Cyberataki na Polskę. Tak wyglądała pierwsza połowa 2020 roku

Strona główna Aktualności
fot. Steve Buissinne/Pixabay
fot. Steve Buissinne/Pixabay

O autorze

Jednym z niespodziewanych efektów ubocznych pandemii koronawirusa SARS-CoV-2 jest znaczny wzrost cyberataków na całym świecie. Widać to również na wykresach dotyczących sytuacji w Polsce. W półrocznym raporcie dotyczącym cyberataków na Polskę opracowanym przez firmę Check Point uchwycono szczyt rozwoju tego typu ataków.

Pandemia koronawirusa SARS-CoV-2 jest bardzo trudnym czasem nie tylko w tzw. "realu". Niektóre z przedsiębiorstw już nigdy nie osiągną wcześniejszego pułapu. Natomiast zupełnie odwrotnie można mówić o cyberprzestępstwach. Pomiędzy lutym a majem, dziennie dokonywano setek tysięcy ukierunkowanych ataków na całym świecie.

Cyberprzestępcy atakowali bez litości, uderzając nie tylko w regularnego odbiorcę internetu, ale nawet w instytucje medyczne. Powstał nawet dedykowany temu ransomware, czyli rodzaj złośliwego oprogramowania, którego zadaniem jest blokowanie dostępu do danych. Atakuje zazwyczaj bogate organizacje czy przedsiębiorstwa. Nowy ransomware o wulgarnej nazwie "FuckUnicorn" uderzył głównie we włoskie instytucje zdrowotne w momencie, gdy w tym kraju przeżywano największy kryzys związany z pandemią koronawirusa SARS-CoV-2. Co więcej, twórcami oprogramowania mieli być Włosi.

Według raportu zespołu Check Point Research najpopularniejszym scenariuszem były ataki wykorzystujące wizerunek WHO. Na świecie zauważono ich średnio 192 tysiące tygodniowo. Cyberatak polegał na zainstalowaniu oprogramowania wykradającego wrażliwe dane, lub "wyciągnięcie" ich od ofiary, pod przykrywką badania na COVID-19.

Cyberataki na Polskę w 2020 roku – statystyki za ostatnie półrocze

O przeróżnych scenariuszach prób wyłudzenia danych lub zainstalowania szkodliwego oprogramowania piszemy niemal codziennie. Mogłoby się wydawać, że polscy internauci należą do grupy wysoce zagrożonej w sieci, ale dane wskazują na zupełnie inny trend. Pomimo wzrostu łączonego z pojawieniem się pandemii koronawirusa SARS-CoV-2, średnia liczba tygodniowych cyberataków przypadających na jedną organizację wynosi mniej od globalnej.

Najważniejsze statystyki dotyczące cyberataków na polskie przedsiębiorstwa i internautów:

  • Średnio 307 ataków w ciągu tygodnia w okresie ostatnich 6 miesięcy
  • Emotet to najczęściej wykorzystywane złośliwe oprogramowanie w atakach – 8 proc.
  • Polaków często atakują trojany bankowe Trickbot i Ursnif, Spyware (AgentTesla) i Botnet (Emotet)
  • 93 proc. złośliwych plików atakuje przez witryny internetowe, a na świecie to tylko 17 proc.
  • 64 proc. ataków polega na zdalnym uruchomieniu kodu
  • Najczęściej ataki pochodzą ze Stanów Zjednoczonych – 46 proc.

Emotet to postrach polskich przedsiębiorców. Uderzył już w kilka dużych firm. Niegdyś służył jako trojan bankowy, ale dziś jest narzędziem działającym na wiele sposobów. Przede wszystkim podłącza komputer do sieci Botnet, co umożliwia cyberprzestępcom wykorzystywanie go do rozsyłania ransomware czy ataków DDoS. W październiku ubiegłego roku redakcja dobreprogramy.pl przeprowadziła analizę techniczną działania Emotet.

