Group-IB prezentuje cybertrendy: Polska drugim najbardziej dotkniętym krajem w Europie przez grupy hakerskie powiązane z rządami w 2023 roku

Group-IB, wiodący twórca technologii cybernetycznych do śledzenia, zapobiegania i zwalczania przestępczości cyfrowej, przedstawił kompleksowy przegląd krajobrazu zagrożeń cybernetycznych w regionie europejskim na lata 2023/2024 w wydaniu corocznego raportu Hi-Tech Crime Trends. Raport dostarcza szczegółowe analizy ewolucji wyzwań związanych z cyberbezpieczeństwem w Europie.

Amsterdam | W 2023 roku badacze Group-IB zidentyfikowali, że liczba ataków ransomware w Europie wzrosła o około 52%, a głównymi celami są firmy z sektorów produkcji, nieruchomości i transportu. Wielka Brytania, Francja i Niemcy utrzymały swój status najczęściej atakowanych krajów przez podmioty przestępcze stosujące Ransomware-as-a-service (RaaS). W ciągu 2023 roku region stał się areną dla 108 cyberataków przeprowadzonych przez różne grupy hakerów wspierane przez państwa. Głównymi celami były instytucje rządowe i wojskowe, na które przeprowadzono 48 ataków. Information stealers stanowią poważne zmartwienie, ich działania wpłynęły na 250 000 zainfekowanych urządzeń (o 23% więcej niż w 2022 roku) w Europie, których dzienniki zostały udostępnione na Underground Clouds of Logs (UCL), oraz dodatkowych 647 485 hostów, których dzienniki były wystawione na sprzedaż na rynkach podziemnych, co stanowi 28% więcej niż rok wcześniej. Jednocześnie raport zauważa, że nastąpił 7% spadek liczby ofert sprzedaży początkowego dostępu do skompromitowanych sieci w regionie. Ponadto ponad 1 milion skompromitowanych kart zarejestrowanych w Europie pojawiło się w cyberprzestępczym podziemiu w 2023 roku — liczby z 2022 roku nie zmieniły się.

Europa na celowniku

Analitycy Group-IB odkryli, że w zeszłym roku region europejski był drugim obszarem pod kątem ataków typu advanced persistent threats (APTs). Podsumowując, w roku 2023 Group-IB przypisał 523 ataki grupom hakerskim kontrolowanym przez reżimowe rządy na całym świecie. Ataki na europejskie organizacje stanowiły 21% ogólnej liczby ataków na świecie. Europa doświadczyła 108 ataków cybernetycznych przeprowadzonych przez różne grupy hakerów wspierane przez państwa reżimowe. Najważniejszymi grupami działającymi w Europie były Lazarus, Mustang Panda, APT41 i Sandman (wszystkie z Azji Wschodniej), oraz APT28, BlackEnergy, Gamaredon, Turla i Callisto (wszystkie z regionu Wspólnoty Niepodległych Państw). Ataki były złożone i celowane, co podkreśla rosnącą tendencję do wykorzystywania cyberprzestrzeni do osiągania celów związanych z rządem.

Ukraina była głównym celem ataków z udziałem grup hakerskich kontrolowanych przez rządy reżimowe (31 odnotowanych ataków), co prawdopodobnie jest odzwierciedleniem trwających konfliktów politycznych w regionie. Cztery inne najbardziej dotknięte kraje w Europie przez grupy APT to Polska (11 ataków), Niemcy, Francja i Włochy z 6 atakami przypadającymi na każdy z tych krajów.

Instytucje rządowe i wojskowe w Europie były głównymi sektorami zainteresowania grup APT, z 48 atakami przeprowadzonymi przeciwko nim. To pokazuje, że grupy wspierane przez państwa są szczególnie zainteresowane obszarami wpływającymi na bezpieczeństwo narodowe i politykę zagraniczną.

Kroniki ransomware: podwójny wzrost w 2023 roku

Ataki typu Ransomware, utrzymują kluczową pozycję zarówno pod względem skali, jak i wpływu, na zagrożenie dla europejskiego rynku. Ponownie Europa stała się drugim najczęściej atakowanym regionem

na świecie zaraz po Ameryce Północnej, gdzie dane 1186 firm z Europy zostały opublikowane na stronach DLS ransomware. Oznacza to przybliżony wzrost o 52% w porównaniu do poprzedniego roku, gdy informacje należące do 781 europejskich firm, których dane pojawiły się na DLS.

W 2023 roku sektor produkcji był najczęściej atakowany w regionie, stanowiąc 16% wszystkich zaatakowanych firm, których dane pojawiły się na DLS. Drugie miejsce zajęła branża nieruchomości, stanowiąca 8% wszystkich ataków w regionie. Branża transportu zajęła trzecie miejsce i była celem 5% ataków.

Jeśli chodzi o najaktywniejsze grupy ransomware w regionie, w zestawieniu LockBit prowadził z 26% ataków w Europie, a za nim były Play z 9% i Black Basta z 7%. Zaobserwowano znaczny wzrost ataków na firmy z siedzibą w Wielkiej Brytanii, które padły ofiarą ransomware w 2023 roku, jest to wzrost o około 73% (do 245 ataków), co uczyniło Wielką Brytanię najbardziej dotkniętym krajem w Europie, według danych opublikowanych na stronach DLS ransomware. Francja odnotowała wzrost o 45% (do 149 ataków) firm dotkniętych atakami, podczas gdy Niemcy odnotowały wzrost o 12% (do 145 ataków) zaatakowanych firm.

Spowolnienie działalności brokerów

Podmioty oferujące ataki typu ransomware, które sprzedają wstępny dostęp do sieci korporacyjnych na dark web-ie, znane jako Initial Access Brokers (IAB), doświadczyły lekkiego spadku, dostosowując się do wymagań innych grup hakerskich w regionie europejskim.

W 2023 roku dostęp do sieci korporacyjnych w Europie był wystawiany na sprzedaż 628 razy, co stanowiło 7% spadek w porównaniu z 2022 rokiem (674 razy). Pięć najbardziej atakowanych krajów europejskich przez IAB to Wielka Brytania (111), Francja (83), Hiszpania (70), Niemcy (63) i Włochy (62).

Sektor profesjonalnych usług był najbardziej dotknięty tym zjawiskiem w 2023 roku, gdzie oferty dostępu podwoiły się w porównaniu z 2022 rokiem, osiągając liczbę 52 (8% wszystkich ofert skierowanych na region). Produkcja zajęła drugie miejsce z 44 ofertami (7% wszystkich ofert skierowanych na region), a handel i zakupy z 37 ofertami (6% wszystkich ofert skierowanych na region) wystawionymi przez IAB.

Oferty dostępu VPN zmniejszyły się o 50%, podczas gdy oferty kont RDP zwiększyły się o 34%. Oferty dostępu z uprawnieniami użytkownika wzrosły o 35% w 2023 roku, co wskazuje na silniejsze zróżnicowanie dostępu przez firmy, albo brak odpowiednich umiejętności wśród IAB.

Najbardziej aktywnym IAB w regionie był haker z przydomkiem mazikeen — nowy gracz, który działa od stycznia 2023 roku. Najczęściej mazikeen sprzedawał dostęp do korporacyjnych sieci za pośrednictwem skompromitowanych kont RDP (98%). Jedna trzecia ofiar mazikeena to firmy z siedzibą w Europie. Prawie wszystkie oferty zawierały informacje o kraju, branży, uprawnieniach dostępu, poziomie dostępu i systemach antywirusowych używanych przez firmę.

Na podstawie aktywności mazikeena eksperci Group-IB byli w stanie stwierdzić, że sprawca jest rosyjskojęzyczny i identyfikuje się jako kobieta, co jest rzadkie w podziemiu przestępczym. Na forach mazikeen wspomniała, że nie skanuje oferowanych do sprzedaży korporacyjnych sieci i nie utrzymuje w nich stałego dostępu. Ceny brokerki uważane są za jedne z najniższych i zaczynały się od 30 dolarów, a średnia cena wynosiła 180,20 dolarów.

