COVID19,  cybercrime,  cybersecurity

Pandemia COVID-19 a cyberprzestępcy [INTERPOL, EUROPOL]

W tym texcie na podstawie raportów globalnych agencji (INTERPOL, EUROPOL) opowiemy sobie o tym:



  1. jakimi wartościami kierują się cyber gangi?
  2. czy szpitale są wolne od ataków i czy przestępcy lubią firmy farmaceutyczne?
  3. jak przestępcy wykorzystują pandemię?
  4. jakie rodzaje ataków są najbardziej popularne? (zob. przykład z dywanem)
  5. jak reagują na to największe agencje na świecie?

Czy cyber przestępcy atakują szpitale?

Niektóre z ransomware’owych gangów ogłosiły, że w czasie pandemii nie będą atakować podmiotów zdrowotnych i medycznych.

Co dokładnie cyber gangi mówią?

Wczytajmy się więcej w to, co odpowiedział jeden z gangów (ładne słowo w tym kontekście) na zadane mu przez BleebingComputer pytania. CLOP Ransomware potwierdził, że nigdy nie atakował szpitali i organizacji charytatywnych, i że to się nie zmieni.

we never attacked hospitals, orphanages, nursing homes, charitable foundations, and we won’t. commercial pharmaceutical organizations are not suitable for this list; they are the only ones who benefit from the current pandemic.

Jak widzicie, organizacja jednak nie paja sympatią do firm farmaceutycznych. Na pytanie, czy w razie ataku przekazaliby takiej firmy dekryptor, reprezentant grupy przestępczej odpowiedziała tak:

the international health organization conducts vaccine tests, we follow  the news, if there is actual evidence of the laboratory working on the  vaccine, of course we will give the key for free, we are not enemies of  humanity, but commercial laboratories that are trying to trick us will never get the key. our goal is money, not harm.

No i co z tego wynika? Akurat kierujący tym gangiem wsparliby organizację pracującą nad szczepionką. Jednak zauważ, że komercyjne laboratorium, które pragnie zrobić nas w konia nie byłoby już dla CLOP Ransmoware partnerem do rozmowy. Co warte podkreślenia, jest tutaj ciekawe oświadczenie ideowe:

naszym celem jest pieniądz, nie krzywda.

Jak można się domyślić pozostałe organizacje odpowiedziały w podobnym duchu wskazując, że organizacji non-profit nie ruszają i w razie awarii, byłyby gotowe nieodpłatnie odszyfrować zasoby zaatakowanych.

Cyber gang nie wszystkich lubią

W wypowiedziach tych organizacji widać także wyraźna niechęć do podążających za zyskiem korporacji. DoppelPaymer Ransomware mocno oświadczyli, że nie mają zamiaru wspierać biznesu farmaceutycznego. Jednocześnie organizacja określiła, że w czasie, gdy lekarze coś robią, Ci faceci po prostu zarabiają. Zostawiam Was samych z tym cytatem:

While doctors do something, those guys earns.

Cytaty pochodzą z tego artykułu – klik 

A co na to jasna strona mocy?

Niektórzy z jej przedstawicieli korzystają z retoryki emocjonalnej, tak jak CRO F-Secure, który tweetuje tak:

Sam nie jestem przekonany. Temat jest chyba o tyle wrażliwy, o ile nie powinno się nim drażnić przeciwnika. Byłbym spokojniejszy, gdyby zwalczającym cyber ataki towarzyszyło inne hasło, np. hasło Jednostki Wojskowej Komandosów: „cisi i skuteczni”.

Rzeczywistość jest mniej szczęśliwa

Pewnie nie zdziwicie się, gdy napiszę, że organizacje medyczne (nie tylko te komercyjne, ale także szpitale!) wcale nie zniknęły z celownika wszystkich atakujących. Co więcej, wśród atakujących ransomware’ów znalazł się także ten, który oświadczył, że atakować nie będzie. No a chyba przez pomyłkę zrobił inaczej… Więcej o przykładowych atakach przeczytacie na niebezpieczniku – klik.

Co na to wszystko INTERPOL?

INTERPOL powtórzył truizm, że szpitale poza oczywistym wyzwaniem, jakim jest walka z koronawirusem, stoją także przed kolejnym: jakim jest zmierzenie się z cyber atakami, a szczególnie ransmoware.

