W niedzielę wieczorem na zagranicznych serwisach newsowych poświęconych malware pojawiły się informacje o cyberataku na serwis Polsatu. Według doniesień za incydent odpowiada grupa ransomware ALP-001, która w ostatnim czasie prowadzi szeroko zakrojone operacje wymierzone w organizacje na całym świecie.
Atak został wykryty pod koniec marca. Cyberprzestępcy mieli uzyskać dostęp do infrastruktury organizacji, co mogło umożliwić im nie tylko zakłócenie działania systemów, ale również pozyskanie wrażliwych danych.
Co wiadomo o incydencie
Z dostępnych informacji wynika, iż celem ataku był portal polsat.pl, należący do jednej z największych grup medialnych w Polsce. Tego typu cele są atrakcyjne dla cyberprzestępców ze względu na skalę działalności oraz ilość przetwarzanych danych.
W trakcie incydentu doszło do naruszenia bezpieczeństwa systemów, a według niektórych źródeł atakujący mogli uzyskać dostęp do znacznej ilości danych. Charakter ataku sugeruje zastosowanie modelu tzw. podwójnego wymuszenia (double extortion), w którym dane są nie tylko szyfrowane, ale również kradzione, aby zwiększyć presję na ofiarę. Według informacji z DarkNetu skradzione zostało ponad 75 GB danych, a grupa atakująca zażądała okupu w wysokości 148,5 miliona dolarów, wypłaconego w ciągu 10 dni, grożąc ujawnianiem skradzionych informacji.
Źródło: ransomware.liveKim jest ALP-001
ALP-001 to stosunkowo nowa grupa ransomware, która w krótkim czasie zaczęła pojawiać się w kontekście wielu incydentów na różnych rynkach. Jej aktywność wskazuje na dobrze zorganizowaną operację o globalnym zasięgu, a sposób działania zbliżony jest do strategii innych współczesnych grup cyberprzestępczych.
Atakujący koncentrują się przede wszystkim na szybkim wywieraniu presji na ofiarę. W praktyce oznacza to publikowanie informacji o ataku, wyznaczanie terminów na zapłatę okupu oraz groźbę ujawnienia danych. Tego typu działania mają oczywiście skłonić organizację do jak najszybszego podjęcia decyzji.
Nowoczesne ransomware jako narzędzie szantażu
Ataki ransomware w ostatnich latach znacząco ewoluowały. Nie są już wyłącznie próbą zablokowania systemów, ale też narzędziem do prowadzenia złożonych operacji szantażu. Cyberprzestępcy coraz częściej najpierw infiltrują środowisko ofiary, a dopiero później przechodzą do kolejnych etapów ataku.
Kluczowym elementem jest kradzież danych, która pozwala na zwiększenie skuteczności ataku. choćby jeżeli organizacja posiada kopie zapasowe i jest w stanie przywrócić systemy, groźba ujawnienia danych może mieć poważne konsekwencje prawne i wizerunkowe.
Dlaczego sektor medialny jest szczególnie narażony
Firmy medialne i telekomunikacyjne znajdują się w grupie podwyższonego ryzyka, ponieważ ich działalność opiera się na ciągłym dostępie do systemów i danych. Każde zakłócenie pracy jest gwałtownie zauważalne i może mieć bezpośredni wpływ na użytkowników.
Dodatkowo presja reputacyjna w tym sektorze jest wyjątkowo wysoka. Utrata danych lub przestój w działaniu usług może gwałtownie stać się tematem publicznym, co zwiększa skuteczność działań cyberprzestępców.
Jak ograniczyć ryzyko wystąpienia podobnych incydentów
Współczesne ataki ransomware wymagają podejścia wykraczającego poza pojedyncze rozwiązania bezpieczeństwa. najważniejsze znaczenie ma budowanie odporności organizacji jako całości. Obejmuje to zarówno technologie, jak i procesy, a także świadomość użytkowników.
Szczególnie istotne jest wczesne wykrywanie nieautoryzowanej aktywności, odpowiednia segmentacja sieci oraz regularne testowanie procedur reagowania na incydenty. Równie ważne pozostaje przygotowanie scenariuszy awaryjnych, które pozwalają ograniczyć skutki ataku, jeżeli już do niego dojdzie.
Podsumowanie
Jeśli atak ransomware na Polsat zostanie oficjalnie potwierdzony, będzie to kolejny rażący przykład, w jakim środowisku cybernetycznym się w tej chwili znajdujemy. Polsat z pewnością inwestuje ogromne pieniądze w bezpieczeństwo, ale jak widać najważniejsze może okazać się tutaj podejście do nowoczesnych zagrożeń, a nie skala systemów ochronnych.
Działania grupy ALP-001 pokazują, iż współczesne zagrożenia nie polegają już wyłącznie na blokowaniu systemów, ale przede wszystkim na wywieraniu presji poprzez kradzież i groźbę ujawnienia danych.
W praktyce oznacza to, iż organizacje muszą przygotować się na scenariusze, w których atak nie kończy się na jednej fazie, ale obejmuje cały łańcuch działań prowadzących do maksymalizacji strat.
