Aktualności

Zgłoszenia i incydenty w 2018 roku

Data publikacji: 07/03/2019, przemyslawf

Wielkimi krokami zbliża się publikacja corocznego raportu CERT Polska. Prace redakcyjne i edytorskie idą pełną parą, a w międzyczasie chcemy podzielić się z czytelnikami naszego bloga statystykami z zeszłego roku. Są one pewnym przybliżeniem krajobrazu bezpieczeństwa teleinformatycznego w Polsce, jak również obserwacją pewnych trendów pod względem liczby zarejestrowanych incydentów w podziale na kategorie. Zespół CERT Polska od wielu lat posługuje się klasyfikacją eCSIRT.net (obecnie jej szóstą wersją oznaczoną jako mkVI)1, która dość dobrze precyzuje poszczególne rodzaje incydentów.

W 2018 roku operatorzy z zespołu CERT Polska przyjęli 19439 zgłoszeń, które zostały dokładnie przeanalizowane i odpowiednio zaklasyfikowane. Spośród nich 5675 było podstawą do założenia incydentu. Odnotowaliśmy w sumie 3739 incydentów bezpieczeństwa, czyli średnio ponad 10 rejestrowanych incydentów dziennie. Pozostałe kilkanaście tysięcy zgłoszeń nieprzypisanych do żadnego incydentu to zgłoszenia nieistotne lub automatyczne alerty pochodzące z różnych systemów ostrzegania. W przypadku tych drugich nasze działania polegały najczęściej na zasileniu danymi platformy n62 lub innych, wewnętrznych systemów analitycznych.

W wielu przypadkach jeden incydent jest powiązany z kilkoma zgłoszeniami (np. trzy różne osoby zgłaszają tę samą stronę phishingową).

Poniższa tabela zawiera liczbę obsłużonych incydentów ze szczegółowym podziałem na poszczególne kategorie według klasyfikacji eCSIRT.net.

Typ incydentu Liczba incydentów %
Obraźliwe i nielegalne treści 431 11,53
Spam 419 11,21
Dyskredytacja, obrażanie 5 0,13
Pornografia dziecięca, przemoc 0 0
Niesklasyfikowane 7 0,19
Złośliwe oprogramowanie 862 23,05
Wirus 4 0,11
Robak sieciowy 0 0
Koń trojański 117 3,13
Oprogramowanie szpiegowskie 0 0
Dialer 1 0,03
Rootkit 1 0,03
Niesklasyfikowane 739 19,76
Gromadzenie informacji 101 2,7
Skanowanie 80 2,14
Podsłuch 1 0,03
Inżynieria społeczna 7 0,19
Niesklasyfikowane 13 0,35
Próby włamań 153 4,09
Wykorzystanie znanych luk systemowych 30 0,8
Próby nieuprawnionego logowania 37 0,99
Wykorzystanie nieznanych luk systemowych 0 0
Niesklasyfikowane 86 2,3
Włamania 125 3,34
Włamanie na konto uprzywilejowane 11 0,29
Włamanie na konto zwykłe 21 0,56
Włamanie do aplikacji 35 0,94
Bot 4 0,11
Niesklasyfikowane 54 1,44
Dostępność zasobów 49 1,31
Atak blokujący serwis (DoS) 7 0,19
Rozproszony atak blokujący serwis (DDoS) 35 0,94
Sabotaż komputerowy 0 0
Przerwa w działaniu usług (niezłośliwe) 1 0,03
Niesklasyfikowane 6 0,16
Atak na bezpieczeństwo informacji 46 1,23
Nieuprawniony dostęp do informacji 21 0,56
Nieuprawniona zmiana informacji 13 0,35
Niesklasyfikowane 12 0,32
Oszustwa komputerowe 1878 50,23
Nieuprawnione wykorzystanie zasobów 1 0,03
Naruszenie praw autorskich 8 0,21
Kradzież tożsamości, podszycie się 43 1,15
Phishing 1655 44,26
Niesklasyfikowane 171 4,57
Podatne usługi 69 1,85
Otwarte serwisy podatne na nadużycia 14 0,37
Niesklasyfikowane 55 1,47
Inne 25 0,67

