Polska drugim najbardziej dotkniętym krajem w Europie przez grupy hakerskie powiązane z rządami w 2023 roku
Group-IB, wiodący twórca technologii cybernetycznych do śledzenia, zapobiegania i zwalczania przestępczości cyfrowej, przedstawił kompleksowy przegląd krajobrazu zagrożeń cybernetycznych w regionie europejskim na lata 2023/2024 w wydaniu corocznego raportu Hi-Tech Crime Trends. Raport dostarcza szczegółowe analizy ewolucji wyzwań związanych z cyberbezpieczeństwem w Europie.
W 2023 roku badacze Group-IB zidentyfikowali, że liczba ataków ransomware w Europie wzrosła o około 52%, a głównymi celami są firmy z sektorów produkcji, nieruchomości i transportu. Wielka Brytania, Francja i Niemcy utrzymały swój status najczęściej atakowanych krajów przez podmioty przestępcze stosujące Ransomware-as-a-service (RaaS). W ciągu 2023 roku region stał się areną dla 108 cyberataków przeprowadzonych przez różne grupy hakerów wspierane przez państwa. Głównymi celami były instytucje rządowe i wojskowe, na które przeprowadzono 48 ataków. Information stealers stanowią poważne zmartwienie, ich działania wpłynęły na 250 000 zainfekowanych urządzeń (o 23% więcej niż w 2022 roku) w Europie, których dzienniki zostały udostępnione na Underground Clouds of Logs (UCL), oraz dodatkowych 647 485 hostów, których dzienniki były wystawione na sprzedaż na rynkach podziemnych, co stanowi 28% więcej niż rok wcześniej. Jednocześnie raport zauważa, że nastąpił 7% spadek liczby ofert sprzedaży początkowego dostępu do skompromitowanych sieci w regionie. Ponadto ponad 1 milion skompromitowanych kart zarejestrowanych w Europie pojawiło się w cyberprzestępczym podziemiu w 2023 roku — liczby z 2022 roku nie zmieniły się.
Europa na celowniku
Analitycy Group-IB odkryli, że w zeszłym roku region europejski był drugim obszarem pod kątem ataków typu advanced persistent threats (APTs). Podsumowując, w roku 2023 Group-IB przypisał 523 ataki grupom hakerskim kontrolowanym przez reżimowe rządy na całym świecie. Ataki na europejskie organizacje stanowiły 21% ogólnej liczby ataków na świecie. Europa doświadczyła 108 ataków cybernetycznych przeprowadzonych przez różne grupy hakerów wspierane przez państwa reżimowe. Najważniejszymi grupami działającymi w Europie były Lazarus, Mustang Panda, APT41 i Sandman (wszystkie z Azji Wschodniej), oraz APT28, BlackEnergy, Gamaredon, Turla i Callisto (wszystkie z regionu Wspólnoty Niepodległych Państw). Ataki były złożone i celowane, co podkreśla rosnącą tendencję do wykorzystywania cyberprzestrzeni do osiągania celów związanych z rządem.
Ukraina była głównym celem ataków z udziałem grup hakerskich kontrolowanych przez rządy reżimowe (31 odnotowanych ataków), co prawdopodobnie jest odzwierciedleniem trwających konfliktów politycznych w regionie. Cztery inne najbardziej dotknięte kraje w Europie przez grupy APT to Polska (11 ataków), Niemcy, Francja i Włochy z 6 atakami przypadającymi na każdy z tych krajów.
Instytucje rządowe i wojskowe w Europie były głównymi sektorami zainteresowania grup APT, z 48 atakami przeprowadzonymi przeciwko nim. To pokazuje, że grupy wspierane przez państwa są szczególnie zainteresowane obszarami wpływającymi na bezpieczeństwo narodowe i politykę zagraniczną.
Kroniki ransomware: podwójny wzrost w 2023 roku
Ataki typu Ransomware, utrzymują kluczową pozycję zarówno pod względem skali, jak i wpływu, na zagrożenie dla europejskiego rynku. Ponownie Europa stała się drugim najczęściej atakowanym regionem na świecie zaraz po Ameryce Północnej, gdzie dane 1186 firm z Europy zostały opublikowane na stronach DLS ransomware. Oznacza to przybliżony wzrost o 52% w porównaniu do poprzedniego roku, gdy informacje należące do 781 europejskich firm, których dane pojawiły się na DLS.
W 2023 roku sektor produkcji był najczęściej atakowany w regionie, stanowiąc 16% wszystkich zaatakowanych firm, których dane pojawiły się na DLS. Drugie miejsce zajęła branża nieruchomości, stanowiąca 8% wszystkich ataków w regionie. Branża transportu zajęła trzecie miejsce i była celem 5% ataków.
