Dotychczas w 2024 r. wiele dużych firm padło ofiarą ataków polegającym na wypychaniu poświadczeń. Wśród ofiar wypychania poświadczeń znajdują się tak znane podmioty, jak Roku, Okta, General Motors
Rok 2024 był rokiem ataków z użyciem złośliwego oprogramowania. Od początku roku ataki z użyciem złośliwego oprogramowania dotyczyły największych firm, takich jak Change Healthcare, Ticketmaster, Ascension Hospital, ABN AMRO i CDK Global.
Czytaj dalej, aby dowiedzieć się więcej o największych atakach z użyciem złośliwego oprogramowania oraz poznać sposoby ochrony firmy przed takimi atakami.
Change Healthcare
21 lutego 2024 r. rosyjska grupa cyberprzestępcza o nazwie BlackCat usunęła ponad 6 TB danych w wyniku ataku z użyciem złośliwego oprogramowania na Change Healthcare. Change Healthcare jest jedną z największych na świecie firm zajmujących się przetwarzaniem płatności w branży opieki zdrowotnej. Atak z użyciem złośliwego oprogramowania spowodował zaległości w przetwarzaniu świadczeń medycznych w Stanach Zjednoczonych oraz poważne problemy finansowe w placówkach opieki zdrowotnej, aptekach i szpitalach i brak dostępu pacjentów do opieki medycznej. Change Healthcare jest spółką zależną grupy UnitedHealth, która po ataku z użyciem złośliwego oprogramowania zapłaciła okup w wysokości 22 mln USD. Po cyberataku spółka Change Healthcare poinformowała o naruszeniu poufnych danych pacjentów obejmujących między innymi diagnozy i wyniki badań.
Podczas przesłuchania po ataku z użyciem złośliwego oprogramowania stwierdzono, że jednym z powodów ujawnienia danych Change Healthcare był brak włączenia przez UnitedHealth Group uwierzytelniania wieloskładnikowego (MFA) na jednym z serwerów Change Healthcare. Według danych Change Healthcare atak z użyciem złośliwego oprogramowania był przyczyną wycieku poufnych danych medycznych do sieci dark web około 33% Amerykanów. Change Healthcare zaleca wszystkim osobom, które zostały poszkodowane w wyniku tego ataku z użyciem złośliwego oprogramowania skorzystanie ze strony pomocy technicznej lub kontakt pod numerem telefonu (866) 262-5342 w celu uzyskania dodatkowych informacji.
Ticketmaster
Przeprowadzony 2 kwietnia 2024 r. atak z użyciem złośliwego oprogramowania na firmę Ticketmaster zajmującą się sprzedażą biletów na koncerty, mecze i inne wydarzenia, należał do najczęściej wymienianych. Grupa hakerska ShinyHunters poinformowała o przejęciu danych ponad 500 milionów klientów Ticketmaster, w tym numerów telefonów, adresów e-mail, numerów kart kredytowych i biletów na wydarzenia. Hakerzy ShinyHunters zażądali okupu w wysokości 500 000 USD, grożąc sprzedażą danych w sieci dark web Mimo że naruszenie danych nie dotyczyło haseł klientów, wielu klientów Ticketmaster zmieniło hasła w celu lepszej ochrony kont w tym serwisie.
Dochodzenie przeprowadzone przez spółkę macierzystą Ticketmaster, Live Nation, ujawniło nieautoryzowaną aktywność w jednej z baz w chmurze prowadzonych przez firmę zewnętrzną. Firma Ticketmaster przesłała klientom informację o ataku z użyciem złośliwego oprogramowania i zaleciła monitorowanie aktywności na kontach bankowych, oferując możliwość bezpłatnego skorzystania z usługi ochrony tożsamości przez 12 miesięcy.