W Polsce Emotet wykorzystywany jest w 8 proc. wszystkich ataków, co wynosi zaledwie 3 proc. powyżej średniej. Jednocześnie to złośliwe oprogramowanie jest aktualnie numerem jeden na świecie wśród cyberprzestępczych trendów. Na drugim miejscu pod względem ataków na Polskę plasuje się trojan bankowy Trickbot. Pojawia się na urządzeniach najczęściej w wyniku kampanii phishingowych lub dostarcza go Emotet. Oprócz wykradania danych bankowości internetowej, Trickbot analizuje ruch sieciowy w poszukiwaniu furtki do serwera dużej firmy. Jeśli taką znajdzie, rozpoczyna atak ransomware, czyli blokowanie plików i żądanie okupu, najczęściej w postaci Bitcoinów.

Jednym z ciekawszych rodzajów złośliwego oprogramowania pojawiającego się w atakach na polskich internautów jest też AgentTesla. Stanowi co prawda tylko 2 proc. wszystkich zdarzeń, co wynosi 1 proc. mniej niż średnia światowa. Nie jest u nas tak popularny, jak na Białorusi, gdzie stanowi aż 19 proc. wszystkich ataków. AgentTesla należy do rodziny RAT (Remote Access Trojan). Wykrada przeróżne dane z interfejsu użytkownika, ale przede wszystkim może działać jako oprogramowanie szpiegowskie. AgentTesla posiada możliwość nagrywania ekranu, więc rejestruje każdy ruch ofiary. Skorzystać z niego może praktycznie każdy. W tzw. darknecie licencję można zakupić za równowartość 15-70 dolarów.

Kto najczęściej kieruje ataki na polskich użytkowników internetu?

Numerem jeden niezmiennie pozostają Stany Zjednoczone, lider globalnego rankingu. Jednakże w tym przypadku należy wziąć pod uwagę, że cyberprzestępcy często korzystają z różnych sztuczek utrudniających śledzenie faktycznego adresu IP, co przekłada się na wskazywanie fałszywej lokalizacji.

Największą ciekawostką rankingu ataków na Polskę pod względem lokalizacji jest miejsce nr 2 i 3. Są to kolejno Irlandia z wynikiem 15 proc. i Polska odpowiedzialna za 11 proc. zdarzeń. Dalej znajdziemy także Wielką Brytanię z wynikiem 5 proc. Częściowo przekłada się to na ranking ogólnoświatowy, ale może również sugerować próby ataków na polskich internautów ze strony rodaków żyjących na emigracji.

Sposoby i rodzaj dostarczania złośliwych plików w cyberatakach na Polskę [ostatnie 30 dni]

Pod tym względem najbardziej wyróżniamy się w porównaniu do globalnych statystyk. Aż 93 proc. złośliwych plików pobranych w ciągu ostatniego miesiąca na komputery użytkowników z Polski, pochodziło z witryn internetowych, a nie wiadomości e-mail. To całkowita odwrotność globalnych statystyk. Większość cyberataków, dokonywanych na świecie przez ostatnie 30 dni polegała na wysłaniu e-maila ze złośliwym załącznikiem. To aż 83 proc., a w Polsce wyniosła tylko 7 proc.

Na poniższych wykresach przedstawiono format złośliwych plików stosowanych w cyberatakach. Wyniki są dość nietypowe, bowiem w ciągu ostatnich 30 dni, 94,4 proc. złośliwych plików pobranych z sieci była dokumentami w rozszerzeniu .xlsx, czyli znanymi szerzej jako arkusze otwierane w np. programie Microsoft Excel. Wydawałoby się, że z witryn internetowych częściej pobierzemy fałszywe instalatory, czyli pliki .exe, co z resztą potwierdzają statystyki globalne (40,8 proc.).

Natomiast okazuje się, że Polscy internauci częściej otwierają pliki .exe wysłane przez wiadomość e-mail. I stanowi to aż 28,6 proc. całego złośliwego oprogramowania wysyłanego tą drogą. Tak na czystą logikę, te statystyki powinny być zupełnie odwrotne. Drogą mailową częściej otrzymujemy przecież dokumenty typu arkusze, faktury, a bezpośrednio z sieci częściej pobieramy instalatory.

Zgodnie z wcześniej przedstawionymi liczbami, najczęstszymi próbami ataków w polskiej sieci jest oprogramowanie wykorzystywane do tworzenia sieci Botnet. W szczytowym momencie, pomiędzy 20 a 27 kwietnia, stanowiły ponad 16 proc. wszystkich zdarzeń. Po dnie szorują natomiast bardzo złośliwe ataki typu ransomware, co może nas tylko cieszyć. 

© dobreprogramy
s