Un echipament IT din cinci este afectat de aplicații malițioase, în administrația publică locală. Raport oficial CERT-RO – Smart Tech

Unul din cinci echipamente IT aflate în rețelele informatice din administrația publică locală sunt afectate de diferite aplicații malițioase, arată raportul CERT-RO pentru 2018. Documentul făcut public prezintă principalele surse și tipuri de atacuri cibernetice depistate care pot afecta securitatea rețelelor și datelor din instituțiile administrației publice românești.

Raportul CERT-RO arată că majoritatea covârșitoare (peste 96%) a atacurilor cibernetice asupra rețelelor IT din instituții publice românești au venit, în 2018, chiar din Romania.

Alte țări din care s-au generat atacuri sunt Bulgaria, SUA, Ungaria dar și Seychelles. S-au diminuat, pe de altă parte, atacurile provenite din China, Belgia, Israel și Japonia.

China este, de exemplu, sursa atacurilor care urmăresc cel mai des să scaneze și să adune informații despre sistemele informatice în scopul depistării punctelor slabe.

Cel mai recent incident, dezvăluit public de autoritățile române, în care suspiciunea planează asupra unor hackeri chinezi este atacarea sistemelor informatice de la cinci spitale românești.

Ministrul Sănătății a admis chiar că la un atac precedent autoritățile au plătit 10.000 de euro pentru recuperarea datelor.

Creștere semnificativă a atacurilor de tip cryptojacking

Deși nu sunt printre cele mai răspândite, 2018 a scos totuși la iveală o creștere semnificativă a atacurilor de tip cryptojacking, în Romania.

Cryptojacking-ul (numit și criptominare ascunsă) este o amenințare online apărută odată cu intensificarea interesului pentru criptomonede și valoarea de schimb a acestora.

Un exemplu foarte cunoscut de monedă crypto este Bitcoin.

Atacatorul ”ascunde” sau disimulează aplicația pe un computer sau pe un dispozitiv mobil și folosește resursele de calcul ale acestora pentru „a mina” diferite tipuri de cryptomonede.

Minarea înseamnă rezolvarea unor calcule matematice foarte complexe pentru care e nevoie de resurse (putere de procesare, memorie).

Mai multe computere infectate înseamnă mai multă putere de calcul pentru atacatori deci, o șansă mai bună de a rezolva calculele și de a crea monedă nouă. Moneda nou creată poate fi, ulterior, preschimbată, prin platforme de schimb online (exchange), în valută reală (euro, dolari, etc).

Cryptojacking-ul este o amenințare în creștere al cărei scop principal este profitul. Aplicația rău intenționată poate captura browser-ele web – cum sunt Chrome sau Mozilla, de exemplu – și compromite tot felul de dispozitive: desktop-uri și laptop-uri, telefoane inteligente, chiar servere de rețea.

Raportul CERT-RO arată că ”au fost identificate cu preponderență aplicațiile malițioase de tip MoneroMiner (0,88% din totalul malware asociat), CoinMiner (0,015%) și BitcoinMiner (0,007%)”.

Aplicații și rețele de tip ”malware”, ”ransomware”

Potrivit raportului, în top-ul atacurilor malware este Andromeda (peste 16% dintre atacuri) unul dintre cele mai răspândite și longevive tipuri de malware.

Specialiștii în securitate cibernetică spun că acesta se poate lesne distribui prin campanii de email ce poartă fishiere de uz comun în activitatea curentă organizațiilor publice și private precum .doc .xls .pdf sau arhive .zip.

În top 5, urmează Confiker, Sality, Nivdort și Ramnit dar și alte tipuri de malware fie nou apărute, fie mai vechi dar încă active și periculoase.

• EITest. Una dintre cele mai vechi rețele de malware din lume, rețeaua de infecții EITest a fost închisă în anul 2018 (după ce a fost descoperită în anul 2011). Malware-ul era distribuit printr-un kit privat de exploatare și avea drept scop direcționarea traficului web de pe serverul infectat către site-uri malware. Deși rețeaua de răspândire EITest este închisă, infecția este încă activă și poate afecta serverele vulnerabile și care rulează cod malițios.

• WannaCry. Deși la începutul anului se părea că WannaCry a devenit istorie, în anul 2018 au fost identificate IP-uri din România infectate cu acest tip de malware. Cum statisticile provin de la furnizori globali de informații, nu s-au identificat dacă au avut loc daune reale la nivelul României. Cu toate acestea, numărul de încercări de infectare a calculatoarelor cu acest malware, în 2018, sugerează că, în continuare, WannaCry este activ. Deci, computerele pot fi infectate cu acest ransomware.

• Locky. Dacă la sfârșitul anului 2017, se previziona că ransomware-ul Locky va fi abandonat de către creatorii săi și va dispărea, în anul care a trecut el a fost dezvoltat în continuare și s-au observat noii campanii, fiind identificate IP-uri, inclusiv din România.

• VPNFilter. În luna mai 2018, Cisco Systems anunța că peste 500.000 de routere și dispozitive de stocare au fost infectate de hackeri, în 54 de țări. La nivelul României, au fost identificate IP-uri implicate, atât în atacuri, cât și victime.

Alte constatări din raportul CERT-RO

• Cea mai răspândită clasă de incidente este frauda

• În scopul fraudării, cel mai des întâlnit tip de atac este phishing-ul

• Cele mai atacate tipuri de servicii sunt cele online și serviciile de cloud

• Pentru prima dată au fost identificate alerte care au afectat servicii de tip ERP/CRM și Database.

• Cele mai atacate tipuri de organizații sunt cele private iar băncile sunt ținte predilecte

Citește și:

LISTA: Cele 10 măsuri să previi atacuri informatice cu ransomware