Group-IB, wiodący twórca technologii cybernetycznych do śledzenia, zapobiegania i zwalczania przestępczości cyfrowej, przedstawił kompleksowy przegląd krajobrazu zagrożeń cybernetycznych w regionie europejskim na lata 2023/2024 w wydaniu corocznego raportu Hi-Tech Crime Trends. Raport dostarcza szczegółowe analizy ewolucji wyzwań związanych z cyberbezpieczeństwem w Europie.
W 2023 roku badacze Group-IB zidentyfikowali, że liczba ataków ransomware w Europie wzrosła o około 52%, a głównymi celami są firmy z sektorów produkcji, nieruchomości i transportu. Wielka Brytania, Francja i Niemcy utrzymały swój status najczęściej atakowanych krajów przez podmioty przestępcze stosujące Ransomware-as-a-service (RaaS). W ciągu 2023 roku region stał się areną dla 108 cyberataków przeprowadzonych przez różne grupy hakerów wspierane przez państwa. Głównymi celami były instytucje rządowe i wojskowe, na które przeprowadzono 48 ataków. Information stealers stanowią poważne zmartwienie, ich działania wpłynęły na 250 000 zainfekowanych urządzeń (o 23% więcej niż w 2022 roku) w Europie, których dzienniki zostały udostępnione na Underground Clouds of Logs (UCL), oraz dodatkowych 647 485 hostów, których dzienniki były wystawione na sprzedaż na rynkach podziemnych, co stanowi 28% więcej niż rok wcześniej. Jednocześnie raport zauważa, że nastąpił 7% spadek liczby ofert sprzedaży początkowego dostępu do skompromitowanych sieci w regionie. Ponadto ponad 1 milion skompromitowanych kart zarejestrowanych w Europie pojawiło się w cyberprzestępczym podziemiu w 2023 roku — liczby z 2022 roku nie zmieniły się.
Europa na celowniku
Analitycy Group-IB odkryli, że w zeszłym roku region europejski był drugim obszarem pod kątem ataków typu advanced persistent threats (APTs). Podsumowując, w roku 2023 Group-IB przypisał 523 ataki grupom hakerskim kontrolowanym przez reżimowe rządy na całym świecie. Ataki na europejskie organizacje stanowiły 21% ogólnej liczby ataków na świecie. Europa doświadczyła 108 ataków cybernetycznych przeprowadzonych przez różne grupy hakerów wspierane przez państwa reżimowe. Najważniejszymi grupami działającymi w Europie były Lazarus, Mustang Panda, APT41 i Sandman (wszystkie z Azji Wschodniej), oraz APT28, BlackEnergy, Gamaredon, Turla i Callisto (wszystkie z regionu Wspólnoty Niepodległych Państw). Ataki były złożone i celowane, co podkreśla rosnącą tendencję do wykorzystywania cyberprzestrzeni do osiągania celów związanych z rządem.
Ukraina była głównym celem ataków z udziałem grup hakerskich kontrolowanych przez rządy reżimowe (31 odnotowanych ataków), co prawdopodobnie jest odzwierciedleniem trwających konfliktów politycznych w regionie. Cztery inne najbardziej dotknięte kraje w Europie przez grupy APT to Polska (11 ataków), Niemcy, Francja i Włochy z 6 atakami przypadającymi na każdy z tych krajów.
Instytucje rządowe i wojskowe w Europie były głównymi sektorami zainteresowania grup APT, z 48 atakami przeprowadzonymi przeciwko nim. To pokazuje, że grupy wspierane przez państwa są szczególnie zainteresowane obszarami wpływającymi na bezpieczeństwo narodowe i politykę zagraniczną.
Kroniki ransomware: podwójny wzrost w 2023 roku
Ataki typu Ransomware, utrzymują kluczową pozycję zarówno pod względem skali, jak i wpływu, na zagrożenie dla europejskiego rynku. Ponownie Europa stała się drugim najczęściej atakowanym regionem na świecie zaraz po Ameryce Północnej, gdzie dane 1186 firm z Europy zostały opublikowane na stronach DLS ransomware. Oznacza to przybliżony wzrost o 52% w porównaniu do poprzedniego roku, gdy informacje należące do 781 europejskich firm, których dane pojawiły się na DLS.