Tabela 1. Incydenty obsłużone przez CERT Polska według typów

 

W zeszłym roku odnotowaliśmy 17,5% więcej incydentów w stosunku do 2017 roku. Najwięcej zarejestrowanych zdarzeń dotyczyło phishingu, złośliwego oprogramowania oraz spamu. W odniesieniu do statystyk z 2017 roku nastąpiła zmiana na najniższym stopniu podium w tym niechlubnym rankingu, ponieważ wtedy pierwsza trójka kształtowała się następująco: phishing, złośliwe oprogramowanie, włamania komputerowe. Jednak to phishing jest kategorią zdecydowanie dominującą i wyraźnie odstającą od reszty incydentów. Odsetek incydentów phishingowych utrzymał się na podobnym poziomie w porównaniu do 2017 roku, oscylując na poziomie ok. 44%. Najczęściej spotykane scenariusze dotyczyły phishingów na zagraniczne serwisy takie jak Netflix lub PayPal umieszczonych na skompromitowanych, polskich serwerach, jak również phishingów na polskie instytucje (głównie banki), znajdujących się w zagranicznych hostingach. Wiodącym motywem takich ataków było pozyskanie danych uwierzytelniających w celu dostępu do płatnych usług lub kradzieży środków pieniężnych z konta. Wiele wariantów scenariuszy dotyczyło także sprzedaży towarów po bardzo atrakcyjnych cenach w serwisach z ogłoszeniami. Celem było skłonienie użytkowników do skorzystania z fałszywych stron imitujących serwisy z szybkimi płatnościami online.

 

fałszywe płatności online

Strona podszywająca się pod operatora płatności online

 

W 2018 roku zauważalnie rozwinął się także proceder zakładania fałszywych sklepów internetowych. Porównując z 2017 rokiem, zespół CERT Polska zaobserwował ponad trzykrotny wzrost liczby incydentów związanych z działalnością tak zwanych fake sklepów. Duża w tym zasługa wzrostu świadomości użytkowników sieci, którzy częściej i chętniej zgłaszali nam tego typu oszustwa. Przestępcy starali się pozyskiwać jak największą liczbę ofiar na przykład poprzez pozycjonowanie reklam swoich witryn w popularnych wyszukiwarkach internetowych oraz mediach społecznościowych.

 

przykład fake sklepu

Przykład fałszywego sklepu „oferującego” elektronikę w atrakcyjnej cenie

 

Druga najpopularniejsza kategoria zdarzeń to wszelkiego rodzaju złośliwe oprogramowanie. W tym przypadku bardzo często zaznaczaliśmy typ incydentu jako „niesklasyfikowane”. Po pierwsze dlatego, że w wielu scenariuszach używane były różne typy oraz rodziny złośliwego oprogramowania, wykorzystujące szerokie spektrum stosowanych metod i technik ataku. Uniemożliwiało to jednoznaczne przypisanie do konkretnej kategorii malware’u. Po drugie bardzo często zgłaszany był do nas również ransomware, który nie posiada osobnej kategorii w klasyfikacji eCSIRT.net (a szkoda!). Pod tym względem klasyfikacja jest jeszcze niedoskonała i pozostaje mieć nadzieję, że w kolejnej iteracji się to zmieni.

Przeważająca większość zgłoszeń, które otrzymaliśmy w związku ze wszystkimi rodzajami złośliwego oprogramowania, dotyczyła ataków na polskich użytkowników. Popularnym scenariuszem ataku pozostały maile z fałszywą fakturą, nakazem zapłaty (lub dopłaty) albo informacją o przesyłce od kuriera, zawierające plik ze skryptem, dokumentem z makrami lub linkiem odsyłającym do strony dystrybuującej złośliwe oprogramowanie (np. malware ukierunkowany na użytkowników bankowości elektronicznej oraz mobilnej).