Ascension Hospital
8 maja 2024 r. wykryto nietypową aktywność w sieciach Ascension spowodowaną atakiem z użyciem oprogramowania wymuszającego okup. Atak przeprowadzony przez grupę cyberprzestępców Black Basta na katolicki system opieki zdrowotnej obejmował prawie 150 szpitali w ponad 10 stanach. Jego skutkiem było uniemożliwienie dostępu lekarzy, pielęgniarek i pracowników opieki zdrowotnej do systemów medycznych zawierających informacje dotyczące wizyt, dokumentacji medycznej, recept, operacji i nie tylko. Atak z użyciem złośliwego oprogramowania naraził prywatne dane pacjentów i utrudnił pracę wielu lekarzy w całym kraju, powodując utratę wyników badań laboratoryjnych, błędy w dawkowaniu leków oraz brak możliwości opieki w nagłych przypadkach przez ponad miesiąc. Pracownicy służby zdrowia byli zmuszeni do korzystania z dokumentów Google i tworzenia rejestrów danych zawierających informacje dotyczące pacjentów oraz przyjmowanych leków. 14 czerwca 2024 r. firma Ascension ogłosiła przywrócenie dostępu do elektronicznych rejestrów medycznych (EHR) z wyjątkiem danych pacjentów, które zostaną udostępnione po zaktualizowaniu portali firmy prawidłowymi informacjami.
ABN AMRO
29 maja 2024 r. miało miejsce naruszenie danych jednego z największych holenderskich banków ABN AMRO spowodowane atakiem z użyciem oprogramowania wymuszającego okup na zewnętrznego dostawcę usług banku, AddComm. Atak ten umożliwił dostęp nieupoważnionych użytkowników do danych wielu klientów ABN AMRO, mimo że nie wpłynął bezpośrednio na systemy banku. Specjaliści nadal prowadzą dochodzenie w sprawie tego cyberprzestępstwa i nie ujawniono, jakie rodzaje danych zostały sprzedane w sieci dark web
Bank ABN AMRO kontaktuje się z klientami, których dane zostały objęte atakiem z użyciem oprogramowania wymuszającego okup na AddComm, mimo braku dowodów przejęcia danych klientów ABN AMRO przez nieupoważnionych użytkowników. Chociaż nie potwierdzono wpływu ataku na wszystkich klientów, bank ABN AMRO obsługuje ponad pięć milionów klientów z sektora handlu detalicznego, korporacyjnego i bankowego, których mogło dotyczyć naruszenie danych Po tym ataku bank ABN AMRO zrezygnował z usług AddComm.
CDK Global
18 czerwca 2024 r. doszło do poważnego ataku z użyciem złośliwego oprogramowania na CDK Global, który miał wpływ na dealerów samochodowych w Ameryce Północnej. Firma CDK Global jest dostawcą oprogramowania dla tysięcy salonów samochodowych w Ameryce Północnej, umożliwiającego dealerom zarządzanie sprzedażą, finansami, stanem magazynowym i nie tylko. Grupa cyberprzestępcza BlackSuit przeprowadziła atak na ponad 10 000 placówek dealerskich w Stanach Zjednoczonych zakończony kradzieżą prywatnych danych klientów. Podczas ataku skradziono dane ubezpieczenia społecznego, numery kont bankowych, adresy domowe, dane kart kredytowych i numery telefonów.
W wyniku tego ataku wiele placówek dealerów zostało pozbawionych systemów cyfrowych, co wymagało powrotu do działania bez użycia komputerów. Tydzień po pierwszym ataku firma CDK Global poinformowała klientów o tymczasowym zamknięciu do czasu usunięcia skutków ataku z użyciem złośliwego oprogramowania. Na początku lipca rozpoczęto stopniowe przywracanie systemów dealerów samochodowych.
Chroń firmę przed atakami z użyciem złośliwego oprogramowania
Mimo że nie można przewidzieć ataków z użyciem złośliwego oprogramowania, można chronić przed nimi firmę na kilka sposobów:
- Wykorzystanie zabezpieczeń zero-trust i szyfrowania zero-knowledge do ochrony danych klientów
- Wymuszenie kontroli dostępu opartej na rolach (RBAC) w celu ograniczenia nadmiernych uprawnień pracowników
- Prowadzenie szkoleń pracowników dotyczących oznak oszustw z wykorzystaniem socjotechniki
- Zabezpieczenie haseł pracowników za pomocą menedżera haseł dla firm i wymuszenie korzystania z MFA
- Skorzystaj z narzędzia monitorowania dark web, które informuje użytkownika natychmiast po znalezieniu danych uwierzytelniających logowania pracownika w sieci dark web
Rozwiązanie Keeper® umożliwia zapewnienie bezpieczeństwa pracowników i firmy. Już dziś rozpocznij korzystanie z bezpłatnej 14-dniowej wersji próbnej rozwiązania Keeper Business, aby ułatwić pracownikom tworzenie silnych haseł i przechowywanie ich w bezpiecznych magazynach cyfrowych.