Aż 1,5 miliona z nich stanowiły ataki z USA. Co ciekawe, aż jedną trzecią z nich przeprowadzono w Boże Narodzenie. 60% incydentów stanowił ruch HTTPS oraz HTTP – oznacza to, że skanowano serwery w poszukiwaniu aplikacji internetowych, których luki można wykorzystać do wykradania danych lub przejęcia kontroli nad konkretnym urządzeniem.
Drugie miejsce, jeśli chodzi o podejrzany ruch sieciowy skierowany w stronę Polski, stanowią adresy IP przynależne do Francji z liczbą ponad 900 tys. prób ataków przeprowadzonych w ciągu ostatnich 12 miesięcy. Większość wykrytych incydentów, które pochodziły z Francji, stanowiły ataki na port SMTP, co wskazuje na aktywność związaną z phishingiem. Ponad 90% cyberataków miało miejsce w drugiej połowie sierpnia, a 12% z nich pochodziło tylko z trzech adresów IP – mogły one należeć do większych organizacji, wykorzystujących wiele tysięcy komputerów. Wskazuje to na masową infekcję, która w tym okresie dotknęła Francję.
Rosja jest trzecim największym źródłem ataków na Polskę – od czerwca poprzedniego roku podjęto ponad 800 tys. prób cyberataków z adresów IP należących do tego kraju. Prawie 85% detekcji dotyczyło protokołu SMB – hakerzy najprawdopodobniej rozprzestrzeniali wtedy oprogramowanie do wyłudzania okupów, czyli ransomware. Był to równomierny ruch rozłożony w ciągu roku z wyraźnym natężeniem w sierpniu.
Na czwartej pozycji znalazły się Chiny z liczbą niemal 600 tys. prób ataków. Cyberprzestępcy z Chin wyspecjalizowali się w poszukiwaniu i wykorzystywaniu niezabezpieczonych serwerów baz danych (MySQL). Najczęściej używają ich do wykradania cennych informacji, dokonywania wyłudzeń z użyciem systemów transakcyjnych (np. podszywając się pod sklepy internetowe) lub przejmowania kontroli nad urządzeniami.
Kolejne kraje, które znalazły się na liście głównych źródeł ataków na Polskę, to kolejno: Finlandia (~470 tys. prób), Singapur (~410 tys.), Ukraina (~ 230 tys.), Argentyna (~150 tys.), Niemcy (~130 tys.) oraz Wielka Brytania (~125 tys.). Zdecydowana większość wykrytych cyberzagrożeń w przypadku tych państw dotyczyła rozsyłania spamu i w efekcie mogła prowadzić do ataków ransomware lub wykorzystujących phishing.
Dzięki sieci Honeypot możliwe było stworzenie mapy pokazującej najczęściej atakowane ośrodki w Polsce – według danych są to kolejno Warszawa, Poznań, Kraków, Gdańsk oraz Wrocław. Największe zagęszczenie cyberataków wynika z dużej liczby użytkowników aglomeracji, a co za tym idzie – również urządzeń. W dużych miastach znajdują się też węzły komunikacyjne dostawców usług internetowych, w związku z czym ruch sieciowy w tych miejscach jest zintensyfikowany.
źródło: F-Secure