Για σχεδόν δέκα χρόνια, το τμήμα Computer Incident Investigation της Kaspersky διερεύνησε μια σειρά περιστατικών, τα περισσότερα εκ των οποίων σχετίζονται με τη δραστηριότητα ρωσόφωνων εγκληματιών στον κυβερνοχώρο. Τα τελευταία χρόνια οι ειδικοί ασφάλειας της Kaspersky παρατήρησαν αρκετές αλλαγές στον τρόπο λειτουργίας και στους στόχους των συμμοριών του διαδικτύου.
Η κατανόηση του τρόπου με τον οποίο οι εγκληματίες του κυβερνοχώρου λειτουργούν και εξελίσσονται όσον αφορά τις τακτικές, τις τεχνικές και τις διαδικασίες που ακολουθούν είναι πολύ σημαντική για την κοινότητα κυβερνοασφάλειας, καθώς βοηθά τους υπεύθυνους ασφαλείας των επιχειρήσεων να προετοιμάσουν καλύτερα την προστασία τους από πιθανές παραβιάσεις. Έχοντας αυτό κατά νου, οι ειδικοί του τμήματος Computer Incident Investigation της Kaspersky ετοίμασαν μια επισκόπηση των σημαντικότερων αλλαγών των τελευταίων έξι χρόνων, αποδεικνύοντας ότι έχουν αλλάξει πολλά.
Για παράδειγμα, οι αποκαλούμενες client-side επιθέσεις, κατά τις οποίες τα θύματα μολύνονταν μαζικά με κακόβουλο λογισμικό κλοπής χρημάτων μέσω διαφόρων κενών ασφαλείας στα δημοφιλή προγράμματα περιήγησης, δεν είναι πλέον τυπικές. Πριν από αρκετά χρόνια, αυτό το μέσο μόλυνσης αξιοποιούνταν συχνά από ρωσόφωνες συμμορίες κυβερνοεγκλήματος με στόχο τη διείσδυση στις υποδομές εμπορικών και χρηματοπιστωτικών οργανισμών (δείχνοντας ιδιαίτερη προτίμηση σε εργαζόμενους σε λογιστικά πόστα). Ωστόσο, από τότε, οι εξειδικευμένοι σε προγράμματα περιήγησης προγραμματιστές πραγματοποίησαν μια αξιοσημείωτη προσπάθεια να βελτιώσουν την ασφάλεια των προϊόντων τους και να εφαρμόσουν αυτόματες ενημερώσεις συστήματος. Ως αποτέλεσμα, είναι πλέον δύσκολο για τους εγκληματίες να πραγματοποιήσουν μια αποτελεσματική εκστρατεία μόλυνσης. Αντ’ αυτού, προσπαθούν να χρησιμοποιήσουν μηνύματα phising, επιχειρώντας να παρασύρουν τα θύματά τους και να τα πείσουν να ανοίξουν συνημμένα αρχεία και να εκμεταλλευτούν με αυτόν τον τρόπο τυχόν ευπάθειες, οι οποίες ελπίζουν ότι δεν έχουν ενημερωθεί έγκαιρα.
Μια ακόμη σημαντική αλλαγή είναι ότι, σε αντίθεση με αρκετά χρόνια πριν, οι εγκληματίες στον κυβερνοχώρο δεν τείνουν πλέον να αναπτύσσουν το δικό τους κακόβουλο λογισμικό αλλά χρησιμοποιούν δημόσια διαθέσιμες δοκιμές διείσδυσης και λογισμικό απομακρυσμένης πρόσβασης. Οι οργανισμοί ενδέχεται να χρησιμοποιούν αυτά τα εργαλεία για νόμιμους σκοπούς και γι’ αυτό το λογισμικό ασφαλείας δεν τα εντοπίζει αυτόματα ως κακόβουλα. Σε αυτό ελπίζουν οι εγκληματίες όταν χρησιμοποιούν τέτοια εργαλεία. Η χρήση εργαλείων pentesting τους επιτρέπει επίσης να εξοικονομήσουν πολλούς πόρους στην ανάπτυξη.
