Według danych opublikowanych w październiku 2024 r. liczba zarejestrowanych ataków systemu ransomware wzrosła o 19%, osiągając łącznie 468 incydentów na całym świecie, przy czym znaczna liczba z nich miała miejsce w USA, gdzie kontrowersyjne wybory prezydenckie prawdopodobnie ośmieliły rosyjskojęzycznych cyberprzestępców do ataku. Grupa NCC ostatni miesiąc Impuls zagrożenia raport.
Chociaż próbowano na pełną skalę Ingerencja państwa rosyjskiego w proces wyborczy w USA nie pozostało w pełni znana, szef wywiadu ds. zagrożeń w NCC, Matt Hull, stwierdził, iż ostatnie kilka tygodni przed sondażem przeprowadzonym 5 listopada nie zaskoczyło rosnącą liczbą zagrożeń.
„Motywacje geopolityczne, takie jak wybory w USA, pokazały, iż państwa narodowe, takie jak Rosja, w dalszym ciągu mają duży wpływ na globalną skalę cyberataków” – stwierdził.
„Dane pokazują, iż jesteśmy świadkami zmieniającej się dynamiki krajobrazu zagrożeń, w ramach której państwa narodowe i zorganizowane grupy przestępcze coraz częściej współpracują” – stwierdził Hull. „Ponieważ różni ugrupowania zagrażające wykorzystują swoje zasoby, dla organizacji niezwykle ważne jest upewnienie się, iż stosują podstawowe praktyki bezpieczeństwa, takie jak zarządzanie hasłami, bezpieczeństwo punktów końcowych i uwierzytelnianie wieloskładnikowe”.
Rzeczywiście, w podziale geograficznym, region Ameryki Północnej – który obejmuje również kraje takie jak Kanada i Meksyk – odpowiadał za 272, czyli 56% zarejestrowanych ataków systemu ransomware. Dla porównania, 97 ataków, 20%, padło ofiarą organizacji w Europie, co oznacza, iż w sumie ponad trzy czwarte wszystkich ataków ransomware odnotowanych w zeszłym miesiącu było wymierzonych w te dwa regiony.
Oczywiście nie wyklucza to reszty świata, a jeden atak szczególnie trafnie pokazał widoczne zacieranie się granic między państwami narodowymi a przestępczością zorganizowaną. Był to incydent, w którym systemy o godz Japoński gigant elektroniki Casio zostały okaleczone przez oprogramowanie ransomware Underground, które jest powiązane z rosyjską grupą cyberprzestępczą Storm-0978, czyli RomCom.
Podwójny atak wymuszenia wymierzony był w dane pracowników, kandydatów do pracy i partnerów biznesowych i spowodował przestoje i zakłócenia w świadczeniu usług. Prawdopodobnie zaczęło się od CVE-2023-36884, luki w zabezpieczeniach pakietu Microsoft Office umożliwiającej zdalne wykonanie kodu, o której wiadomo, iż została celem rosyjskich aktorów państwowych; a według NCC RomCom jest uważany za jeden z szeregu gangów przeprowadzających ataki w imieniu Kremla.
NCC stwierdziło, iż rosnące napięcie geopolityczne między Rosją a Japonią dodało incydentowi „fascynującego” charakteru. Uważa się, iż Rosja, która od zakończenia drugiej wojny światowej utrzymuje wyspę Sachalin – część ojczyzny przodków rdzennego ludu Ajnów w Japonii – oraz pobliskie Wyspy Kurylskie, jest zaniepokojona rosnącą współpracą wojskową Japonii z sojuszem NATO , a Moskwa protestowała przeciwko niedawnym wspólnym ćwiczeniom wojskowym Keen Sword 2024 pomiędzy USA i Japonią.
„Te działania wojskowe i wzmocniona postawa obronna Japonii mogły przyczynić się do nasilenia agresywnych taktyk stosowanych przez powiązane z Rosją podmioty cybernetyczne” – napisali autorzy raportu.
„Ataki na japońskie firmy mogą służyć jako forma nacisku lub odwetu, sygnalizując niezadowolenie Rosji z japońskich strategii obronnych. Celując w najważniejsze japońskie przedsiębiorstwa, Rosja, za pośrednictwem powiązanych grup cyberprzestępczych, może mieć na celu zakłócenie stabilności gospodarczej i siły projektu bez jawnej konfrontacji militarnej.
„Sytuacja pokazuje złożoność współczesnej wojny cybernetycznej, w której przedsiębiorstwa przestępcze i podmioty wspierane przez państwo mogą realizować zarówno cele finansowe, jak i strategiczne… W związku z tym przedsiębiorstwa powinny uwzględnić w swojej strategii obrony różnorodne zagrożenia, tradycyjne i wspierane przez państwo”.
RansomHub zajmuje pierwsze miejsce
Jeśli chodzi o najbardziej płodnych operatorów systemu ransomware, tak było RansomHub który w październiku przez cały czas dominował jako najaktywniejszy gang, przejmując odpowiedzialność za 68 ataków, chociaż liczba ta była nieco niższa w porównaniu z poprzednim miesiącem.
Drugie miejsce zajął Graćco stanowiło około 55 ataków; następnie Killsec, od 30 do 40; Mięsak, około 30; i Meow, z około 25.
Pozostałe z 10 najbardziej aktywnych operacji w zeszłym miesiącu to Fog, Hunters, ElDorado, Medusa i Czarny garnitur.
Ogólnie rzecz biorąc, sektor przemysłowy, do którego należą operatorzy krajowej infrastruktury krytycznej (CNI), pozostaje najczęściej celem ataków, odpowiadając za 148, czyli 30% zaobserwowanych ataków. Następnie nastąpił sektor dóbr konsumpcyjnych (handel detaliczny) ze 100 atakami; a sektor opieki zdrowotnej stanowił 55.
„Jak pokazało skupienie się na CNI, ataki stają się mniej przypadkowe i bardziej ukierunkowane na organizacje, które odniosą maksymalny skutek” – stwierdził Hull.
„Osoby, które polegają na „czasie pracy” i posiadają duże ilości własności intelektualnej lub informacji umożliwiających identyfikację, są celami o dużej wartości”.
![Ceny prądu – Jaka jest cena za 1 kWh? [2025]](https://datawrapper.dwcdn.net/S2Dtm/full.png)
![Zamrożenie cen prądu [2024 / 2025]](https://datawrapper.dwcdn.net/P5nY2/full.png)
