Podobnie jak zróżnicowane są typy ataków, różny charakter mają także same grupy za nimi stojące:
Największe ataki hackerskie
Firma analityczna CyberSecurity Ventures szacuje, że gdyby potraktować straty wyrządzone przez cyberprzestępców w 2021 r., jako PKB państwa byłoby ono trzecią największą gospodarką świata po USA i Chinach. Tak naprawdę hackerzy dopiero się rozkręcają, bo według prognoz tej samej firmy, do 2025 r. straty wywołane działalnością hackerów mogą przekroczyć 10,5 bln USD rocznie 3. Zagrożone są zarówno małe i średnie firmy, jak i wielkie przedsiębiorstwa, obsługujące krytyczną infrastrukturę. To one często padają ofiarą spektakularnych cyberataków.
Opisaliśmy już najczęstsze rodzaje ataków hackerskich, a teraz pokażemy, jak wyglądają one w praktyce. Oto kilka największych ataków hackerskich w historii:
Colonial Pipeline
Atak z 2021 r., który wstrząsnął amerykańskim rynkiem paliw. W maju hakerzy powiązani z gangiem ransomware DarkSide dostali się do sieci Colonial Pipeline, jednej z największych amerykańskich firm naftowo-gazowych. Skutkiem włamania było wstrzymanie działania największego rurociągu transportującego benzynę i paliwo lotnicze na wschodnim wybrzeżu USA. Włamywacze ukradli ponad 100 gigabajtów danych firmy, grożąc, że udostępnią je w Internecie, jeśli nie zostanie zapłacony okup.
Firma zapłaciła ponad 4 mln USD okupu w Bitcoinach, aby odzyskać kontrolę nad własnymi komputerami. Ponad 2 mln USD zostało odzyskanych przez FBI, ale straty były o wiele większe, bo przepływ paliwa w rurociągu został wstrzymany przez 5 dni. Jako że rurociąg firmy odpowiada za 45 proc. paliwa przesyłanego na amerykańskim wschodnim wybrzeżu, ceny benzyny gwałtownie skoczyły, a nawet 87 proc. stacji benzynowych w amerykańskiej stolicy wyczerpało zupełnie swoje zapasy. Amerykański Departament Stanu wyznaczył 10 mln USD nagrody za wskazanie sprawców.
WannaCry i NotPeya
To dwa największe i najbardziej kosztowne cyberataki w historii. Oba miały globalną skalę. Objęły komputery na niemal wszystkich kontynentach i kosztowały miliardy dolarów. Co gorsza, nastąpiły w odstępie zaledwie kilku tygodni.
- Najpierw 12 maja 2017 r. wirus WannaCry zainfekował ponad 200 tys. komputerów w 150 krajach. Wystarczyło mu na to kilkanaście godzin. Robak szyfrował dane przejętych urządzeń i wyświetlał wiadomość z żądaniem okupu, ale nawet te z ofiar, które zdecydowały się zapłacić, nigdy nie dostały kluczy do odszyfrowania danych. Zdaniem służb USA i Wielkiej Brytanii, wirusa stworzono na zlecenie rządu Korei Płn.
- WannaCry był największym takim atakiem w historii, ale krótko, bowiem ponad miesiąc później - 27 czerwca 2017 r. komputery w Ukrainie zaczęły padać ofiarą innego robaka. Wirus, nazwany przez ekspertów NotPetya, błyskawicznie wyrwał się jednak z tego kraju i zaczął infekować urządzenia na całym świecie. Jego ofiarami padły kijowskie szpitale, system monitorowania wyłączonych reaktorów w Czarnobylu, francuski konglomerat budowlany, amerykańska globalna firma prawnicza czy fabryka czekolady w Australii. Szczególnie mocno dotknięta atakiem była globalna firma spedycyjna Maersk. Jej systemy komputerowe zostały niemal zupełnie wyłączone z akcji, przez co porty kontenerowe na całym świecie pozostały zamknięte dla tysięcy ciężarówek. Amerykanie szacowali, że wirus, za którego stworzenie miało odpowiadać rosyjskie GRU, spowodował straty warte 10 mld USD.
SolarWinds
SolarWinds to firma tworząca oprogramowanie do zarządzania wewnętrznymi sieciami komputerowymi firm i organizacjami. Jej program Orion jest wykorzystywany przez 33 tys. organizacji na całym świecie, w tym 425 z 500 największych przedsiębiorstw w USA. Na początku 2020 r. grupa hackerów, być może powiązana z rosyjskim rządem, zdołała pokonać zabezpieczenia firmy i spenetrować jej własną sieć. Napastnicy podmienili kod aplikacji Orion na zmodyfikowaną przez siebie wersję. Zawierała ona furtkę, która pozwalała hackerom wchodzić niepostrzeżenie do sieci firm korzystających z zainfekowanego programu. Automatyczne aktualizacje oprogramowania prowadziły do automatycznych infekcji. Zainfekowaną wersję miało pobrać 18 tys. klientów firmy, w tym część amerykańskich rządowych departamentów i NATO.
