Anul trecut nu au lipsit atacurile cibernetice perturbatoare – iată o prezentare a unora dintre cele mai grave hack-uri și breșe de date care au afectat o varietate de ținte din întreaga lume în 2022.

În 2022, economia globală a trecut de la o criză la alta. Pe măsură ce cazurile de COVID-19 au început, în cele din urmă, să scadă în multe regiuni, au apărut noi elemente perturbatoare: creșterea facturilor la energie, creșterea inflației și o criză a creșterii costului vieții  – unele dintre acestea stimulate de invazia Ucrainei de către Rusia. În cele din urmă, toate aceste incidente au deschis ușa către noi oportunități pentru actorii rău intenționați motivați financiar. 

Incidentele au vizat instituții guvernamentale, spitale, firme de criptomonede și multe alte organizații. Costul unei breșe de încălcare a datelor se ridică acum la aproape 4,4 milioane USD și, atâta timp cât actorii amenințărilor continuă să obțină succese precum cele de mai jos, ne putem aștepta să crească și mai mult pentru 2023.

Iată 10 dintre cele mai grave incidente cibernetice ale anului, fie pentru daunele provocate, nivelul de sofisticare sau consecințele geopolitice. Putem începe lista cu operațiuni informatice rău intenționate care au vizat Ucraina și au ridicat imediat îngrijorări cu privire la ramificațiile lor mai largi și riscurile cibernetice asociate cu care se confruntă lumea în general.

Ucraina sub atac cibernetic: infrastructura critică a Ucrainei a fost, din nou, luată în vizor de actorii amenințărilor. La începutul invaziei din partea Rusiei, cercetătorii ESET au lucrat îndeaproape cu CERT-UA pentru a remedia un atac care a vizat rețeaua țării și a implicat malware distructiv pe care Sandworm încercase să îl implementeze împotriva substațiilor electrice de înaltă tensiune. Programul malware Industroyer2, pe care ESET l-a numit după un malware infam folosit de grup pentru a opri alimentarea cu energie electrică în Ucraina în 2016, a fost folosit în combinație cu o nouă versiune a variantei distructive CaddyWiper, cel mai probabil pentru a ascunde urmele grupului, a încetini protocoalele de răspuns la incidente și a împiedica operatorii companiei energetice să recâștige controlul asupra consolelor ICS.

Programe de tip wiper: CaddyWiper a fost departe de a fi singurul program ștergător de date distructiv descoperit în Ucraina chiar înainte sau în primele săptămâni ale invaziei Rusiei. Pe 23 februarie, telemetria ESET a detectat HermeticWiper pe sute de dispozitive din mai multe organizații din Ucraina. A doua zi, a început un al doilea atac distructiv, de ștergere a datelor, împotriva unei rețele guvernamentale ucrainene, de data aceasta livrând IsaacWiper.

Internetul este oprit: Cu doar o oră înainte de invazie, un atac cibernetic major împotriva companiei comerciale de internet prin satelit Viasat a perturbat serviciul de internet în bandă largă pentru mii de oameni din Ucraina și chiar din alte părți ale Europei, lăsând în urmă mii de modemuri blocate. Atacul, care a exploatat un dispozitiv VPN configurat greșit pentru a obține acces la secțiunea de gestionare a rețelei de satelit, se crede că a avut scopul de a afecta capacitățile de comunicare ale comandamentului ucrainean în primele ore ale invaziei. Efectele sale au fost resimțite cu mult dincolo de granițele Ucrainei.

Alt articol similar: Raportul ESET Threat Report T1 2022

Conti în Costa Rica: Un jucător important în domeniul criminalității cibernetice în acest an a fost grupul de Ransomware-as-a-Service (RaaS) Conti. Unul dintre cele mai îndrăznețe atacuri ale acestuia a fost cel împotriva micuței națiuni sud-americane Costa Rica, unde a fost declarată starea de urgență națională după ce guvernul a calificat un atac paralizant drept un act de „terorism cibernetic”. Grupul nu a mai acționat de atunci, deși este posibil ca membrii săi să fi trecut pur și simplu la alte proiecte sau să activeze în domeniul vânzărilor de produse en-gros rebranduite, deoarece aceasta este o manevră pe care uneori grupurile RaaS o pun în practică pentru a evita controlul autorităților de aplicare a legii și al guvernelor.