Oczywiście obiecał, że we współpracy z prywatnymi firmami z branży cyberbezpieczeństwa będzie chronił narażone instytucje i zwalczał przestępców. Tego zagrożenia nie możemy bagatelizować, bo decyduje o ludzkim życiu, co potwierdza w swojej wypowiedzi szef INTERPOLU:

Locking hospitals out of their critical systems will not only delay the swift medical response required during these unprecedented times, it could directly lead to deaths.

W swoim komunikacie, INTERPOL przypomina także podstawowe zasady cyberbezpieczeństwa, które przeklejam poniżej:

  1. otwieraj tylko e-maile i pobieraj oprogramowanie / aplikacje z zaufanych źródeł;
  2. nie klikaj na linki i nie otwieraj załączników z e-maili, których się nie spodziewałeś albo które pochodzą od nieznanego nadawcy;
  3. chroń skrzynkę pocztową przed spamem, który może być zainfekowany;
  4. regularnie twórz kopię zapasową ważnych plików i przechowuj je w miejscu niezależnym od systemu (chmura, dysk przenośny)
  5. upewnij się, że masz aktualnego antywirusa na wszystkich systemach i urządzeniach mobilnych, no i że on wciąż działa. ; )
  6. używaj silnych haseł dla wszystkich systemów i aktualizuj je regularnie.

Sami widzicie, że INTERPOL bynajmniej tutaj nie poszalał, a u cyberbezpieczników te wytyczne mogą budzić śmiech politowania. Podejrzewam jednak, że w komunikacji wewnętrznej poziom zaawansowania takich informacji może być zgoła inny…

Szersze omówienie takich zasad znajdziecie w raporcie Prawo a Koronawirus, do którego linkuję w dalszej części textu.

A EUROPOL?

Europol wydał dwa krótkie raporty.

Pierwszy raport jest rzutem oka na zaadaptowanie działań cyberprzestępców do epidemii i został stworzony na podstawie informacji, które EUROPOL odebrał od państw członkowskich UE.

EUROPOL wskazał na 6 czynników wpływających na wykorzystanie COVID-19 przez smart przestępców:

  1. wysoki popyt na niektóre towary (sprzęt ochronny i produkty farmaceutyczne);
  2. wzrost telepracy i aktywności w sieci (nie zawsze w przygotowanych środowiskach);
  3. zwiększony niepokój i strach (taki stan może być wykorzystywany przy socjotechnice);
  4. zmniejszona mobilność i przepływ osób w UE i poza jej granicami;
  5. ograniczenia w życiu publicznym pozwalające na ukrycie bezprawnych aktywności i przeniesienie ich do sieci;
  6. zmniejszenie podaży niektórych nielegalnych towarów w UE.

Uwidaczniając reakcję przestępców na wysoki popyt na towary przeznaczone do ochrony przed rozprzestrzenianiem się COVID-19, EUROPOL podaje przykłady oszustw związanych z ofertą tych towarów. Pod hasłem supply scams agencja przytacza następujące sprawy:

  1. śledztwo w jednym z państw członkowskich, gdzie doszło do transferu 6,6 mln EUR z jednej firmy do drugiej w Singapurze, by kupić środki ochrony; towaru nigdy nie odebrano;
  2. w innym przypadku miało dojść do nabycia 3.85 mln masek ochronnych; przedsiębiorca stracił 300.000 EUR.

EUROPOL wymienia również duża skalę handlu podrobionymi lekami. Jeśli na kimś robią wrażenie liczby, to na tej stronie EUROPOLU można się z nimi zapoznać.

Perfidny przykład cygana z dywanem

Brzmi jak click bait, ale bynajmniej tak nie jest. Pamiętacie modus operandi, który polegał na wtargnięciu przez przestępców do mieszkania pod pozorem sprzedaży dywanu, w konsekwencji kradzież rzeczy znajdujących się w miejscu przestępstwa? Podobny model działania tylko oczywiście zaktualizowany raportują do EUROPOLU państwa członkowskie.

EUROPOL nazywa te działania faking i entering. Jak nie trudno się domyślić polegają one na tym, że przestępcy często zakamuflowani w odzież ochronną zamiast dywanu przynoszą do miejsca zamieszkania ofiary testy na koronawirusa. Wykorzystując w ten sposób zaufanie otwierającego drzwi i kradną kosztowności. Ten rodzaj bezprawnych działań skierowany jest w osoby samotne i starsze.