Raccoon i przyjaciele

Dzienniki information stealers stały się jednym z głównych sposobów, dzięki którym cyberprzestępcy uzyskują dostęp do sieci firm, ponieważ są proste, a jednocześnie bardzo skuteczne. Information stealer to rodzaj złośliwego oprogramowania, które zbiera dane uwierzytelniające zapisane w przeglądarkach, dane karty bankowej, informacje o portfelu kryptowalutowym, pliki cookie, historię przeglądania i inne informacje z przeglądarek zainstalowanych na zainfekowanych komputerach.

Darmowe usługi Underground Clouds of Logs (UCL) są jednym z głównych źródeł danych o zainfekowanych hostach. UCL to specjalne usługi, które zapewniają dostęp do skompromitowanych poufnych informacji, głównie uzyskanych przez programy typu information stealer. Są na nich codziennie publikowane gigabajty dzienników danych, a liczba ta stale rośnie. W ciągu ostatniego roku odnotowano wzrost o 23% liczby unikalnych zainfekowanych hostów w Europie, których dzienniki zostały opublikowane na UCL, przekraczając 250 000.

Kluczowa okazała się Hiszpania z 48% wzrostem liczbt hostów na UCL (31 665), podczas gdy rok wcześniej zajmowała dopiero trzecie miejsce. Na drugim miejscu była Francja, lider w 2022 roku, w jej przypadku liczba hostów na UCL spadła o 3% do 25 873. Polska zamyka pierwszą trójkę wśród najbardziej dotkniętych krajów w Europie, ze wzrostem o 6% (23 393). Dwa kraje, które odnotowały znaczący wzrost w 2023 roku, to Niemcy (wzrost o 32% do 22 966) i Włochy (wzrost o 18% do 22 309).

W porównaniu do 2022 roku lista trzech najpopularniejszych programów typu information stealer używanych do przejmowania danych hostów i których dzienniki zostały znalezione na UCL nieco się zmieniła. Vidar, który w zeszłym roku był drugi, teraz zajmuje czwarte miejsce, ustępując miejsca dla

stealera META. Trzy najpopularniejsze stealery atakujące użytkowników w Europie to RedLine Stealer, META i Raccoon.

Rynki podziemne (underground markets) także zyskują na popularności. W przeciwieństwie do UCL, gdzie duża część logów jest dystrybuowana bezpłatnie, rynki podziemne zawsze służą do sprzedaży logów z hostów skompromitowanych przez programy typu information stealer. W 2023 roku odnotowano wzrost o 28% w porównaniu do 2022 roku, a całkowita liczba hostów wystawionych na sprzedaż i związanych z Europą wyniosła 647 485. Po raz pierwszy Hiszpania stała się głównym celem na podstawie logów znalezionych na rynkach podziemnych. W 2023 roku wykryto 73 788 logów z tego kraju, co stanowi wzrost o ponad 42% w porównaniu z rokiem poprzednim. Kolejno w tym rankingu znalazły się Włochy z 72 138 logami, co oznacza wzrost o 33%, oraz Francja, z 69 026 — wzrost o 23% z 69 026 logami. Raccoon, LummaC2 i RedLine Stealer są najpopularniejszymi programami typu information stealer wśród cyberprzestępców atakujących ten region.

Fala wycieków

W 2023 roku w Europie wykryto 386 nowych przypadków wycieku danych do domeny publicznej. W ramach tych incydentów wyciekło ponad 292 034 484 milionów ciągów danych użytkowników. Najbardziej ucierpiały Francja, Hiszpania i Włochy, gdzie odnotowano odpowiednio 64, 62 i 52 przypadkami wycieku danych.

Adresy e-mail, numery telefonów i hasła stanowią najwyższe ryzyko, ponieważ mogą być wykorzystywane przez hakerów do różnego rodzaju ataków. Spośród wszystkich wycieków danych, 140 642 816 wpisów zawierało adresy e-mail (z których 96 590 836 było unikalnych). Ponadto wykryto 9 784 230 wycieków haseł (z których 3 832 504 było unikalnych) i 157 074 355 wpisów z numerami telefonów (z których 95 728 584 było unikalnych).

Raport Hi-Tech Crime Trends 23/24 Group-IB podkreśla zmiany w zachowaniach grup hakerskich, pojawienie się nowych TTP (z ang. Techniques, Tactics, Procedures) i ogólnych trendów, które zdefiniowały ewoluujący charakter zagrożeń cyberbezpieczeństwa. Raport można pobrać tutaj.

