Aktualności TechNews 16 stycznia 2025
W roku 2024 odnotowano 5414 ataków ransomware na organizacje na całym świecie, co stanowi wzrost aż o 11%. Wzrost ataków ransomware w 2024 roku wynikał przede wszystkim z wzrostu popularności modelu Ransomware-as-a-Service (RaaS, ang. ransomware jako usługa), który umożliwia nawet niedoświadczonym cyberprzestępcom przeprowadzanie zaawansowanych ataków. Choć pocztek 2024 roku okazał się spokojny, to cyberprzestępcy wzmożyli aktywnośc w drugiej połowie roku a IV kw. 2024 okazał się najbardziej intensywnym okresem, odnotowując 1827 incydentów, co stanowi 1/3 wszystkich ataków w 2024 roku – ujawnia raport Cyberint, należącej do Check Point Software firmy specjalizującej się w wykrywaniu i łagodzeniu skutków cyberataków.
Jak podkreślają eksperci, brak odpowiednich zabezpieczeń, przestarzała oprogramowanie oraz skłonność do płacenia wysokich okupów przyczyniają się do stałego wzrostu zainteresowania świata przestępczego atakami Ransomware. Przestrzegają jednak, że zapłata okupu nie wyklucza dalszego ryzyka dla firm….
W Polsce, na przestrzeni 2024 roku, hakerzy atakowali intensywnie administrację publiczną. Grupy ransomware zaatakowały m.in. takie podmioty, jak Starostwo Powiatowe w Świebodzinie (maj 2024), Powiatowy Urząd pracy w Policach ( sierpień 2024, RansomHub), Powiat Jędrzejowski (październik 2024, RansomHub).
Do operacji o strategicznym zanczeniu dla funkcjonowania państwa należały również ataki ransomware na instytucje. W sierpniu 2024 r. hakerzy inspirowani przez zagraniczne państwo przeprowadzili atak na Polską Agencję Antydopingową (POLADA), podczas którego wyciekło wiele wrażliwych danych. Innym, słynnym incydentem był rosyjski atak na Polską Agencję Prasową (PAP), kiedy cyberprzestępcy opublikowali fałszywą depeszę o rzekomej częściowej mobilizacji wojskowej w kraju.

Rośnie liczba grup przestępczych trudniących się wymuszeniami cyberokupów
Wzmożone działania organów ścigania przeciwko dużym grupom ransomware, jak LockBit w lutym 2024 roku, doprowadziły do aresztowań, ujawnienia tożsamości liderów grup oraz przejęcia infrastruktury cyberprzestępczej. Niestety, powstało wiele mniejszych grup (46), w tym RansomHub, który przewyższył aktywnością LockBit. Ogółem liczba znanych i aktywnych grup wzrosła o 40% z 68 w 2023 roku do 95 w 2024 roku.
Z danych firmy należącej do Check Pointa wynika, że najczęściej atakowanym krajem pozostały Stany Zjednoczone z łączną ilością 936 ataków. W czwartym kwartale Indie odnotowały 44 ataki ransomware, co może wskazywać na rosnącą podatność na tego rodzaju zagrożenia.
Pod względem sektorów najczęściej atakowane były: usługi biznesowe z 451 atakami, handel detaliczny oraz przemysł produkcyjny z 201 atakami w IV kwartale. Co ciekawe najwyższy wzrost ataków odnotowało budownictwo. Ataków ransomware na ten sektor było w zeszłym roku o 50% więcej w porównaniu z 2023 rokiem.
Najbardziej aktywne grupy w 2024 roku to m.in.: RansomHub (531 ataków), LockBit, Play, Akira, IncRansom i Medusa. Dziesięć najaktywniejszych grup było odpowiedzialnych za ponad połowę (52,8%) wszystkich ataków w 2024 roku.
Wzrost ataków ransomware w 2024 roku wynikał przede wszystkim z modelu Ransomware-as-a-Service (RaaS, ang. ransomware jako usługa), który umożliwia nawet niedoświadczonym cyberprzestępcom przeprowadzanie zaawansowanych ataków. Fragmentacja dużych grup doprowadziła do powstania mniejszych, bardziej dynamicznych, co zwiększyło konkurencję i innowacyjność wśród cyberprzestępców. Dodatkowo, ewolucja technik ataków objawiła się wzrostem liczby ataków na systemy Linux i VMware ESXi oraz wykorzystywaniem narzędzi chmurowych do kradzieży danych.
Rok 2024 pokazał, że ewolucja zagrożeń wymaga ciągłego dostosowywania strategii obronnych. Organizacje muszą pozostać czujne i wdrażać wielowarstwowe podejście do cyberbezpieczeństwa, aby skutecznie przeciwdziałać rosnącym zagrożeniom.
Eksperci Cyberint zalecają, by w celu ochrony przed atakami ransomware, organizacje wdrażały zaawansowaną detekcję zagrożeń, zapewniającą bieżący monitoring aktywności sieciowej. Niezbędne jest również regularne aktualizowanie systemów, szczególnie w środowiskach Linux i VMware, aby eliminować znane luki w zabezpieczeniach. Ważnym elementem okazuje się także szkolenie pracowników w zakresie rozpoznawania prób phishingu, a współpraca z innymi organizacjami i organami ścigania może wspomóc wymianę informacji o zagrożeniach.