Drugi raport EUROPOLU

W drugim raporcie EUROPOL przypomina podstawowe typy cyberprzestępstw, a mianowicie:

  1. ransomware, czyli wykorzystaniu złośliwego oprogramowania do zaszyfrowania plików i kolejno żądania okupu za ich odszyfrowanie. Pandemia wpłynęła na wykorzystanie informacji o COVID-19 do rozsyłania kampanii phishingowej ze złośliwym oprogramowaniem. Cyber gangi mają też atakować częściej oraz szybciej informować ofiary, że zostały atakowane i zgłaszać żądanie okupu.
  2. DDoS – to atak z wielu urządzeń jednocześnie na sieć lub inne urządzenia, który wysyła wzmożoną liczbę zapytań i prowadzi do wysypania się usługi lub sieci podłączonych urządzeń (EUROPOL podaje, że na razie nie odnotował wzrostu tych ataków, ale przewiduje, że sytuacja się zmieni. Ma tak być, bo już sam wzrost legalnej aktywności w sieci stawia pod znakiem zapytania jej przepustowość. Zwracał także na to uwagę Prezes Urzędu Komunikacji Elektronicznej w swoim piśmie do operatorów. Płynie z tego prosty wniosek, jeśli sami przeciążamy sieć w znacznym stopniu, to atakujący nie będą musieli wysilać się tak jak wcześniej.
  3. Seksualne wykorzystywanie dzieci; ten wątek wydał mi się z początku nie do końca zrozumiały i nie związany z pandemią, jednak przytoczone przez EUROPOL treści z darkwebu pozwalają sobie wyobrazić, że i tego tematu służby lekceważyć nie mogą.

Cytat z forum umieszczony przez Europol w Raporcie:

hello now with this quarantine almost worldwide you think that there will be more children on omegle there will be people taking it out Packs you who think there will be new materials that will go up in boystown there will be more children who without the need to enter omegle suddenly take out pack by fb or by other media suddenly do not upload it by boystown maybe they viralise it in groups you think it will be true all this or not.

*omegle to videochat do rozmów z nieznajomymi; nie chcę mi się tam zaglądać jak coś.

Oczywiście EUROPOL wspomina także o fali rejestracji domen związanych z tematyką koronawirusa, przeznaczonych do bezprawnej działalności. To temat mniej emocjonujący, ale pewnie nie można pozostawić go samemu sobie. Tak też nie dzieje się w Polsce.

Zwalczanie podejrzanych domen w Polsce

Warto zauważyć, że na polskim podwórku pandemia przyczyniła się do inicjatywy publiczno-prywatnej, która zwalczać ma podejrzane domeny. Za porozumienie odpowiada Ministerstwo Cyfryzacji, NASK oraz największe telekomy. Podejrzane domeny można zgłaszać na dedykowanej stronie CERTU – tutaj.

Raport Koronawirus a Prawo

*Na margnesie, w najbliższym czasie przygotuję krótki zbiór pojęć, które będą pomocne w uchwyceniu przestępstw w cyberprzestrzeni. Jednak już w tej chwili polecam Wam wydany przez Wydawnictwo Must Read Media raport Koronawirus a Prawo. Tam do współpracy zaprosił mnie Ireneusz Piecuch, gdzie w rozdziale Cyberbezpieczeństwo, zwracamy uwagę na podstawowe zagrożenia związane z telepracą oraz omawiamy stanowiska największych agencji cyberbezpieczeństwa – NIST oraz ENISA.

Co zatem wykorzystują smart przestępcy?

Jak możecie razem ze mną zauważyć, każda kryzysowa sytuacja może wywoływać albo obnażyć czynniki, takie jak:

  1. słabość ludzi i organizacji;
  2. większy apetyt na ryzyko;
  3. skłonność do przełamywania zasad etyki;
  4. podatności na zachowania przestępcze, np. korupcyjne.

Każdy z powyższych czynników może być wykorzystywany nie tylko przez cyber przestępców, ale równie dobrze przez tych działających wciąż tradycyjnymi metodami. Co więcej, może być też motywem dla tych, którzy jak dotąd działali legalnie.

Co warto zapamiętać?

Po lekturze tego textu, warto abyśmy pamiętali o:

  1. uważnym działaniu w sieci;
  2. dostosowaniu umów oraz infrastruktury do pracy zdalnej;
  3. bezpiecznym i zgodnym z prawem przetwarzaniu danych;
  4. szkoleniu pracowników w tych zakresach;
  5. sprawdzeniu kontrahentów staranniej niż zwykle;
  6. tajemnicy przedsiębiorstwa;
  7. ważnej roli sygnalistów;
  8. godnym rozchodzeniu się (tylko gdy jest to konieczne)  z pracownikami  i współpracownikami.

Photo by Markus Spiske on Unsplash

Photo by Nahel Abdul Hadi on Unsplash

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *