Nie tylko duże korporacje, teraz małe firmy znalazły się na celowniku hakerów. Jak działają cyberprzestępcy?

Maciej Badowski
Opracowanie:
W ubiegłym roku średni czas, po którym wykryto obecność cyberprzestępców w firmowej infrastrukturze IT, wydłużył się o 36 proc. – z 11 dni w 2020 r. do 15 dni w 2021 r.
W ubiegłym roku średni czas, po którym wykryto obecność cyberprzestępców w firmowej infrastrukturze IT, wydłużył się o 36 proc. – z 11 dni w 2020 r. do 15 dni w 2021 r. pixabay
Jak się okazuje, nie tylko duże, dobrze prosperujące przedsiębiorstwa znajdują się na celowniku cyberprzestępców. – Małe przedsiębiorstwa nie są aż tak atrakcyjnym celem, ale ich ochrona przeważnie jest słabsza – wskazuje ekspert. Im mniejsza firma, tym dłużej atakujący są w stanie penetrować jej zasoby – nawet do 51 dni. Do szkodliwej działalności najczęściej wykorzystywane są luki w Microsoft Exchange.

W ubiegłym roku średni czas, po którym wykryto obecność cyberprzestępców w firmowej infrastrukturze IT, wydłużył się o 36 proc. – z 11 dni w 2020 r. do 15 dni w 2021 r. Wskazuje to, że techniki wykorzystywane przez intruzów są coraz bardziej wyrafinowane. Co więcej, zazwyczaj zostają oni zauważeni dopiero w momencie, gdy oprogramowanie ransomware, którym zainfekowany jest system, zacznie swoją szkodliwą działalność. Ten rodzaj ataku stanowił aż 73 proc. wszystkich analizowanych w raporcie przypadków.

Mała firma, duże problemy

Według raportu Sophos cyberprzestępcy dłużej przebywają w infrastrukturze IT mniejszych firm. W przypadku przedsiębiorstw liczących do 250 pracowników, atakujący są aktywni nawet 51 dni, a w podmiotach zatrudniających od 3 do 5 tys. osób – średnio 20 dni.

– Cyberprzestępcy uważają zasoby dużych firm za cenniejsze. Mają więc większą motywację, aby włamać się do ich systemów, chociaż ryzykują, że ich działalność zostanie szybko wykryta. Natomiast małe przedsiębiorstwa nie są aż tak atrakcyjnym celem, ale ich ochrona przeważnie jest słabsza. W ten sposób atakujący zyskują szansę na dłuższą obecność w sieci. Badanie wskazało też, że ten sam cel może być atakowany przez kilka różnych grup jednocześnie – tłumaczy Grzegorz Nocoń, inżynier systemowy w firmie Sophos. – Dlatego cyberprzestępcy muszą działać szybciej niż dotychczas, aby wyprzedzić konkurencję – dodaje.

Luki w powszechnie wykorzystywanych programach furtką dla cyberprzestępców

Autorzy raportu zwracają też uwagę na luki w oprogramowaniu, takie jak ProxyShell i ProxyLogon w serwerach poczty elektronicznej Microsoft Exchange. – Cyberprzestępcy wykorzystali je w blisko połowie badanych w 2021 r. przypadków. Dla porównania, tylko co dwudziesty atak nastąpił w wyniku złamanych bądź nielegalnie pozyskanych danych uwierzytelniających – wskazano.

Dodatkowo eksperci wyróżnili grupy IAB (Initial Access Brokers), zajmujące się wyłącznie pozyskiwaniem danych dostępowych do systemów firm, a następnie odsprzedawaniem ich innym przestępcom, np. udostępniającym ataki ransomware jako usługę (Ransomware as a Service, RaaS).

Co ważne, wraz ze wzrostem aktywności takich grup rośnie także poziom trudności wykrywania ataków. IAB bezwzględnie wykorzystują słabe punkty zabezpieczeń, szczególnie nowo wykryte luki w popularnych aplikacjach. Nie zawsze udaje się ustalić, którędy atakujący uzyskali dostęp do danych.

To powinno cię zaniepokoić

– Czerwoną lampkę powinny zapalić wszelkie aktywności czy narzędzia, nawet jeśli są legalne, których działalność zaobserwowano w nieoczekiwanym miejscu lub czasie – tłumaczy ekspert. – To, że podejrzana aktywność jest niewielka lub niezauważalna, w ogóle nie oznacza, że system nie został zaatakowany – ostrzega.