Jeśli chodzi o najaktywniejsze grupy ransomware w regionie, w zestawieniu LockBit prowadził z 26% ataków w Europie, a za nim były Play z 9% i Black Basta z 7%. Zaobserwowano znaczny wzrost ataków na firmy z siedzibą w Wielkiej Brytanii, które padły ofiarą ransomware w 2023 roku, jest to wzrost o około 73% (do 245 ataków), co uczyniło Wielką Brytanię najbardziej dotkniętym krajem w Europie, według danych opublikowanych na stronach DLS ransomware. Francja odnotowała wzrost o 45% (do 149 ataków) firm dotkniętych atakami, podczas gdy Niemcy odnotowały wzrost o 12% (do 145 ataków) zaatakowanych firm.
Spowolnienie działalności brokerów
Podmioty oferujące ataki typu ransomware, które sprzedają wstępny dostęp do sieci korporacyjnych na dark webie, znane jako Initial Access Brokers (IAB), doświadczyły lekkiego spadku, dostosowując się do wymagań innych grup hakerskich w regionie europejskim.
W 2023 roku dostęp do sieci korporacyjnych w Europie był wystawiany na sprzedaż 628 razy, co stanowiło 7% spadek w porównaniu z 2022 rokiem (674 razy). Pięć najbardziej atakowanych krajów europejskich przez IAB to Wielka Brytania (111), Francja (83), Hiszpania (70), Niemcy (63) i Włochy (62).
Sektor profesjonalnych usług był najbardziej dotknięty tym zjawiskiem w 2023 roku, gdzie oferty dostępu podwoiły się w porównaniu z 2022 rokiem, osiągając liczbę 52 (8% wszystkich ofert skierowanych na region). Produkcja zajęła drugie miejsce z 44 ofertami (7% wszystkich ofert skierowanych na region), a handel i zakupy z 37 ofertami (6% wszystkich ofert skierowanych na region) wystawionymi przez IAB.
Oferty dostępu VPN zmniejszyły się o 50%, podczas gdy oferty kont RDP zwiększyły się o 34%. Oferty dostępu z uprawnieniami użytkownika wzrosły o 35% w 2023 roku, co wskazuje na silniejsze zróżnicowanie dostępu przez firmy, albo brak odpowiednich umiejętności wśród IAB.
Najbardziej aktywnym IAB w regionie był haker z przydomkiem mazikeen — nowy gracz, który działa od stycznia 2023 roku. Najczęściej mazikeen sprzedawał dostęp do korporacyjnych sieci za pośrednictwem skompromitowanych kont RDP (98%). Jedna trzecia ofiar mazikeena to firmy z siedzibą w Europie. Prawie wszystkie oferty zawierały informacje o kraju, branży, uprawnieniach dostępu, poziomie dostępu i systemach antywirusowych używanych przez firmę.
Na podstawie aktywności mazikeena eksperci Group-IB byli w stanie stwierdzić, że sprawca jest rosyjskojęzyczny i identyfikuje się jako kobieta, co jest rzadkie w podziemiu przestępczym. Na forach mazikeen wspomniała, że nie skanuje oferowanych do sprzedaży korporacyjnych sieci i nie utrzymuje w nich stałego dostępu. Ceny brokerki uważane są za jedne z najniższych i zaczynały się od 30 dolarów, a średnia cena wynosiła 180,20 dolarów.
Raccoon i przyjaciele
Dzienniki information stealers stały się jednym z głównych sposobów, dzięki którym cyberprzestępcy uzyskują dostęp do sieci firm, ponieważ są proste, a jednocześnie bardzo skuteczne. Information stealer to rodzaj złośliwego oprogramowania, które zbiera dane uwierzytelniające zapisane w przeglądarkach, dane karty bankowej, informacje o portfelu kryptowalutowym, pliki cookie, historię przeglądania i inne informacje z przeglądarek zainstalowanych na zainfekowanych komputerach.
Darmowe usługi Underground Clouds of Logs (UCL) są jednym z głównych źródeł danych o zainfekowanych hostach. UCL to specjalne usługi, które zapewniają dostęp do skompromitowanych poufnych informacji, głównie uzyskanych przez programy typu information stealer. Są na nich codziennie publikowane gigabajty dzienników danych, a liczba ta stale rośnie. W ciągu ostatniego roku odnotowano wzrost o 23% liczby unikalnych zainfekowanych hostów w Europie, których dzienniki zostały opublikowane na UCL, przekraczając 250 000.
Kluczowa okazała się Hiszpania z 48% wzrostem liczbt hostów na UCL (31 665), podczas gdy rok wcześniej zajmowała dopiero trzecie miejsce. Na drugim miejscu była Francja, lider w 2022 roku, w jej przypadku liczba hostów na UCL spadła o 3% do 25 873. Polska zamyka pierwszą trójkę wśród najbardziej dotkniętych krajów w Europie, ze wzrostem o 6% (23 393). Dwa kraje, które odnotowały znaczący wzrost w 2023 roku, to Niemcy (wzrost o 32% do 22 966) i Włochy (wzrost o 18% do 22 309).