W 2023 roku sektor produkcji był najczęściej atakowany w regionie, stanowiąc 16% wszystkich zaatakowanych firm, których dane pojawiły się na DLS. Drugie miejsce zajęła branża nieruchomości, stanowiąca 8% wszystkich ataków w regionie. Branża transportu zajęła trzecie miejsce i była celem 5% ataków.
Jeśli chodzi o najaktywniejsze grupy ransomware w regionie, w zestawieniu LockBit prowadził z 26% ataków w Europie, a za nim były Play z 9% i Black Basta z 7%. Zaobserwowano znaczny wzrost ataków na firmy z siedzibą w Wielkiej Brytanii, które padły ofiarą ransomware w 2023 roku, jest to wzrost o około 73% (do 245 ataków), co uczyniło Wielką Brytanię najbardziej dotkniętym krajem w Europie, według danych opublikowanych na stronach DLS ransomware. Francja odnotowała wzrost o 45% (do 149 ataków) firm dotkniętych atakami, podczas gdy Niemcy odnotowały wzrost o 12% (do 145 ataków) zaatakowanych firm.
Spowolnienie działalności brokerów
Podmioty oferujące ataki typu ransomware, które sprzedają wstępny dostęp do sieci korporacyjnych na dark web-ie, znane jako Initial Access Brokers (IAB), doświadczyły lekkiego spadku, dostosowując się do wymagań innych grup hakerskich w regionie europejskim.
W 2023 roku dostęp do sieci korporacyjnych w Europie był wystawiany na sprzedaż 628 razy, co stanowiło 7% spadek w porównaniu z 2022 rokiem (674 razy). Pięć najbardziej atakowanych krajów europejskich przez IAB to Wielka Brytania (111), Francja (83), Hiszpania (70), Niemcy (63) i Włochy (62).
Sektor profesjonalnych usług był najbardziej dotknięty tym zjawiskiem w 2023 roku, gdzie oferty dostępu podwoiły się w porównaniu z 2022 rokiem, osiągając liczbę 52 (8% wszystkich ofert skierowanych na region). Produkcja zajęła drugie miejsce z 44 ofertami (7% wszystkich ofert skierowanych na region), a handel i zakupy z 37 ofertami (6% wszystkich ofert skierowanych na region) wystawionymi przez IAB.
Oferty dostępu VPN zmniejszyły się o 50%, podczas gdy oferty kont RDP zwiększyły się o 34%. Oferty dostępu z uprawnieniami użytkownika wzrosły o 35% w 2023 roku, co wskazuje na silniejsze zróżnicowanie dostępu przez firmy, albo brak odpowiednich umiejętności wśród IAB.
Najbardziej aktywnym IAB w regionie był haker z przydomkiem mazikeen — nowy gracz, który działa od stycznia 2023 roku. Najczęściej mazikeen sprzedawał dostęp do korporacyjnych sieci za pośrednictwem skompromitowanych kont RDP (98%). Jedna trzecia ofiar mazikeena to firmy z siedzibą w Europie. Prawie wszystkie oferty zawierały informacje o kraju, branży, uprawnieniach dostępu, poziomie dostępu i systemach antywirusowych używanych przez firmę.
Na podstawie aktywności mazikeena eksperci Group-IB byli w stanie stwierdzić, że sprawca jest rosyjskojęzyczny i identyfikuje się jako kobieta, co jest rzadkie w podziemiu przestępczym. Na forach mazikeen wspomniała, że nie skanuje oferowanych do sprzedaży korporacyjnych sieci i nie utrzymuje w nich stałego dostępu. Ceny brokerki uważane są za jedne z najniższych i zaczynały się od 30 dolarów, a średnia cena wynosiła 180,20 dolarów.
Raccoon i przyjaciele
Dzienniki information stealers stały się jednym z głównych sposobów, dzięki którym cyberprzestępcy uzyskują dostęp do sieci firm, ponieważ są proste, a jednocześnie bardzo skuteczne. Information stealer to rodzaj złośliwego oprogramowania, które zbiera dane uwierzytelniające zapisane w przeglądarkach, dane karty bankowej, informacje o portfelu kryptowalutowym, pliki cookie, historię przeglądania i inne informacje z przeglądarek zainstalowanych na zainfekowanych komputerach.