Nocoń zauważa, że cyberprzestępcy nie ujawniają się po uzyskaniu dostępu do firmowej sieci, dopóki nie będą chcieli wykorzystać go do własnych celów lub sprzedać innej grupie przestępczej.

Nawet do 75 proc. więcej ataków DDoS

Ataki DDoS (ang. Distributed Denial of Service) nadal uchodzą za najbardziej niebezpieczne narzędzie w rękach cyberprzestępców. Hakerzy mogą w ten sposób zatrzymać pracę nawet największych sieci komputerowych, przeładowując serwery. Wciąż odnotowuje się wzrost tego typu zdarzeń, szczególnie w ciągu ostatnich 4 lat.

Z raportu Cloudflare wynika, że w ostatnim kwartale 2021 roku liczba ataków DDoS wzrosła o 75 proc. w stosunku rok do roku. Kto ucierpiał najbardziej? Przestępcy za swój cel najczęściej obierali sektor produkcyjny, gdzie liczba ataków DDoS wzrosła o 641 proc. kwartał do kwartału.

– Dane wyraźnie wskazują, że liczba ataków DDoS stale rośnie. Dodam, że to choć jedno z najdłużej wykorzystywanych narzędzi, to niestety nadal skuteczne. Pierwszy tego typu atak odnotowano w 1996 roku, czyli ponad ćwierć wieku temu. Obecnie DDoS to i tak ogólne pojęcie, ponieważ da się to narzędzie podzielić na podkategorie, w zależności od stosowanych technik. Wiemy o nich dużo, potrafimy się chronić, ale przestępcy nadal doskonalą swoje metody – mówi Patrycja Tatara ekspert ds. cyberbezpieczeństwa w Sprint S.A.

Hakerzy nie przebierają w ofiarach, chętnie atakują instytucje państwowe i duże koncerny, w tym gigantów branży e-commerce. Poniżej przedstawiamy kilka takich sytuacji.

Cyberatak kosztujący przestępców ok. 30 dolarów może im przynieść zyski na poziomie nawet 25 tys. dolarów

Przeprowadzając wystarczającą liczbę prostych ataków – pociągających za sobą stosunkowo minimalne koszty operacyjne i infrastrukturalne – cyberprzestępcy mogą osiągnąć duże zyski.

Według Deloitte, cyberatak kosztujący 34 dolary miesięcznie, może przynieść zysk w wysokości nawet 25 tys. dolarów. Ogromna dysproporcja nakładów i korzyści przekłada się na rosnące możliwości przestępców, którzy nie stronią od działań skierowanych do pracowników firm, o których myślą jako o potencjalnych ofiarach swoich działań.

W 2021 r. członkowie grupy LAPSUS$ regularnie zamieszczali w sieci Reddit oferty łapówek skierowanych do grup pracowników, którzy potencjalnie mogliby zarabiać w zamian za udostępnienie możliwości dostępu do sieci wewnętrznych ich organizacji.

– Warto cały czas pamiętać, że nie ma czegoś takiego jak maksymalne cyberbezpieczeństwo systemu, w którym nie można zhakować witryny, a wady są wykrywane z wyprzedzeniem. Dlatego cały czas musimy podejmować wysiłki, by stawiać jak najlepsze bariery chroniące sieci i zasoby organizacji. Celem tego działania jest jak największe zniechęcenie przestępców i dążenie do sytuacji, w której koszt cyberataku pozostanie wyższy niż jego potencjalne korzyści – podsumowuje Aleksander Kostuch z Stormshield.

emisja bez ograniczeń wiekowych
Wideo

Strefa Biznesu: Coraz więcej chętnych na kredyty ze zmienną stopą

Dołącz do nas na Facebooku!

Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!

Polub nas na Facebooku!

Kontakt z redakcją

Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?

Napisz do nas!

Polecane oferty

Materiały promocyjne partnera

Komentarze 1

Komentowanie artykułów jest możliwe wyłącznie dla zalogowanych Użytkowników. Cenimy wolność słowa i nieskrępowane dyskusje, ale serdecznie prosimy o przestrzeganie kultury osobistej, dobrych obyczajów i reguł prawa. Wszelkie wpisy, które nie są zgodne ze standardami, proszę zgłaszać do moderacji. Zaloguj się lub załóż konto

Nie hejtuj, pisz kulturalne i zgodne z prawem komentarze! Jeśli widzisz niestosowny wpis - kliknij „zgłoś nadużycie”.

Podaj powód zgłoszenia

M
Marta
Dlatego warto mieć sprawdzone łącze, ja mam z the network i wszystko działa
Wróć na strefabiznesu.pl Strefa Biznesu