Ο κατάλογος των σημαντικών αλλαγών περιλαμβάνει εγκληματίες οι οποίοι:
- Χρησιμοποιούν ενεργά τη δημόσια υποδομή cloud αντί να δημιουργούν και να υποστηρίζουν τη δική τους.
- Δεν χρειάζονται πλέον να δημιουργούν διευρυμένα δίκτυα συνεργαζόμενων εγκληματιών για την επίτευξη του στόχου τους. Επίσης, το γεγονός ότι δεν χρειάζεται πλέον να δημιουργούν τα δικά τους κακόβουλα εργαλεία σε συνδυασμό με την ενεργή χρήση της υποδομής cloud, τους επιτρέπει να διεξάγουν κακόβουλες δραστηριότητες σε πολύ μικρότερες ομάδες από ό,τι ήταν προηγουμένως δυνατό.
- Έχουν αλλάξει δραματικά τη στόχευσή τους μετατοπιζόμενοι από οικονομικές επιθέσεις εναντίον οργανισμών και χρηματοπιστωτικών ιδρυμάτων σε επιθέσεις κλοπής δεδομένων και ransomware. Επιπλέον, σημαντικός αριθμός εγκληματιών στον κυβερνοχώρο δεν περιορίζονται πλέον στη Ρωσία και τα εδάφη της ΚΑΚ, αλλά επιτίθενται σε υπερπόντιους στόχους.
«Το 2016, η κύρια εστίασή μας αφορούσε μεγάλες συμμορίες του κυβερνοχώρου που στόχευαν χρηματοπιστωτικά ιδρύματα, με έμφαση στις τράπεζες. Μεγάλα ονόματα όπως το Lurk, το Buhtrap, το Metel, το RTM, το Fibbit και το Carbanak, προκαλούσαν δέος στις τράπεζες σε εθνικό αλλά, σε ορισμένες περιπτώσεις, και σε διεθνές επίπεδο. Ωστόσο, τελικά διαλύθηκαν ή κατέληξαν πίσω από τα σίδερα της φυλακής με τη συνεισφορά μας. Άλλοι σύνδεσμοι εγκληματιών του κυβερνοχώρου, όπως το Cerberus, έφυγαν από το «παιχνίδι» και μοιράστηκαν τον πηγαίο τους κώδικα με τον υπόλοιπο κόσμο. Στις μέρες μας οι κλάδοι που δέχονται επίθεση δεν περιορίζονται σε χρηματοπιστωτικά ιδρύματα, ενώ επιθέσεις του μεγέθους που ερευνήσαμε στο παρελθόν δεν είναι πλέον ευτυχώς εφικτό να πραγματοποιηθούν. Ωστόσο, δύσκολα θα μπορούσαμε να ισχυριστούμε ότι το κυβερνοέγκλημα έχει μειωθεί. Πέρυσι, τα συνολικά περιστατικά που ερευνήσαμε ήταν περίπου 200. Φέτος η ανάλυση δεν έχει ολοκληρωθεί ακόμη, αλλά ο αριθμός τους αγγίζει ήδη τα 300. Σε αυτές τις συνθήκες πιστεύουμε ακράδαντα πως είναι ιδιαίτερα σημαντικό να μοιραζόμαστε πληροφορίες με την υπόλοιπη κοινότητα κυβερνοασφάλειας σχετικά με το έγκλημα στον κυβερνοχώρο, δημοσιεύοντας τη νέα αυτή έκθεση», δήλωσε ο Ruslan Sabitov, εμπειρογνώμονας ασφαλείας στην Kaspersky.
Μάθετε περισσότερα για την εξέλιξη του ρωσόφωνου εγκλήματος στον κυβερνοχώρο στο Securelist.com.