10 najpopularniejszych historii o cyberprzestępczości w 2024 r

W 2024 r. plaga systemu ransomware nieubłaganie nabrała tempa, po raz kolejny pozostawiając po sobie coraz bardziej zdruzgotane ofiary. W tym roku brytyjska służba zdrowia NHS stała się celem kilku szczególnie paskudnych ataków, ale były też inne głośne ofiary.

Tymczasem wspierane przez państwo ataki cybernetyczne z takich krajów, jak Chiny i Rosja, napędzane globalną niepewnością geopolityczną, przez cały czas nasilały się, co doprowadziło do ujawnienia wielu długotrwałych kampanii cyberszpiegowskich.

Ale jeżeli rok 2024 udowodnił tylko jedno, to to, iż rzucanie światła na cyberpodziemie działa, a Brytyjczycy zdecydowanie polują na złoczyńców, o czym świadczą nowe ustalenia Krajowego Centrum Bezpieczeństwa Cybernetycznego (NCSC), eliminacje prowadzone przez Narodowe Centrum Bezpieczeństwa Crime Agency (NCA) i proponowane przepisy podkreślające zagrożenia oprogramowaniem ransomware dla sektorów krytycznych są tego dowodem.

Jeśli społeczność cybernetyczna zapamięta rok 2024 z czegokolwiek, może to być po prostu rok, w którym dobrzy ludzie zdjęli rękawiczki i adekwatnie walczyli.

Oto 10 najpopularniejszych artykułów o cyberprzestępczości w 2024 r. opublikowanych przez Computer Weekly.

Skutki ataku systemu ransomware na Bibliotekę Brytyjską pod koniec 2023 r. były przez cały czas odczuwalne w 2024 r., gdy czcigodna instytucja w dalszym ciągu walczyła o przywrócenie uszkodzonych systemów do trybu online.

W styczniu 2024 r. wyszło na jaw, iż skala ataku systemu ransomware jest tak ogromna, a jego skutki tak niszczycielskie, iż może zakończyć się kosztowało Bibliotekę Brytyjską aż do 7 milionów funtówco przyćmiewa żądanie okupu w wysokości 650 000 funtów.

Później w tym roku, wykazując się niezwykłą przejrzystością, kierownictwo Biblioteki Brytyjskiej opublikowało szczegółowy opis swoich doświadczeń z ekipą systemu ransomware Rhysida, aby pomóc innym uczyć się i rozumieć.

Również w styczniu Cozy Bear, wspierana przez Rosję grupa hakerska odpowiedzialna za incydent z SolarWinds Sunburst, wrócił do akcjiwłamując się do systemów Microsoftu przy użyciu brutalnej siły, ataku polegającego na rozpylaniu haseł, a następnie uzyskując stamtąd dostęp do kont firmowych należących do kierownictwa i pracowników bezpieczeństwa.

Microsoft jest jednym z wielu dostawców, który staje się celem takich włamań, częściowo dzięki swojemu globalnemu zasięgowi i skali oraz dogłębnym relacjom z rządami zachodnimi, a w ostatnich latach stanął w obliczu trudnych pytań dotyczących swojego stanu bezpieczeństwa w rezultacie lat.

Jedna z najważniejszych historii roku rozegrała się dramatycznie w nudny lutowy dzień, kiedy nastała niesława Gang ransomware LockBit został rozebrany, a jego infrastruktura zhakowana i naruszona w ramach operacji Cronos, której przewodzi brytyjska Narodowa Agencja ds. Przestępczości (NCA).

Bezpośrednio po ataku „Computer Weekly” zbadał temperaturę społeczności zajmującej się bezpieczeństwem, stwierdzając optymistyczne nastroje, ale także łagodzona świadomością, iż jedna jaskółka wiosny nie czyni.

Przez cały rok krajowy organ ochrony konkurencji dzielił się wieloma informacjami zebranymi podczas ćwiczeń, a także znajdował czas na kpiny i trollowanie lidera LockBit, odtąd nazywanego Dmitrijem Khoroshevem, który kiedyś przechwalał się swoim luksusowym stylem życia, bawiąc się egzekwowanie prawa.

W kwietniu liderzy wywiadu ds. zagrożeń, Mandiant, formalnie „uaktualnili” klaster szkodliwej aktywności znany jako Sandworm do pełnoprawnego, samodzielnego aktora zaawansowanego trwałego zagrożenia (APT), który można śledzić jako APT44 – inne firmy mają inną taksonomię, Mandiant jest alfanumeryczny.

APT44 wywodzi się z Głównego Zarządu Wywiadu Rosji (GRU) w ramach Jednostki 74455 Głównego Centrum Technologii Specjalnych (GTsST) i jest opisywany jako jeden z najbardziej bezczelnych ugrupowań zagrażających.

Chociaż ogranicza swoją działalność do osób służących państwu rosyjskiemu, a nie do przestępczości motywowanej finansowo, w 2024 r. powiązania między cyberprzestępczością a cyberszpiegostwem przez cały czas się zacierały, a niektóre APT z państw narodowych działały choćby jako brokerzy pierwszego dostępu (IAB) dla gangów zajmujących się oprogramowaniem ransomware .

Na początku czerwca doszło do poważnego cyberataku na firmę Synnovis, dostawcę usług laboratorium patologicznego, który współpracuje ze szpitalami Guys, St Thomes’ i King’s College w Londynie, a także innymi placówkami NHS w stolicy kraju. został pokonany przez atak ransomware Qilin.