W porównaniu do 2022 roku lista trzech najpopularniejszych programów typu information stealer używanych do przejmowania danych hostów i których dzienniki zostały znalezione na UCL nieco się zmieniła. Vidar, który w zeszłym roku był drugi, teraz zajmuje czwarte miejsce, ustępując miejsca dla stealera META. Trzy najpopularniejsze stealery atakujące użytkowników w Europie to RedLine Stealer, META i Raccoon.
Rynki podziemne (underground markets) także zyskują na popularności. W przeciwieństwie do UCL, gdzie duża część logów jest dystrybuowana bezpłatnie, rynki podziemne zawsze służą do sprzedaży logów z hostów skompromitowanych przez programy typu information stealer. W 2023 roku odnotowano wzrost o 28% w porównaniu do 2022 roku, a całkowita liczba hostów wystawionych na sprzedaż i związanych z Europą wyniosła 647 485. Po raz pierwszy Hiszpania stała się głównym celem na podstawie logów znalezionych na rynkach podziemnych. W 2023 roku wykryto 73 788 logów z tego kraju, co stanowi wzrost o ponad 42% w porównaniu z rokiem poprzednim. Kolejno w tym rankingu znalazły się Włochy z 72 138 logami, co oznacza wzrost o 33%, oraz Francja, z 69 026 — wzrost o 23% z 69 026 logami. Raccoon, LummaC2 i RedLine Stealer są najpopularniejszymi programami typu information stealer wśród cyberprzestępców atakujących ten region.
Fala wycieków
W 2023 roku w Europie wykryto 386 nowych przypadków wycieku danych do domeny publicznej. W ramach tych incydentów wyciekło ponad 292 034 484 milionów ciągów danych użytkowników. Najbardziej ucierpiały Francja, Hiszpania i Włochy, gdzie odnotowano odpowiednio 64, 62 i 52 przypadkami wycieku danych.
Adresy e-mail, numery telefonów i hasła stanowią najwyższe ryzyko, ponieważ mogą być wykorzystywane przez hakerów do różnego rodzaju ataków. Spośród wszystkich wycieków danych, 140 642 816 wpisów zawierało adresy e-mail (z których 96 590 836 było unikalnych). Ponadto wykryto 9 784 230 wycieków haseł (z których 3 832 504 było unikalnych) i 157 074 355 wpisów z numerami telefonów (z których 95 728 584 było unikalnych).
Raport Hi-Tech Crime Trends 23/24 Group-IB podkreśla zmiany w zachowaniach grup hakerskich, pojawienie się nowych TTP (z ang. Techniques, Tactics, Procedures) i ogólnych trendów, które zdefiniowały ewoluujący charakter zagrożeń cyberbezpieczeństwa. Raport można pobrać tutaj.
O Raporcie Hi-Tech Crime Trends
Group-IB prezentuje swoje coroczne raporty od 2012 roku, integrując dane zebrane w wyniku własnych dochodzeń firmy z wynikami reakcji na incydenty na całym świecie. Raport jest praktycznym przewodnikiem dla szerokiego grona ekspertów — w zakresie zarządzania ryzykiem, cyfrowej transformacji biznesowej, strategicznego planowania w dziedzinie cyberbezpieczeństwa i inwestowania w ochronę systemów informatycznych. Raport dostarcza roczne prognozy, które zawsze okazywały się trafne. Dla specjalistów technicznych, w tym CISO, zespołów SOC i DFIR, badaczy i analityków złośliwego oprogramowania, a także ekspertów ds. Threat Hunting, raport Group-IB stanowi okazję do przeanalizowania trafności polityk cyberbezpieczeństwa, dostosowania ustawień bezpieczeństwa swoich systemów oraz wzmocnienia swojej wiedzy w zakresie przeciwdziałania cyberzagrożeniom istotnym dla ich branży.
W tym roku firma Group-IB wprowadziła szereg znaczących ulepszeń do swojego raportu Hi-Tech Crime Trends, aby dostarczać czytelnikom jeszcze precyzyjniejszych i istotnych informacji. Po pierwsze , Group-IB zmieniła ramy czasowe raportowania, aby porównywać lata kalendarzowe. Drugim ważnym udoskonaleniem jest dostarczenie strategicznych informacji dla poszczególnych regionów w każdym rozdziale. Kolejnymi nowymi dodatkami jest dedykowana sekcja omawiająca zagrożenia sztuczną inteligencją (AI) oraz dogłębna analiza sposobów, w jakie cyberprzestępcy nadużywają legalnych usług.
Dzięki wykorzystaniu unikalnych narzędzi do śledzenia infrastruktury cyberprzestępców, a także dogłębnej analizie badań prowadzonych przez różne zespoły ds. cyberbezpieczeństwa na całym świecie, eksperci Group-IB corocznie identyfikują i potwierdzają wspólne wzorce, które tworzą pełny obraz rozwoju cyberzagrożeń na świecie. Stanowi to podstawę przyszłych prognoz przedstawionych w raporcie, które pomagają firmom na całym świecie budować skuteczne strategie cyberbezpieczeństwa oparte na aktualnych zagrożeniach.
Więcej analiz dostępnych jest na hubie badawczym Group-IB.