Chaos cyberataków na lotniskach trwa: pojawił się ransomware

Cyberatak na systemy odprawy lotniczej w Europie trwa już czwarty dzień (poniedziałek, 22 września). Osoby lub grupy stojące za atakiem nie zostały jeszcze zidentyfikowane.

Według agencji AP linie lotnicze zostały poproszone o odwołanie około 140 z 276 lotów w obie strony zaplanowanych na poniedziałek.

NAJWIĘKSZE ODDZIAŁYWANIE MA MIEJSCE W LONDYNIE

Największe utrudnienia wystąpiły w Terminalu 4 lotniska Heathrow w Londynie. W niedzielę wieczorem wiele lotów było opóźnionych nawet o dwie godziny, a odprawa ręczna nadal obowiązywała.

Rzecznik Heathrow wydał następujące oświadczenie:

„Collins Aerospace pracuje nad rozwiązaniem problemu ze swoimi systemami odprawy na całym świecie. System ten nie jest własnością Heathrow, ale oddelegowaliśmy dodatkowy personel do pomocy pasażerom”.

Lotnisko ostrzegło, że odprawa i wejście na pokład „mogą potrwać nieco dłużej niż zwykle”. Poproszono również pasażerów, aby nie przybywali na lotnisko wcześniej niż po trzech godzinach w przypadku lotów długodystansowych i dwóch godzinach w przypadku lotów krótkodystansowych.

ODWOŁANE LOTY W BRUKSELI

Ponad 50 przylotów i odlotów z lotniska w Brukseli zostało odwołanych. Linie lotnicze zmuszone były ograniczyć liczbę lotów, aby umożliwić pasażerom odprawę ręczną. Najbardziej ucierpiały linie Brussels Airlines, a easyJet i Vueling odwołały po sześć lotów.

Linie lotnicze Brussels Airlines wydały następujące ostrzeżenie dla swoich pasażerów:

Z powodu problemów technicznych na lotnisku w Brukseli możliwa jest tylko odprawa manualna. Prosimy o sprawdzenie statusu lotu w przypadku odwołania lub opóźnienia.

Chaos trwa w Berlinie i Dublinie

W Berlinie tworzą się długie kolejki, a lotnisko w Dublinie zmaga się nadal z problemami technicznymi.

Zarząd lotniska poinformował na portalu X (dawniej Twitter), że w Terminalu 2 nadal występują utrudnienia, ale w Terminalu 1 operacje odbywają się normalnie (loty Ryanair).

JAK DOSZEDŁ ATAK?

Problem, który pojawił się w nocy 19 września, dotyczy oprogramowania Muse firmy Collins Aerospace, używanego w standardowych stanowiskach odprawy, bramkach wejściowych i innej infrastrukturze.

W tej chaotycznej atmosferze linie lotnicze zmuszone były polecić pasażerom korzystanie z systemów ręcznych.

Dostawca systemu, firma Collins Aerospace, ogłosiła, że ​​„niezbędne aktualizacje oprogramowania są już prawie ukończone” i że wkrótce lotniska i linie lotnicze powinny wrócić do normalnego funkcjonowania.

Spółka macierzysta Collins Aerospace, RTX, przyznała, że ​​w oprogramowaniu MUSE wystąpił „błąd cybernetyczny”, ale nie odpowiedziała na pytania wielu mediów.

PRZYGOTOWANIA DO WIĘKSZEGO ATAKU?

Eksperci uważają, że hakerzy mogą wykorzystać obecną usterkę jako próbę generalną przed znacznie większym atakiem, który sparaliżuje systemy na całym świecie, zauważając, że Muse jest „standardem branżowym” używanym na około 150 lotniskach na całym świecie.

Alan Woodward, profesor wizytujący informatyki na Uniwersytecie w Sussex, powiedział, że brak przejrzystości wokół incydentu sugeruje, że system mógł stać się celem przestępców lub potencjalnych podmiotów państwowych.

„Przestępcy robią to dla pieniędzy. Infiltrują wasze sieci i mówią: »Jeśli nam nie zapłacicie, możemy zamknąć część waszej sieci«. To był atak testowy” – powiedział Woodward w rozmowie z Daily Metro.

„Skoro tak wiele lotnisk z niego korzysta, dlaczego tylko trzy się odezwały? Czy zrobiły aktualizację? Dlaczego więc pozostałe nie wykryły tego samego złośliwego oprogramowania? To rodzi więcej pytań niż nie. Wszyscy milczą. Nic nie mówią”.