Alți actori de ransomware au fost, de asemenea, în mijlocul acțiunii în 2022. O alertă CISA din septembrie a explicat că actorii de amenințări afiliați Iranului au compromis un guvern municipal american și o companie aerospațială, printre alte ținte, prin exploatarea vulnerabilității Log4Shell pentru campanii de ransomware. De asemenea, o breșă de securitate în cadrul guvernului SUA, semnalată din noiembrie, a fost pusă și ea pe seama Iranului: o organizație fără nume a sucursalei executive civile federale (FCEB) a fost hackuită și a fost implementat malware pentru minare de criptomonede.

Citește și: ESET APT - Raport de activitate pentru trimestrul 2 2022

Rețeaua Ronin: a fost creată de dezvoltatorul vietnamez de jocuri blockchain Sky Mavis pentru a funcționa ca un sidechain Ethereum pentru jocul său Axie Infinity. În martie, s-a constatat că hackerii au reușit să folosească chei private deturnate pentru a falsifica retrageri în valoare de 173.600 Ethereum (592 milioane USD) și 25,5 milioane USD prin puntea Ronin, în două tranzacții. Furtul rezultat în valoare de 618 milioane USD, la prețurile din martie, a fost cel mai mare de la o firmă de criptomonede. Infamul grup nord-coreean Lazarus a fost legat de incident. Această țară a fost relaționată în trecut cu furturi în valoare de miliarde de dolari, folosite pentru a-și finanța programele nucleare și de rachete.

Lapsus$ a apărut pe scena infracțiunilor cibernetice în 2022, ca un grup de extorcare care folosea furturi de date importante pentru a forța plata de la victime, cu precădere corporații. Acestea au inclus Microsoft, Samsung, Nvidia, Ubisoft, Okta și Vodafone. Printre numeroasele sale metode se numără mituirea persoanelor din interior și a contractorilor acestora. Deși grupul a fost relativ tăcut pentru o vreme, a reapărut la sfârșitul anului după ce a compromis Rockstar Games, dezvoltatorul jocului Grand Theft Auto. Mai mulți presupuși membri ai grupului au fost arestați în Marea Britanie și Brazilia.

Crucea Roșie Internațională (ICRC): În ianuarie, CICR a raportat o încălcare majoră care a compromis detaliile personale a peste 515.000 de victime „foarte vulnerabile”. Datele furate de la un antreprenor elvețian au inclus detalii despre persoane separate de familiile lor din cauza conflictelor, migrației și dezastrelor, despre persoane dispărute și familiile acestora și despre persoane aflate în detenție. Ulterior, breșa a fost pusă pe seama unui stat național fără nume și a avut loc atunci când a fost exploatat un sistem pentru care nu s-au instalat patch-urile corespunzătoare. 

Uber: gigantul de transport a fost atacat prima dată în 2016, când au fost furate detalii despre 57 de milioane de utilizatori. În septembrie 2022, a fost raportat că un hacker, potențial membru al Lapsus$, a compromis sisteme de e-mail și cloud, depozite de coduri, un cont intern Slack și bilete HackerOne. Actorul a vizat un contractant extern Uber, cel mai probabil procurând parola corporativă de pe dark web.

Medibank: Datele personale ale tuturor celor patru milioane de clienți ai gigantului australian de asigurări de sănătate au fost accesate de actorii de ransomware într-un atac care ar putea ajunge să coste firma 35 de milioane de dolari. Se crede că cei responsabili sunt legați de infamul Ransomware-as-a-Service (RaaS) REvil (alias Sodinokibi), care compromite date de conectare privilegiate pentru accesul inițial în rețeaua vizată. Cei afectați se confruntă acum cu o potențială avalanșă de tentative de fraudă de identitate.

Orice s-ar întâmpla în 2023, unele dintre 10 incidente majore ar trebui să servească drept exemplu și să determine o stare de vigilență sporită la toate nivelurile. Proiectați și implementați corect procesele și operațiunile dvs. de securitate cibernetică, organizați cursuri de conștientizare a securității cibernetice pentru toți angajații și colaborați cu companii de securitate reputate ale căror soluții pot face față metodelor complexe derulate de infractorii digitali în atacurile lor.