O tym, że 2021 rok będzie rekordowy pod względem ataków ransomware mówiono już jesienią. Opublikowane w październiku badanie firmy VirusTotal, zlecone przez Google, pokazało, że najwięcej takich przestępstw miało miejsce w Izraelu, Korei Południowej, Wietnamie i Chinach.
Według szacunków departamentu skarbu USA, w pierwszej połowie 2021 w związku z cyberatakami ransomware zapłacono 590 mln dolarów okupów, w całym 2020 r. - 416 mln dolarów.
Ransomware (od angielskich słów „ransom” – „okup” i „software” – „oprogramowanie”) jest złośliwym oprogramowaniem blokującym dostęp do systemów komputerowych poprzez szyfrowanie ich. Przestępcy, którzy je instalują żądają następnie zapłaty wysokiego okupu w zamian za przywrócenie dostępu.
Oprogramowanie rozprzestrzenia się za pomocą tzw. wiadomości phishingowych (czyli takich, w których ktoś podszywa się pod inną osobę lub instytucję) zawierających złośliwe załączniki lub poprzez pobieranie typu „drive-by”, kiedy nieświadomy użytkownik odwiedza zainfekowaną witrynę, a następnie bez jego wiedzy na urządzeniu instaluje się wirus.
Celem autorów programów ransomware jest wzbudzenie strachu i paniki oraz zmuszenie ofiar ataku do zapłacenia okupu lub wejścia na kolejną stronę internetową, która może zainstalować na ich urządzeniach dodatkowe szkodliwe oprogramowanie. Spełnienie żądania i przekazanie pieniędzy hakerom nie gwarantuje, że zaszyfrowane pliki zostaną odblokowane. Ponadto, odszyfrowanie nie oznacza usunięcia złośliwego oprogramowania.
COLONIAL PIPELINE: JEDNA Z NAJWYŻSZYCH NAGRÓD OFEROWANYCH PRZEZ USA ZA INFORMACJE O PRZESTĘPCACH
Amerykański sektor energetyczny został sparaliżowany na początku maja, kiedy doszło do cyberataku na sieć rurociągów paliwowych Colonial Pipeline, dostarczających z rafinerii nad Zatoką Meksykańską prawie połowę paliw używanych we wschodniej i południowej części USA. Działania hakerów doprowadziły do wstrzymania transportu paliw i w efekcie zamknięcia wielu stacji benzynowych, a nawet wprowadzenia stanu wyjątkowego w stanie Georgia. Żeby odzyskać dostęp do serwerów, zarząd firmy został zmuszony przez przestępców do zapłacenia 4,4 mln dolarów okupu. Zrobił to w ciągu kilku godzin od ataku, ale przywrócenie systemów do pracy i wznowienie przesyłu w rurociągach zajęło prawie tydzień. Prezydent Joe Biden mówił w swoich przemówieniach, że istnieją „silne przesłanki”, by sądzić, że hakerzy pochodzą z Rosji. Zaznaczał jednak, że nie działali z inicjatywy Kremla. FBI przekazało następnie, że za atakiem stała grupa DarkSide mająca siedzibę w Europie Wschodniej. Władze USA oferują do 10 mln dolarów za informacje o członkach tej organizacji przestępczej – to jedna z najwyższych tego typu nagród, jaką zaoferowano od 1986 r.
CD PROJEKT RED: HAKERZY UTRZYMYWALI, ŻE PRZEJĘLI KODY DO „WIEDŹMINA 3”
Ofiarą cyfrowych porywaczy padła w lutym polska firma – popularny warszawski deweloper CD Projekt RED, twórca gier „Wiedźmin 3” i „Cyberpunk 2077”. Pracownicy nagle stracili dostęp do przechowywanych na serwerach danych, które zostały zaszyfrowane. Na niektórych komputerach pojawiał się komunikat od hakerów informujących, że jeśli w ciągu 48 godz. przedstawiciele firmy nie skontaktują się z nimi i nie spełnią ich żądań, dojdzie do ujawnienia lub sprzedania wykradzionych danych. Grożono przekazaniem niekorzystnych wizerunkowo informacji. Przestępcy utrzymywali także, że posiadają kody do m.in. najpopularniejszych produktów firmy.