 

mail z fałszywą fakturą

Mail ze złośliwym załącznikiem pod postacią fałszywej faktury

 

W tym roku pierwszy raz publikujemy również klasyfikację incydentów obsłużonych przez nasz zespół w podziale na sektory gospodarki. Szczegółowy podział znajduje się w tabeli poniżej. Na pierwszy rzut oka wyraźnie widać bardzo wysoki odsetek incydentów oznaczonych jako Inne (3 z 4 incydentów dotyczyły właśnie tej kategorii podmiotów). Są to głównie zgłoszenia dotyczące osób fizycznych lub podmiotów prywatnych. Na kolejnych miejscach znalazły się incydenty, które dotknęły sektor bankowy oraz sektor publiczny. Tych ostatnich w porównaniu do kategorii Inne było jednak niewiele. Zdajemy sobie sprawę, że przedstawiona klasyfikacja nie jest idealna. Stworzyliśmy ją, zanim zespół CERT Polska, na mocy ustawy o Krajowym Systemie Cyberbezpieczeństwa został wyznaczony na jeden z trzech CSIRTów poziomu krajowego. Teraz, gdy ustawa już obowiązuje, będziemy mogli doprecyzować klasyfikację tak, aby w kolejnych latach jak najlepiej oddawała obraz bezpieczeństwa teleinformatycznego kraju w ujęciu sektorowym.

Sektor gospodarki Liczba incydentów %
Infrastruktura cyfrowa 29 0,78
Służba zdrowia 13 0,35
Bankowość 643 17,2
Finanse 62 1,66
Energetyka 20 0,53
Transport 51 1,36
Sektor publiczny 85 2,27
Wodociągi 2 0,05
Inne 2834 75,8
Razem 3739 100

Tabela 2. Incydenty obsłużone przez CERT Polska według klasyfikacji ze względu na sektor gospodarki

 

Więcej obserwacji znajdziecie już wkrótce w naszym raporcie rocznym. Zachęcamy do śledzenia bloga CERT Polska oraz naszych profilów w mediach społecznościowych, aby być na bieżąco z doniesieniami dotyczącymi publikacji raportu.

Rozwijamy otwarty sandbox Cuckoo

Data publikacji: 22/02/2019, piotrb

Przez ostatni rok współpracowaliśmy z Hatching.io nad rozwojem projektu Cuckoo Sandbox. Skupiliśmy się głównie na wdrożeniu zaawansowanych mechanizmów analizy pamięci, opracowanych przez nasz zespół w ciągu ostatnich lat. Opublikowanie narzędzia onemon jest ostatnim etapem naszej współpracy. Cieszymy się, że jej wyniki są teraz dostępne dla całego środowiska zajmującego się bezpieczeństwem informacji.
Czytaj więcej

ECSM 2018 – rozwiązania zadań

Data publikacji: 22/01/2019, Krzysztof Stopczański

Poniżej przedstawiamy rozwiązania do zadań, które pojawiły się na organizowanym przez CERT Polska CTF-ie organizowanym w ramach Europejskiego Miesiąca Cyberbezpieczeństwa. Przez przeczytaniem zachęcamy do próby samodzielnego zmierzenia się z nimi – zadania są dostępne w portalu https://hack.cert.pl/
Czytaj więcej

Przeciwdziałanie phishingowi wykorzystującemu technikę man-in-the-middle

Data publikacji: 21/01/2019, Michał Leszczyński

Zespół CERT Polska zaobserwował interesującą technikę phishingową zastosowaną wobec użytkowników popularnego polskiego agregatora treści. W sieci zrobiło się również głośno za sprawą pojawienia się nowego narzędzia Modlishka służącego do automatyzacji tego typu ataków. Artykuł opisuje mechanizm ataku oraz przedstawia nasze rekomendacje dla twórców stron internetowych.Czytaj więcej

