W ostatnich trzech tygodniach liczba cyberataków na polskie organizacje spadła z około 1150 do 1040, a najczęściej wykrywanym zagrożeniem był downloader FakeUpdates, który brał udział m.in. w kampanii przeciw WordPressowi – informują specjaliści Check Point Research. W sieci szaleje wciąż grupa LockBit, która odpowiada za 20 proc. ujawnionych ataków ransomware. Oznacza to, że niedawna akcja służb specjalnych nie przyniosła drastycznych zmian w krajobrazie zagrożeń.
FakeUpdates był w lutym najczęstszym zagrożeniem zarówno w Polsce, jak i na całym świecie. Analitycy Check Point Research zaobserwowali jego obecność w ponad 3,2 proc. polskich oraz 5,3 proc. sieci w skali globalnej. Narzędzie to jest downloaderem napisanym w JavaScript, które zapisuje ładunki na dysku przed ich uruchomieniem. Znany jest również jako SocGholish i funkcjonuje w cyberprzestrzeni od co najmniej od 2017 roku, atakując witryny internetowe, szczególnie te wyposażone w systemy zarządzania treścią. FakeUpdates doprowadził do naruszeń za pośrednictwem wielu dodatkowych złośliwych programów, w tym GootLoader, Dridex, NetSupport, DoppelPaymer i AZORult. Ten wyrafinowany wariant złośliwego oprogramowania był wcześniej powiązany z rosyjską grupą cyberprzestępczą znaną jako Evil Corp.
Z jego udziałem zrealizowana została również niedawna kampania przeciwko zhakowanym kontom administratorskim w WordPress (wp-admin). W lutym szkodliwe oprogramowanie dostosowało swoją taktykę do infiltrowania witryn internetowych, wykorzystując zmienione wersje wtyczek WordPress i nakłaniając osoby do pobrania trojana zdalnego dostępu.
– Strony internetowe są cyfrowymi witrynami sklepowymi naszego świata, będąc kluczowymi dla komunikacji, handlu i wszelkich połączeń. Ochrona ich przed cyberzagrożeniami to nie tylko ochrona kodu, a przede wszystkim ochrona naszej obecności w Internecie. Jeśli cyberprzestępcy zdecydują się wykorzystać je jako narzędzie do ukrytego rozprzestrzeniania złośliwego oprogramowania, może to mieć wpływ na przyszłe przychody i reputację firmy. Niezbędne jest wprowadzenie środków zapobiegawczych i przyjęcie kultury zerowej tolerancji, aby zapewnić całkowitą ochronę przed zagrożeniami – mówi Maya Horowitz, wiceprezes ds. badań w Check Point Software.
Wśród najczęściej wykorzystywanych szkodliwych programów eksperci Check Pointa wymieniają również Qbota i Formbooka, wpływających na odpowiednio 3 i 2 proc. globalnych sieci firmowych. W Polsce numerem dwa okazał się trickler Tofsee, a tuż za nim ransomware Snatch, które wykryte zostały w niemal 2,5 proc. wszystkich sieci. Na przełomie lutego i marca przeciętne polskie przedsiębiorstwo atakowane było średnio 1040 razy w tygodniu. To 100 ataków mniej niż na początku lutego. Jednocześnie analitycy cyberbezpieczeństwa wątpią, że jest to trwała tendencja spadkowa. Najczęściej atakowanym w Polsce sektorem jest szeroko pojęta telekomunikacja, doświadczająca w ostatnim półroczu średnio 1034 ataków na pojedynczą organizację.
Dane Check Pointa potwierdziły również, że najczęściej atakującą grupą oprogramowania ransomware nadal była LockBit3, odpowiedzialna za 20% ujawnionych incydentów. Niedawno grupa znalazła się na celowniku międzynarodowych organów ścigania, które aresztowały znaczną część jej członków. LockBit3 to oprogramowanie ransomware działające w modelu RaaS, o którym po raz pierwszy poinformowano we wrześniu 2019 r. LockBit atakuje duże przedsiębiorstwa i jednostki rządowe z różnych krajów, wyłączając z nich Rosję i pozostałe kraje Wspólnoty Niepodległych Państw.