KASEYA: PARALIŻ SETEK FIRM NA ŚWIECIE, „MINIMALNE SZKODY”
Głośnym echem odbił się również atak, który na początku lipca przeprowadzili hakerzy z rosyjskiej grupy REvil na serwery firmy informatycznej Kaseya z siedzibą w Miami. Udało im się uzyskać dostęp do urządzeń niektórych klientów firmy, co doprowadziło do reakcji łańcuchowej i w efekcie – paraliżu systemów komputerowych setek firm na całym świecie. Przestępcy zażądali 70 mln dolarów okupu za odblokowanie danych. Według Bidena atak spowodował "minimalne szkody" dla amerykańskich firm. Pomimo tego – podobnie jak w przypadku DarkSide – amerykańskie władze są gotowe zapłacić do 10 mln dolarów za informacje o hakerach z REvil.
JBS: REVIL WSTRZYMAŁ PRACE ZAKŁADÓW MIĘSNYCH NA KILKA DNI
Rosyjska grupa przestępcza na miesiąc przed zaatakowaniem firmy Kaseya, sparaliżowała prace firmy JBS, przetwarzającej mięso. Atak uderzył w zakłady w Kanadzie, USA i Australii, które na kilka dni musiały zawiesić produkcję. Ostatecznie zarząd firmy wypłacił hakerom 11 mln dolarów okupu.
HOLANDIA: 39 TYS. POUFNYCH DOKUMENTÓW, W TYM DANE O WYPOSAŻENIU WOJSKA, W SIECI
Na początku grudnia holenderskie media donosiły o włamaniu do systemów firmy Abiom, która dostarcza technologie komunikacyjne dla tamtejszej policji, ministerstwa obrony, organów podatkowych i szpitali. Atak został przeprowadzony przez hakerów z grupy LockBit przy użyciu oprogramowania ransomware – przestępcy uzyskali dostęp do 39 tys. zastrzeżonych dokumentów. Umieścili w sieci m.in. policyjne faktury, kopie paszportów i dane o wyposażeniu wojska. Żądali wypłacenia im okupu. Portal NOS informował, że skradzione dane mogą umożliwiać m.in. dokonanie kolejnych włamań online.
IRLANDIA: PLACÓWKI MEDYCZNE ODWOŁYWAŁY WIZYTY I ZABIEGI
Rosyjskojęzyczny cybergang przejął w połowie maja systemy informatyczne irlandzkiej publicznej służby zdrowia HSE, zapewniające podstawowe usługi medyczne w tym kraju. Atak spowodował poważne zakłócenia w działalności szpitali i przychodni, które zostały pozbawione dostępu do elektronicznych baz danych – część placówek musiała odwołać rutynowe wizyty i zabiegi. Przestępcy żądali okupu od rządu, jednak premier Micheal Martin odmówił spełnienia ich warunków. Ostatecznie rząd uzyskał klucz deszyfrujący oprogramowanie ransomware, ale hakerzy zagrozili udostępnieniem w darknecie informacji, w których posiadanie weszli – w tym danych osobowych pacjentów.
FRANCJA: TRZY ATAKI NA SZPITALE W CIĄGU MIESIĄCA
Również francuska opieka zdrowotna znalazła się w 2021 r. kilkakrotnie na celowniku cyberprzestępców. Szpital w Oloron-Sainte-Marie w Nowej Akwitanii został zaatakowany w marcu – na ekranach monitorów placówki pojawiły się wiadomości w języku angielskim, w których domagano się 50 tys. dolarów w bitcoinach. Władze szpitala odłączyły stacje robocze, by ograniczyć straty, ale i tak hakerzy zdobyli dostęp do wrażliwych danych pacjentów. Wcześniej, w lutym, cyberprzestępcy zakłócili pracę w placówkach w Dax w departamencie Landy i w Villefranche-sur-Saone w departamencie Rodanu. Po tych incydentach prezydent Emmanuel Macron zdecydował o przeznaczeniu dodatkowego miliarda euro na wzmocnienie cyberbezpieczeństwa w sektorze zdrowia.