Darmowe usługi Underground Clouds of Logs (UCL) są jednym z głównych źródeł danych o zainfekowanych hostach. UCL to specjalne usługi, które zapewniają dostęp do skompromitowanych poufnych informacji, głównie uzyskanych przez programy typu information stealer. Są na nich codziennie publikowane gigabajty dzienników danych, a liczba ta stale rośnie. W ciągu ostatniego roku odnotowano wzrost o 23% liczby unikalnych zainfekowanych hostów w Europie, których dzienniki zostały opublikowane na UCL, przekraczając 250 000.
Kluczowa okazała się Hiszpania z 48% wzrostem liczbt hostów na UCL (31 665), podczas gdy rok wcześniej zajmowała dopiero trzecie miejsce. Na drugim miejscu była Francja, lider w 2022 roku, w jej przypadku liczba hostów na UCL spadła o 3% do 25 873. Polska zamyka pierwszą trójkę wśród najbardziej dotkniętych krajów w Europie, ze wzrostem o 6% (23 393). Dwa kraje, które odnotowały znaczący wzrost w 2023 roku, to Niemcy (wzrost o 32% do 22 966) i Włochy (wzrost o 18% do 22 309).
W porównaniu do 2022 roku lista trzech najpopularniejszych programów typu information stealer używanych do przejmowania danych hostów i których dzienniki zostały znalezione na UCL nieco się zmieniła. Vidar, który w zeszłym roku był drugi, teraz zajmuje czwarte miejsce, ustępując miejsca dla stealera META. Trzy najpopularniejsze stealery atakujące użytkowników w Europie to RedLine Stealer, META i Raccoon.
Rynki podziemne (underground markets) także zyskują na popularności. W przeciwieństwie do UCL, gdzie duża część logów jest dystrybuowana bezpłatnie, rynki podziemne zawsze służą do sprzedaży logów z hostów skompromitowanych przez programy typu information stealer. W 2023 roku odnotowano wzrost o 28% w porównaniu do 2022 roku, a całkowita liczba hostów wystawionych na sprzedaż i związanych z Europą wyniosła 647 485. Po raz pierwszy Hiszpania stała się głównym celem na podstawie logów znalezionych na rynkach podziemnych. W 2023 roku wykryto 73 788 logów z tego kraju, co stanowi wzrost o ponad 42% w porównaniu z rokiem poprzednim. Kolejno w tym rankingu znalazły się Włochy z 72 138 logami, co oznacza wzrost o 33%, oraz Francja, z 69 026 — wzrost o 23% z 69 026 logami. Raccoon, LummaC2 i RedLine Stealer są najpopularniejszymi programami typu information stealer wśród cyberprzestępców atakujących ten region.
Fala wycieków
W 2023 roku w Europie wykryto 386 nowych przypadków wycieku danych do domeny publicznej. W ramach tych incydentów wyciekło ponad 292 034 484 milionów ciągów danych użytkowników. Najbardziej ucierpiały Francja, Hiszpania i Włochy, gdzie odnotowano odpowiednio 64, 62 i 52 przypadkami wycieku danych.
Adresy e-mail, numery telefonów i hasła stanowią najwyższe ryzyko, ponieważ mogą być wykorzystywane przez hakerów do różnego rodzaju ataków. Spośród wszystkich wycieków danych, 140 642 816 wpisów zawierało adresy e-mail (z których 96 590 836 było unikalnych). Ponadto wykryto 9 784 230 wycieków haseł (z których 3 832 504 było unikalnych) i 157 074 355 wpisów z numerami telefonów (z których 95 728 584 było unikalnych).
Raport Hi-Tech Crime Trends 23/24 Group-IB podkreśla zmiany w zachowaniach grup hakerskich, pojawienie się nowych TTP (z ang. Techniques, Tactics, Procedures) i ogólnych trendów, które zdefiniowały ewoluujący charakter zagrożeń cyberbezpieczeństwa. Raport można pobrać tutaj.