Polskie firmy logistyczne celem sabotażu

Znaczna część firm wie już sporo na temat cyberbezpieczeństwa i zna najczęstsze zagrożenia jak np. kampanie phishingowe. Okazuje się jednak, że poza zwykłymi atakami, motywowanymi chęcią zarobku, polskim firmom grożą również grupy hackerów-sabotażystów. Pokazuje to historia ataków na polskie firmy transportowe i logistyczne, które przeprowadziła rosyjska grupa znana jako Sandworm.

Od listopada 2022 roku grupa Sandworm prowadziła ataki sabotujące działania polskich firm logistycznych i transportowych. Ataki na pierwszy rzut oka opierały się na znanym schemacie ransomware. Przestępcy włamywali się do firmowych systemów i blokowali dostęp do informacji, żądając okupu za jego przywrócenie. Jednak w tym przypadku, nie był to standardowy ransomware – przestępcy kasowali dane. Ofiarami ataku padły setki komputerów w wielu polskich firmach. Do czego zostały wykorzystane skradzione dane? Tego pewnie nie dowiemy się nigdy.

Atak był wymierzany również w ukraińskie firmy, co pozwala łączyć go z trwającą za naszą wschodnią granicą wojną i istotną rolą, którą Polska odgrywa w pomocy sąsiadom. Co więcej, wielokrotnie zdarzało się już, że ataki prokremlowskich cyberprzestępców, nakierowane na Ukrainę, rozlewały się i inne kraje były atakowane niejako rykoszetem. Tym razem możemy mieć jednak pewność, że atak na polskie firmy był celowy.

- Inne, obserwowane do tej pory zagrożenia, albo miały wbudowane mechanizmy samodzielnego, nieograniczonego rozprzestrzeniania się, albo były rozsyłane na masową skalę. W przeciwieństwie do nich, ataki z wykorzystaniem oprogramowania ransomware Prestige były bardzo ukierunkowanymi włamaniami do sieci firmowych w celu zakłócenia ich działania – mówi Robert Lipovsky, Principal Threat Intelligence Researcher w firmie ESET.

Głównym wnioskiem, który firmy powinny wyciągnąć z tej sytuacji, jest to, że cyberprzestępczość stanowi naprawdę poważne zagrożenie. Nie chodzi tutaj już tylko o przestępczość związaną z kradzieżami. Na szali stoi znacznie więcej m.in. bezpieczeństwo międzynarodowe. Można byłoby przypuszczać, że tego rodzaju zagadnienia dotyczą tylko państwowych czy międzynarodowych instytucji. Okazuje się jednak, że sektor prywatny musi równie często zerkać przez ramię.

W tej sytuacji nie wystarczy już standardowe zapobieganie cyberzagrożeniom. Każda firma powinna ocenić stopień, w którym jest narażona na bardziej wyrafinowane ataki i odpowiednio dopasować do niego swój sposób ochrony.

- Firmy muszą stale poprawiać swoją odporność na cyberzagrożenia. Niestety nie ma tu drogi na skróty. Działania muszą być długoterminowe i odpowiednio dopasowane do wielkości organizacji oraz jej potencjalnego narażenia na zaawansowane ataki. Oczywiście nadal obowiązują standardowe zasady bezpieczeństwa: prawidłowe zarządzanie aktualizacjami jest koniecznością, podobnie jak korzystanie z wieloskładnikowego uwierzytelnienia oraz ciągłe szkolenie pracowników. W przypadku większych przedsiębiorstw coraz bardziej konieczne staje się również wdrażanie rozwiązań XDR i prowadzenie wysokiej jakości analizy zagrożeń, aby sprawnie identyfikować je w swoim środowisku – mówi Robert Lipovsky.

Rozwiązania XDR, czyli Extended Detection and Response, stanowią zaawansowaną strategię w zakresie cyberbezpieczeństwa, którą stosuje się w celu skutecznej ochrony przed różnego rodzaju atakami. Kluczową cechą XDR jest jego zdolność do integracji danych pochodzących z różnych źródeł, takich jak komputery i inne firmowe urządzenia (endpoints), sieci czy chmura obliczeniowa. Ta wszechstronność pozwala na kompleksową analizę informacji, co z kolei umożliwia lepsze zrozumienie i szybsze reagowanie na ewentualne zagrożenia.

Co istotne, XDR wykorzystuje zaawansowane technologie, takie jak metody sztucznej inteligencji, w tym uczenie maszynowe, aby zautomatyzować proces analizy danych. To oznacza, że system potrafi samodzielnie identyfikować podejrzane działania czy anomalie, przyspieszając reakcję na potencjalne ataki. Rozwiązania XDR nie ograniczają się jedynie do wykrywania zagrożeń; ich istotną rolą jest również aktywne reagowanie w celu zminimalizowania szkód i ochrony systemu przed dalszymi atakami.