczenstwo/netia-managed-utm">rozwiązań UTM
i oprogramowania antywirusowego. Oprócz tego dobrze sięgnąć po rozbudowane systemy monitorowania zagrożeń i reakcji na incydenty. Takie systemy rozbudowali najlepsi specjaliści ds. Bezpieczeństwa IT z Netia Security Operations Center

Ataki na połączenia i przesyłane dane

Niezwykle istotne jest też odpowiednie zabezpieczenie połączeń pracowników, klientów i kontrahentów z serwerami firmy, zwłaszcza w przypadku pracowników pełniących swoje obowiązki zdalnie. Do przesyłania wiadomości na i z serwera warto posługiwać się bezpiecznymi połączeniami VPN, stosować program do szyfrowania plików w celu zabezpieczenia szczególnie istotnych danych i stosować kryptograficzne zabezpieczenia połączeń, takie jak SSH.

W przypadku wielu firm dobrym krokiem w celu zabezpieczenia kluczowych danych jest skorzystanie z takich rozwiązań, jak bezpieczne serwery VPS. Pozwalają one na przechowywanie danych w profesjonalnie zabezpieczonym data center. W takim wypadku jeszcze istotniejsze jest korzystanie z bezpiecznych, szyfrowanych połączeń.

¹ https://www.europol.europa.eu/publications-events/main-reports/eu-serious-and-organised-crime-threat-assessment-socta-2013

² https://www.varonis.com/blog/brute-force-attack

³ https://cybersecurityventures.com/cybercrime-damage-costs-10-trillion-by-2025/

Dowiedz się więcej o Netia DDoS Protection

Może Cię również zainteresować...

04 listopada 2021

Czy VPN jest legalny?

Internet to dzisiaj dla większości osób rzecz całkowicie powszednia. Niewiele osób zagłębia się jednak w to, w jaki sposób działa on od strony technicznej i jak można się z nim połączyć. Jedną z metod, szczególnie wykorzystywanych w warunkach...

Czytaj

Dowiedz się więcej

Umów kontakt

Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

W Netii odpowiedzialny jest za rozwój oferty usług bezpieczeństwa IT. Od początku kariery zawodowej związany z branżą telekomunikacyjną - wcześniej pracował w Tele2 Polska, Exatel, i T-mobile Polska. Ekspert w tworzeniu zaawansowanych rozwiązań ICT w modelu usługowym dla Klientów biznesowych. Prelegent na różnych konferencjach oraz autor publikacji poświęconych tematyce bezpieczeństwa teleinformatycznego. Interesuje się nowymi technologiami oraz tematami związanymi z szereko rozumianą e-gospodarką. Absolwent Szkoły Głównej Handlowej w Warszawie oraz międzynarodowego programu CEMS MIM.
Wyświetl profil Eksperta na LinkedIn

Wszystkie posty tego autora

Komentarze

Zostaw komentarz

Skip Navigation Links.