---

O Raporcie Hi-Tech Crime Trends

Group-IB prezentuje swoje coroczne raporty od 2012 roku, integrując dane zebrane w wyniku własnych dochodzeń firmy z wynikami reakcji na incydenty na całym świecie. Raport jest praktycznym przewodnikiem dla szerokiego grona ekspertów — w zakresie zarządzania ryzykiem, cyfrowej transformacji biznesowej, strategicznego planowania w dziedzinie cyberbezpieczeństwa i inwestowania w ochronę systemów informatycznych. Raport dostarcza roczne prognozy, które zawsze okazywały się trafne. Dla specjalistów technicznych, w tym CISO, zespołów SOC i DFIR, badaczy i analityków złośliwego oprogramowania, a także ekspertów ds. Threat Hunting, raport Group-IB stanowi okazję do przeanalizowania trafności polityk cyberbezpieczeństwa, dostosowania ustawień bezpieczeństwa swoich systemów oraz wzmocnienia swojej wiedzy w zakresie przeciwdziałania cyberzagrożeniom istotnym dla ich branży.

W tym roku firma Group-IB wprowadziła szereg znaczących ulepszeń do swojego raportu Hi-Tech Crime Trends, aby dostarczać czytelnikom jeszcze precyzyjniejszych i istotnych informacji. Po pierwsze , Group-IB zmieniła ramy czasowe raportowania, aby porównywać lata kalendarzowe. Drugim ważnym udoskonaleniem jest dostarczenie strategicznych informacji dla poszczególnych regionów w każdym

rozdziale. Kolejnymi nowymi dodatkami jest dedykowana sekcja omawiająca zagrożenia sztuczną inteligencją (AI) oraz dogłębna analiza sposobów, w jakie cyberprzestępcy nadużywają legalnych usług.

Dzięki wykorzystaniu unikalnych narzędzi do śledzenia infrastruktury cyberprzestępców, a także dogłębnej analizie badań prowadzonych przez różne zespoły ds. cyberbezpieczeństwa na całym świecie, eksperci Group-IB corocznie identyfikują i potwierdzają wspólne wzorce, które tworzą pełny obraz rozwoju cyberzagrożeń na świecie. Stanowi to podstawę przyszłych prognoz przedstawionych w raporcie, które pomagają firmom na całym świecie budować skuteczne strategie cyberbezpieczeństwa oparte na aktualnych zagrożeniach.

Więcej analiz dostępnych jest na hubie badawczym Group-IB.

Informacje o Group-IB

Założona w 2003 roku i mająca siedzibę w Singapurze Group-IB jest wiodącym twórcą technologii cyberbezpieczeństwa służących do prowadzenia dochodzeń, zapobiegania i zwalczania przestępczości cyfrowej. Walka z cyberprzestępczością jest wpisana w DNA firmy, kształtując jej technologie, których celem jest ochrona przedsiębiorstw i obywateli, a także działań organów ścigania.

W listopadzie 2023 r. Group-IB obchodziła 20. rocznicę powstania, organizując z tej okazji wiele wspaniałych wydarzeń w celu przedstawienia globalnego rozwoju firmy i jej znaczącego wkładu w walkę z cyberprzestępczością prowadzoną przez międzynarodowe organy ścigania.

Centra przeciwdziałania przestępczości cyfrowej (DCRC) Group-IB są zlokalizowane na Bliskim Wschodzie, w Europie, regionie Azji i Pacyfiku oraz Azji Środkowej i mają za cel pomoc w krytycznej analizie i szybkim łagodzeniu zagrożeń regionalnych oraz niebezpieczeństw specyficznych dla poszczególnych krajów. Te ośrodki o esencjonalnym znaczeniu wspierają Group-IB w globalnym zapobieganiu cyberprzestępczości i stałym rozszerzaniu możliwości wykrywania zagrożeń.

Zdecentralizowana i autonomiczna struktura operacyjna Group-IB umożliwia oferowanie dostosowanych do indywidualnych potrzeb, kompleksowych usług wsparcia