MWDB – nasz sposób na współdzielenie informacji na temat złośliwego oprogramowania

Data publikacji: 16/01/2019, CERT Polska

Analiza bieżących zagrożeń w postaci złośliwego oprogramowania stanowi jedno z najczęstszych wyzwań stojących wobec niemal każdej organizacji zajmującej się cyberbezpieczeństwem. Z roku na rok staje się ona również coraz cięższym orzechem do zgryzienia, na co niewątpliwie wpływ ma rosnąca skala działań podejmowanych przez przestępców i stopień ich zaawansowania. W obliczu tej sytuacji, sprawna wymiana informacji pomiędzy analitykami stanowi kluczowe zagadnienie.Czytaj więcej

Trojan oraz ransomware w kampanii podszywającej się pod InPost

Data publikacji: 11/12/2018, Mateusz Szymaniec

Przez kilka ostatnich dni obserwujemy kampanię e-mailową, w której fałszywi nadawcy podają się za firmę kurierską InPost. Wiadomości informują o przesyłce gotowej do odbioru w jednym z paczkomatów. Adres paczkomatu oraz pin potrzebny do odbioru przesyłki ma być dostępny po pobraniu pliku z linku widocznego w wiadomości. Do tej pory wyróżniliśmy dwa typy zagrożeń, które czekają na użytkowników po uruchomieniu pobranych plików. Jednym z nich jest trojan pozwalający na zdalny dostęp do komputera ofiary, a drugim oprogramowanie szyfrujące pliki – ransomware.

Osobom, których pliki zostały zaszyfrowane zdecydowanie odradzamy płacenia okupu. Prosimy takie osoby o bezpośredni kontakt pod adres [email protected], ponieważ jest szansa na odzyskanie Państwa plików.

Czytaj więcej

Automatyczne wyszukiwanie podatności bezpieczeństwa na dużą skalę

Data publikacji: 30/07/2018, Kamil Frankowicz

Problematyka podatności bezpieczeństwa dotyczy praktycznie wszystkich programów lub bibliotek wykorzystywanych w codziennej pracy. Proaktywność w tej kwestii jest jednym z kluczy do dostarczania wysokiej jakości oprogramowania, które zapewni spokojny sen osobom zajmującym się bezpieczeństwem IT.

W ciągu ostatnich dwóch lat firma Google za pomocą inicjatywy OSS-Fuzz, wykryła oraz zgłosiła ponad osiem tysięcy błędów w szerokim spektrum projektów open source, m.in. Tor Browser, ImageMagick czy FreeType2.
Czytaj więcej

Analiza bota Smoke Loader

Data publikacji: 18/07/2018, Michał Praszmo

Smoke Loader (znany także jako Dofoil) jest względnie małym, modularnym botem używanym do instalowania różnych rodzin złośliwego oprogramowania.

Mimo że został zaprojektowany głównie z myślą o pobieraniu oprogramowania, to posiada parę funkcji, które czynią go bardziej trojanem niż zwykłym dropperem.

Nie jest nowym zagrożeniem, ale nadal jest rozwijany i aktywny. W ostatnich miesiącach zaobserwowaliśmy jego udział w kampaniach malspamowych i RigEK.

W artykule pokażemy jak Smoke Loader rozpakowuje się i jak wygląda jego komunikacja z serwerem C2.

Czytaj więcej

Techniczne aspekty organizacji zawodów i ćwiczeń CTF

Data publikacji: 09/07/2018, Michał Leszczyński


Zawody CTF (ang. Capture The Flag) bardzo często są znakomitą zabawą, ale pełnią również nieocenioną rolę w doskonaleniu umiejętności specjalistów IT security. Tego typu przedsięwzięcia stawiają wyzwania zarówno przed uczestnikami, jak i organizatorami. Ten artykuł omówi aspekty organizacyjne ćwiczeń z zakresu cyberbezpieczeństwa na przykładzie European Cyber Security Challenge 2018.

Czytaj więcej