Coroczne podsumowanie działalności CERT Polska można ująć w jednym zdaniu – „nowy raport, stare techniki”. W roku 2021 przestępcy udoskonalili znane sposoby oszustw i częściej zaczęli sięgać po metody wcześniej rzadko używane. Nie oznacza to, że krajobraz cyberprzestrzeni był wolny od zagrożeń, wręcz przeciwnie, ponieważ zespół ekspertów odnotował rekordy ataków phishingowych oraz ataków ransomware (wzrost o 13% rok do roku). W roku ubiegłym CERT Polska skupiał się także na ochronie urządzeń przemysłowych w ramach akcji #BezpiecznyPrzemysł – nowe podatności, nierzadko bardzo krytyczne, zgłaszano odpowiednim instytucjom.
CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty. Dzięki działalności od 1996 r., w środowisku zespołów reagujących na incydenty stał się rozpoznawalnym i doświadczonym podmiotem w dziedzinie bezpieczeństwa komputerowego.
Najważniejsze obserwacje incydentów w 2021
1. CERT Polska zarejestrował łącznie 29 483 unikalnych incydentów cyberbezpieczeństwa. Jest to wzrost o 182 proc. w porównaniu do roku 2020.
- Najczęstszym typem był phishing – stanowiący aż 76,57 proc. wszystkich obsłużonych incydentów. Jest to wzrost o 196 proc. w porównaniu do poprzedniego roku.
- Sektory gospodarki, których najczęściej dotyczyły incydenty to: media, handel hurtowy i detaliczny oraz poczta i usługi kurierskie.
2. W 2021 r. na Listę Ostrzeżeń przed niebezpiecznymi stronami trafiło 33 tys. domen.
- Najczęściej obserwowanym schematem kampanii phishingowej było wyłudzenie danych logowania do portalu Facebook. Był to trzykrotny wzrost w stosunku do 2020 r.
3. W ramach akcji #BezpiecznyPrzemysł w poszukiwaniu nowych podatności w sprzęcie popularnym w Polsce, pięciu z nich przydzielono numer CVE, w tym dwóm z wysokim poziomem zagrożenia CVSS 10.0.
4. Zaobserwowano 13 proc. wzrost liczby incydentów dotyczących ransomware’u.
- Największą aktywność odnotowano w podmiotach infrastruktury cyfrowej i wśród osób fizycznych oraz w administracji publicznej.
- Najczęściej atakującymi rodzinami były: REvil/Sodinokibi oraz Phobos, a następnie Lockbit 2.0, STOP/DJVU, Makop, QLocker oraz Avaddon.
5. Model Ransomware as a Service stał się defacto standardem. Przestępcy starają się zmaksymalizować swój zysk pochodzący z pojedynczego ataku, żądając okupu nie tylko za odzyskanie zaszyfrowanych danych, ale też za nieujawnienie lub nieinformowanie o ataku
6. Wykryto krytyczne luki bezpieczeństwa w popularnym oprogramowaniu takim jak: Vmware vCenter, Microsoft Exchange oraz bibliotece Apache Log4j. W każdym z przypadków starano się ustalić liczbę podatnych urządzeń w Polsce i skontaktować się z dotkniętymi podmiotami w celu poinformowania o problemie i sposobach jego naprawienia.
7. Przestępcy skupili się na udoskonalaniu znanych scenariuszy phishingowych: przejęciu kont na Facebooku, fałszywych bramkach płatności oraz wyłudzaniu pieniędzy od sprzedających na portalach ogłoszeniowych.
8. Zaobserwowano użycie trzech nowych rodzin trojanów na platformę Android: Flubot, BlackRock oraz ERMAC. Najczęściej były one dystrybuowane za pomocą fałszywych wiadomości SMS oraz e-maili, które posiadały odnośniki do odpowiednio spreparowanych stron internetowych.
9. Ze względu na wzrost częstości wykorzystania wiadomości SMS jako sposobu na dystrybucję złośliwych linków, CERT polska uruchomił specjalny numer odbiorczy: +48 799 448 084, na który można zgłosić incydent przez przekazanie otrzymanej wiadomości SMS zawierającej podejrzany link.
10. Przestępcy zaczęli wykorzystywać nowy schemat oszustw dotyczących fałszywych inwestycji w kryptowaluty.
- Najpopularniejsze były dwa scenariusze. W jednym wykonywane były połączenia telefoniczne z informacją o rzekomo zainwestowanych wcześniej środkach.
- W drugim na portalach społecznościowych promowano strony, które oferowały fałszywe inwestycje.
11. 21 lipca 2021 r. zespół CERT Polska zaobserwował napływ zgłoszeń i publikacje informacji medialnych o niepokojących wiadomościach e-mail, otrzymywanych przez użytkowników Profilu Zaufanego.
- Ustalono, że miał miejsce atak typu credential stuffing, polegający na masowych próbach logowania na konta użytkowników platformy ePUAP przy użyciu haseł pochodzących z wcześniejszych wycieków.
- Na początku sierpnia 2021 r. funkcjonariusze z Komendy Stołecznej Policji zatrzymali w Woli Krzywieckiej podejrzanego o przeprowadzenie ataków
12. Łącznie zgromadzono informacje o 439 077 adresach IP wykazujących aktywność zombie, co stanowi spadek o ok. 31 proc. w stosunku do 2020 r.
- Wśród najczęściej występujących, podobnie jak w zeszłym roku, znajdują się Andromeda, Avalanche i Conficker. Na 4. Miejscu znalazł się Flubot atakujący system Android, a za nim QSnatch infekujący urządzenia QNAP.
13. Na przestrzeni całego roku widoczny był stopniowy spadek liczby urządzeń umożliwiających wykonanie ataku DRDoS przy użyciu usług takich jak otwarte resolvery DNS, SNMP, port-mapper oraz SSDP. W przypadku usług NTP, Netbios i mDNS liczba adresów IP utrzymuje się na podobnym poziomie w skali roku.
14. Podobnie jak rok wcześniej, najczęstszymi podatnymi usługami były: CWMP, SSL-POODLE, RDP, Telnet i TFTP. Eksperci zauważają pozytywny trend w zakresie stopniowego spadku liczby urządzeń związanych z podatnością Poodle i usługami RDP oraz Telnet na przestrzeni całego roku. Jest to kontynuacja trendu spadkowego z 2020 r. Do dużego spadku podatnych urządzeń doszło w usłudze CWMP.
