Kopalnia wiedzy o atakach i malware od CERT Polska: Krajobraz bezpieczeństwa polskiego internetu

Eksperci z CERT Polska działającego w strukturach NASK — państwowego instytutu badawczego prowadzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne — udostępnili raport o krajobrazie bezpieczeństwa polskiego internetu, w którym opisano najważniejsze wydarzenia 2019 roku oraz podsumowano ubiegłoroczną działalność zespołu CERT.

CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty. Dzięki prężnej działalności od 1996 r. w środowisku zespołów reagujących, stał się rozpoznawalnym i doświadczonym podmiotem w dziedzinie bezpieczeństwa komputerowego. Od początku istnienia rdzeniem działalności zespołu jest obsługa incydentów bezpieczeństwa i współpraca z podobnymi jednostkami na całym świecie, zarówno w działalności operacyjnej, jak i badawczo-wdrożeniowej. Od 1998 r. CERT Polska jest członkiem międzynarodowego forum zrzeszającego zespoły reagujące – FIRST, a od 2000 należy do grupy roboczej europejskich zespołów reagujących – TERENA TF-CSIRT i działającej przy niej organizacji Trusted Introducer. W 2005 r. z inicjatywy CERT Polska powstało forum polskich zespołów abuse – Abuse FORUM, natomiast w 2010 r. CERT Polska dołączył do Anti-Phishing Working Group, stowarzyszenia gromadzącego firmy i instytucje aktywnie walczące z przestępczością w sieci.

Do głównych zadań zespołu CERT Polska należy:

• rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci,
• aktywne reagowanie w przypadku wystąpienia bezpośrednich zagrożeń dla użytkowników,
• współpraca z innymi zespołami CERT w Polsce i na świecie,
• realizacja zadań wynikających w ustawy o krajowym systemie cyberbezpieczeństwa,
• udział w krajowych i międzynarodowych projektach związanych z tematyką bezpieczeństwa teleinformatycznego,
• działalność badawcza z zakresu metod wykrywania incydentów bezpieczeństwa,
• analizy złośliwego oprogramowania i systemów wymiany informacji o zagrożeniach,
• rozwijanie własnych narzędzi do wykrywania, monitorowania, analizy i korelacji zagrożeń,
• regularne publikowanie Raportu CERT Polska o bezpieczeństwie polskich zasobów Internetu,
• działania informacyjno-edukacyjne, zmierzające do wzrostu świadomości w zakresie bezpieczeństwa teleinformatycznego,
• publikowanie informacji o bezpieczeństwie na blogu cert.pl oraz w serwisach społecznościowych Facebook i Twitter,
• organizacja cyklicznej konferencji SECURE,
• niezależne analizy i testy rozwiązań z dziedziny bezpieczeństwa teleinformatycznego.

Najważniejsze obserwacje z 2019 roku jako „przedsmak” publikacji

• W zeszłym roku zarejestrowano 6484 incydenty. Jest to rekordowa liczba, a zarazem rekordowy wzrost rok do roku (73 proc.). Najczęściej występującym typem ataku był phishing, który stanowił ok. 54,2 proc. wszystkich incydentów. Na drugim miejscu znalazły się zgłoszenia dotyczące złośliwego oprogramowania – ok. 14,9 proc. Incydenty z kategorii “obraźliwe i nielegalne treści”, w tym spam, stanowiły ok. 12,1 proc. wszystkich zarejestrowanych incydentów.
• Znaczna część wyłudzeń w polskim internecie wykorzystuje fałszywe bramki płatności w połączeniu z mailami lub smsami o konieczności dokonania niewielkiej opłaty – za przesyłkę, dopłaty do paczki itp.
• Fałszywe informacje wykorzystywane są coraz powszechniej – zarówno w kampaniach propagandowych prowadzonych przez rządy, jak i w zwykłej przestępczości, gdzie są narzędziem wzbudzającym emocje i prowokującym do odwiedzenia fałszywej strony czy podania danych dostępowych.
• Obserwowano wiele przypadków i wariantów wyłudzeń związanych z handlem internetowym – od ofert na portalach ogłoszeniowych po fałszywe sklepy.
• Złośliwe aplikacje na Android pojawiające się w 2019 r. podszywały się m.in. pod banki, firmy kurierskie i policję. Ich skuteczność jest wciąż niska, ponieważ wymagają odpowiednio wiarygodnego scenariusza socjotechnicznego, który nakłoni ofiarę do zainstalowania aplikacji spoza oficjalnego sklepu i udzielenia jej odpowiednich uprawnień.
• Rok 2019 przyniósł znaczący wzrost infekcji ransomware w sektorze przemysłowym, medycznym i administracji rządowej oraz samorządowej. Zmienia się przy tym model biznesowy przestępców – coraz częściej domagają się okupu nie tylko za odszyfrowanie danych, ale także za ich nieujawnianie.
• Niepokojącym trendem jest wykorzystywanie anonimowych bramek mailowych do rozsyłania fałszywych alarmów bombowych, m.in. do szkół, urzędów czy szpitali.
• Wśród złośliwego oprogramowania rozsyłanego emailem dominował Emotet. W jego kampaniach zastosowano nową technikę uwiarygodniania wiadomości: doklejanie fragmentów rzeczywistych konwersacji wykradzionych wcześniejszym ofiarom.
• Ataki na urządzenia IoT stają się coraz bardziej specjalizowane – często ukierunkowane są na pojedynczą podatność w określonym modelu wybranego producenta. Zmienia się również cel wykorzystania przejętych urządzeń: oprócz ataków DDoS atakujących coraz częściej interesuje kradzież danych, dystrybucja malware’u lub kopanie kryptowalut.
• Zaobserwowano około 1.3 mln unikalnych adresów IP z polskich sieci z usługami, które mogą być wykorzystane w atakach DRDoS, co oznacza spadek o 600 tys. w porównaniu z rokiem 2018. W dalszym ciągu najpopularniejszą usługą pozwalającą na ataki DRDoS są źle skonfigurowane otwarte serwery DNS.
• Obserwowana aktywność botnetów w polskich sieciach jest niższa niż w ubiegłych latach. Odnotowano również więcej adresów serwerów zarządzających botnetami. Powyższy fakt świadczy o większej skali wymiany informacji o zagrożeniach, co w konsekwencji prowadzi do skutecznego wygaszania największych botnetów.

Kto był najczęściej atakowany w 2019 roku?

Według zebranych danych najwięcej zgłoszeń incydentów dokonywały osoby fizyczne oraz sektor bankowy. Trochę mniej byli zaangażowani pracownicy mediów, oraz sektora przemysłowego, a także finansowego i usługowego. Z kolei administracja publiczna jest zobligowana do zgłaszania incydentów, dlatego może dziwić dziwi tak niewielka ilość zgłoszeń.