BlackEnergy
To największy w historii atak wymierzony w infrastrukturę krytyczną. Zawierające malware wiadomości phishingowe zostały wysłane do wysokich rangą pracowników ukraińskich firm energetycznych. 23 grudnia 2015 r. napastnicy wykorzystali dostęp do komputerów energetyków. Wyłączyli na nawet 6 godzin energię elektryczną na części terytorium Ukrainy, pozbawiając prądu niemal ćwierć miliona ludzi. Rok później atak z użyciem innych, jeszcze bardziej zaawansowanych narzędzi wyłączył prąd w części Kijowa. Ślady działalności Black Energy odkryto później w obsługujących krytyczną infrastrukturę systemach na całym świecie, także w Polsce.
Jak chronić się przed różnymi rodzajami ataków hackerskich?
W jaki sposób może przebiegać atak cyberprzestępców na firmę? Jest kilka możliwych scenariuszy i kilka sposobów zabezpieczenia firmowej sieci i danych przed zagrożeniem.
Phishing
Najczęściej spotykanym i potencjalnie jednym z najbardziej niebezpiecznych ataków na polskie firmy są ataki phishingowe, których skutkiem może być utrata danych po nieopatrznym udostępnieniu loginu i hasła przez pracownika bądź zainfekowanie firmowych komputerów przez malware. Obrona przed takim atakiem jest możliwa, ale wymaga zarówno technologicznych zabezpieczeń, jak i edukacji.
- Technologiczne zabezpieczenia mogą polegać na rozwiązaniach takich, jak Netia Ochrona Poczty Usługa ta oferuje filtrowanie i blokowanie potencjalnych wiadomości phishingowych oraz zaawansowaną ochronę przed wyciekami danych z poczty elektronicznej (to właśnie od niej zaczyna się 9 na 10 ataków phishingowych).
- Edukacja opiera się na uświadamianiu pracownikom zagrożeń i uczulaniu ich na możliwe sposoby wyłudzania od nich danych. Pomocnym narzędziem jest tutaj oferowany przez Netię Phishing-On-Demand, czyli test polegający na wysyłaniu pracownikom kontrolowanych wiadomości i sprawdzający ich gotowość na niebezpieczeństwa płynące z sieci.
DDoS
Wiele firm pada ofiarą ataków DDoS. Mogą one powodować paraliż stron internetowych firmy, co w przypadku np. sklepu internetowego prowadzi do błyskawicznych strat. Mogą też utrudniać funkcjonowanie serwerów pocztowych czy innych, kluczowych dla prawidłowego funkcjonowania firmy, narzędzi. Mogą nawet uderzać w produkty firmy i ich użytkowników. Ataki DDoS są niezwykle bolesne np. dla firm z e-commerce czy branży gamingowej, bo napastnicy mogą próbować wyłączyć serwery dystrybuujące gry i aktualizacje, czy zablokować serwery obsługujące grę multiplayer. Atak DDoS może w takiej sytuacji uniemożliwić graczom granie w zakupioną grę, co z kolei może przełożyć się na zwroty, reklamacje i utracone dochody.
Netia oferuje usługę
DDoS Protection, która filtruje podejrzany ruch w sieci i zabezpiecza komputery przed paraliżującym atakiem.
Ataki na sieć firmy
Sama sieć firmy także może paść ofiarą napastników, którzy korzystając z jej słabych zabezpieczeń, mogą podjąć próby penetracji systemu. Ich celem mogą być kradzież danych bądź umieszczenie na firmowych urządzeniach oprogramowania malware czy ransomware. Zasadniczymi metodami obrony przed takimi atakami są:
- Po pierwsze, stała aktualizacji oprogramowania wykorzystywanego w firmie, w tym systemów operacyjnych i oprogramowania urządzeń mobilnych. Kolejne łaty zazwyczaj zamykają najczęściej wykorzystywane przez przestępców luki.
- Po drugie, nie można zapominać o narzędziach do monitorowania i zabezpieczania ruchu przychodzącego, wychodzącego i następującego wewnątrz firmowej sieci. Warto zacząć od podstawowej ochrony punktu styku z Internetem w postaci a href="https://www.netia.pl/pl/srednie-i-duze-firmy/produkty/bezpieczenstwo/netia-managed-utm">rozwiązań UTM
i oprogramowania antywirusowego. Oprócz tego dobrze sięgnąć po rozbudowane systemy monitorowania zagrożeń i reakcji na incydenty. Takie systemy rozbudowali najlepsi specjaliści ds. Bezpieczeństwa IT z Netia Security Operations Center
Ataki na połączenia i przesyłane dane
Niezwykle istotne jest też odpowiednie zabezpieczenie połączeń pracowników, klientów i kontrahentów z serwerami firmy, zwłaszcza w przypadku pracowników pełniących swoje obowiązki zdalnie. Do przesyłania wiadomości na i z serwera warto posługiwać się bezpiecznymi połączeniami VPN, stosować program do szyfrowania plików w celu zabezpieczenia szczególnie istotnych danych i stosować kryptograficzne zabezpieczenia połączeń, takie jak SSH.
W przypadku wielu firm dobrym krokiem w celu zabezpieczenia kluczowych danych jest skorzystanie z takich rozwiązań, jak bezpieczne serwery VPS. Pozwalają one na przechowywanie danych w profesjonalnie zabezpieczonym data center. W takim wypadku jeszcze istotniejsze jest korzystanie z bezpiecznych, szyfrowanych połączeń.
1 https://www.europol.europa.eu/publications-events/main-reports/eu-serious-and-organised-crime-threat-assessment-socta-2013
2 https://www.varonis.com/blog/brute-force-attack
3 https://cybersecurityventures.com/cybercrime-damage-costs-10-trillion-by-2025/