UE: W ataku wykorzystano ransomware

Europejska Agencja Bezpieczeństwa Cybernetycznego (ENISA) poinformowała w poniedziałek BBC, że hakerzy używają oprogramowania ransomware do siania chaosu na lotniskach na całym świecie. „Wykryto ten typ oprogramowania ransomware” – poinformowała agencja Reuters. „Organy ścigania rozpoczęły dochodzenie w sprawie incydentu”.

Nie wiadomo, kto stoi za atakiem, ale gangi przestępcze zazwyczaj wykorzystują oprogramowanie ransomware, aby poważnie uszkodzić systemy swoich ofiar i żądać okupu w Bitcoinach jako rekompensaty za szkody.

CZYM JEST RANSOMWARE?

Ransomware to rodzaj złośliwego oprogramowania, które po zainfekowaniu systemu lub urządzenia szyfruje pliki użytkownika lub cały system, czyniąc je niedostępnymi i żądając okupu za przywrócenie danych.

Na ekranie zazwyczaj pojawia się komunikat, w którym atakujący twierdzą, że pliki zostaną zwrócone po zapłaceniu określonej kwoty, za pomocą określonej metody (często kryptowaluty), lub że w przeciwnym razie dane zostaną usunięte lub naruszone. Jednak nawet jeśli okup zostanie zapłacony, nie ma gwarancji, że atakujący faktycznie dostarczą klucz deszyfrujący, więc zapłacenie okupu nie jest uważane za ostateczne rozwiązanie.

Ransomware zazwyczaj działa w kilku etapach: najpierw infiltracja, następnie działanie w ukryciu, a na końcu szyfrowanie plików. Niektóre zaawansowane warianty najpierw poruszają się w sieci, atakując serwery lub kopie zapasowe, co dodatkowo zmniejsza prawdopodobieństwo odzyskania danych. Atakujący czasami kradną i szyfrują dane, w takim przypadku mogą wywierać dodatkową presję, grożąc ujawnieniem danych, jeśli ofiara nie zapłaci okupu.

To złośliwe oprogramowanie rozprzestrzenia się na wiele sposobów. Najczęstszymi metodami pozostają wiadomości phishingowe lub załączniki do wiadomości e-mail zawierające złośliwy kod. Polegają one na kliknięciu przez użytkownika linku lub otwarciu załącznika w oszukańczej wiadomości e-mail, co aktywuje złośliwe oprogramowanie.

Fałszywe powiadomienia podszywające się pod aktualizacje oprogramowania są również często wykorzystywane do infiltracji sieci ransomware. Infekcja może również nastąpić poprzez złośliwe dyski USB, złośliwe sieci reklamowe (malvertising) lub zainfekowane zasoby udostępniania plików.

W przeszłości zdarzały się incydenty z użyciem oprogramowania ransomware, które miały znaczący wpływ na cały świat:

Atak WannaCry w 2017 roku dotknął instytucje opieki zdrowotnej i liczne infrastruktury krytyczne, atakując miliony urządzeń. W tym samym roku epidemia Petya/NotPetya miała katastrofalne skutki, żądając okupu i trwale niszcząc dane. W ostatnich latach pojawiły się zorganizowane grupy, takie jak LockBit, które prowadzą zaawansowane kampanie wymierzone w korporacje.

Przypadki te pokazują, że ransomware naraża na ryzyko nie tylko poszczególnych użytkowników, ale także przedsiębiorstwa użyteczności publicznej, systemy opieki zdrowotnej i duże firmy.

Najbardziej skuteczne metody ochrony obejmują regularne tworzenie kopii zapasowych, aktualizowanie oprogramowania i systemów operacyjnych, korzystanie z silnych haseł i uwierzytelniania wieloskładnikowego oraz nieotwieranie nieznanych załączników do wiadomości e-mail ani podejrzanych linków.

Przechowywanie kopii zapasowych w trybie offline lub w bezpiecznym środowisku chmurowym może zapewnić odzyskanie danych po ataku. Ponadto wdrożenie prewencyjnych środków bezpieczeństwa, takich jak rozwiązania zabezpieczające punkty końcowe, segmentacja sieci i testy penetracyjne, może zwiększyć odporność organizacji.