Wtargnięcie to spowodowało, iż w NHS ogłoszono poważny incydent, w wyniku którego wizyty pacjentów i operacje zostały odwołane, a zapasy krwi spadły do ​​niebezpiecznie niskiego poziomu. Konsekwencje tego naprawdę bezdusznego cyberataku są przez cały czas odczuwalne już od sześciu miesięcy.

W lipcu wszystkie oczy były zwrócone na Westminster pierwsza mowa królewska prowadzone przez laburzystowski rząd od ponad dziesięciu lat, a społeczność zajmująca się bezpieczeństwem miała wiele do wyboru, ponieważ administracja Keira Starmera zaproponowała wdrożenie obowiązkowego zgłaszania incydentów cybernetycznych – w tym systemu ransomware – dla operatorów krytycznej infrastruktury krajowej (CNI) w nowym i ustawa o odporności.

Według rządu ustawa rozszerzy zakres istniejących regulacji i zapewni organom regulacyjnym solidniejsze podstawy w zakresie ochrony usług cyfrowych i łańcuchów dostaw, a także poprawi wymogi w zakresie raportowania, aby pomóc w budowaniu lepszego obrazu zagrożeń cybernetycznych. Ustawa prawdopodobnie zostanie przedstawiony parlamentowi w 2025 r.

We wrześniu Wielka Brytania i jej sojusznicy z Five Eyes połączyli siły z Unią Europejską (UE) i ukraińskimi władzami cybernetycznymi, aby nagłośnić nikczemną kampanię cyberszpiegostwa prowadzone przez Jednostkę 29155kolejny rosyjski APT.

Jednostka 29155 obiera za cel ofiary w celu gromadzenia informacji do celów szpiegowskich, sabotuje strony internetowe i codzienne możliwości operacyjne, a także próbuje wyrządzić szkodę reputacji poprzez selektywne wyciekanie ważnych danych. Przeprowadziła tysiące ćwiczeń w całym NATO i UE, ze szczególnym naciskiem na CNI, rząd, usługi finansowe, transport, energię i opiekę zdrowotną.

Jest również szczególnie godny uwagi ze względu na swoje zaangażowanie w kampanię Whispergate obejmującą niszczycielskie ataki złośliwego systemu na Ukrainę przed inwazją w 2022 r.

Firma świadcząca usługi finansowe i przekazy pieniężne z siedzibą w USA MoneyGram był kolejną głośną ofiarą cyberataku pojawi się w 2024 r., a jego systemy zostaną zniszczone w wyniku rzekomego ataku systemu typu ransomware we wrześniu 2024 r.

Do klientów Moneygram w Wielkiej Brytanii należy Urząd Pocztowy, który niedługo potem rozwiązał umowę z nękanym problemem dostawcą ze skutkiem natychmiastowym, przepraszając swoich podwładnych za powiadomienie ich o tym z zaledwie 24-godzinnym wyprzedzeniem.

Od tego czasu wyszło na jaw, iż dane klientów MoneyGram zostały skradzione w wyniku ataku, który najprawdopodobniej rozpoczął się od ataku socjotechnicznego na centrum pomocy IT firmy.

Dowodząc, iż socjotechnika niestety działa, obywatel Wielkiej Brytanii, w tej chwili 22-letni Tyler Robert Buchanan, został w listopadzie 2024 r. oskarżony w USA o przestępstwa związane z cyberatakami Scattered Spider.

Rok wcześniej Scattered Spider uderzył w wiele firm, w tym znanych operatorów kasyn w Las Vegas i wiele innych, poprzez zuchwałe ataki wykorzystujące inżynierię społeczną, często wymierzone w centra pomocy technicznej, często wykorzystując usługi tożsamości Okta.

Gang Scattered Spider był niezwykły w obecnym środowisku zagrożeń, ponieważ wszyscy jego główni członkowie pochodzili ze Stanów Zjednoczonych i Wielkiej Brytanii, co raz na zawsze udowodniło, iż nie wszyscy cyberprzestępcy mają rosyjski akcent. Buchananowi w USA grozi ponad 40 lat więzienia.

Powszechnie wiadomo, iż gangi zajmujące się oprogramowaniem ransomware atakują podmioty świadczące opiekę zdrowotną, takie jak NHS, ale do tej listy preferowanych ofiar moglibyśmy teraz dodać także mieszkańców Liverpoolu, ponieważ pod koniec roku miała miejsce seria ataków na wiele szpitali na Merseyside trafiły na pierwsze strony gazet w całym kraju.

Organy takie kontrolują bogactwo wyjątkowo prywatnych i ściśle regulowanych danych i często obsługują IT i zabezpieczenia przy ograniczonym budżecie dzięki starszej technologii – który czerwonokrwisty przestępca mógłby przepuścić taką okazję?

Wśród ofiar był słynny w całym kraju szpital dziecięcy Alder Hey, który wraz z dwoma innymi lokalnymi szpitalami został zhakowany za pośrednictwem wspólnej usługi bramy cyfrowej. Było to prawdopodobnie wynikiem wykorzystania luk w zabezpieczeniach Citrix Bleed, o których wiadomo od ponad 12 miesięcy, co pokazało, iż szybkie łatanie naprawdę jest najlepszym lekarstwem.