Timp de aproape zece ani, Departamentul de Investigare a Incidentelor Informatice Kaspersky a cercetat diferite incidente de securitate cibernetică, dintre care cele mai multe sunt legate de activitatea criminalilor cibernetici vorbitori de limbă rusă. În ultimii ani, experții în securitate Kaspersky au observat câteva schimbări importante în modul în care acționează aceste cyberganguri și pe cine vizează de obicei.
Înțelegerea modului în care operează și evoluează criminalii cibernetici în ceea ce privește tacticile, tehnicile și procedurile este foarte importantă pentru comunitatea de securitate cibernetică și îi ajută pe cei care se ocupă de protecția companiilor să se pregătească mai bine pentru acționarea împotriva posibilelor incidente. Având în vedere acest lucru, experții Departamentului de Investigare a Incidentelor Informatice de la Kaspersky au pregătit o cercetare asupra schimbărilor majore din ultimii șase ani – prin intermediul acestor detalii s-a dovedit că s-au schimbat multe.
De exemplu, așa-numitele atacuri client-side, în care ținte din trecut erau infectate masiv cu malware care fura bani prin diferite vulnerabilități de securitate din browserele populare, nu mai sunt obișnuite. Cu câțiva ani în urmă, acest vector de infecție era adesea folosit de bandele de criminalitate cibernetică vorbitoare de limbă rusă pentru a infecta ținte relevante în rândul organizațiilor comerciale și financiare (de obicei angajații din contabilitate). Cu toate acestea, de atunci, browserele și alți dezvoltatori de tehnologii web vulnerabile anterior au făcut un efort vizibil pentru a îmbunătăți securitatea produselor lor și pentru a implementa actualizări automate ale sistemului. Drept urmare, acum este greu pentru infractori să organizeze o campanie eficientă de infecție. În schimb, încearcă să utilizeze e-mailuri de tip spear-phishing, ademenind țintele să deschidă documente sau link-uri atașate rău intenționate, care pot exploata o vulnerabilitate în software-ul popular, vulnerabilitate care – așa cum speră infractorii – nu a fost rezolvată în timp util pe computerul vizat.
Cealaltă schimbare importantă este că, spre deosebire de acțiunile desfășurate cu câțiva ani în urmă, infractorii cibernetici nu mai tind să-și dezvolte propriul malware, ci folosesc în schimb teste de penetrare disponibile public și software de acces la distanță. Organizațiile ar putea utiliza aceste instrumente în scopuri legitime și de aceea software-ul de securitate nu le detectează automat ca fiind dăunătoare. Asta este și ceea ce speră criminalii atunci când folosesc astfel de instrumente. Folosirea instrumentelor de pentesting le permite, de asemenea, să economisească o mulțime de resurse pentru dezvoltare.
Lista modificărilor importante include următoarele acțiuni:
• Utilizarea activă a infrastructurii cloud publice, în loc să construiască și să dezvolte una proprie.
• Nu mai este nevoie să creeze grupuri mari de parteneri în criminalitate. De asemenea, nefiind nevoie să își creeze propriile instrumente rău intenționate și utilizând activ infrastructura cloud, pot să desfășoare activități rău intenționate în grupuri mult mai mici decât în trecut.
• Schimbarea dramatică a direcționării lor, de la atacuri financiare împotriva organizațiilor și instituțiilor financiare la atacuri de ransomware și furt de date. În plus, un număr semnificativ de mare de infractori cibernetici nu mai lucrează pe teritoriile Rusiei și CSI, ci atacă ținte internaționale.
„În 2016, accentul nostru principal a fost pe cybergang-urile mari, care vizau instituțiile financiare, în special băncile. Nume mari precum Lurk, Buhtrap, Metel, RTM, Fibbit și Carbanak, au terorizat cu îndrăzneală băncile la nivel național și, în unele cazuri, la nivel internațional. Cu toate acestea, în cele din urmă s-au destrămat sau au ajuns după gratii – cu ajutorul nostru. Alte grupări cibernetice, cum ar fi Cerberus, au părăsit „jocul” și au împărtășit codul sursă public. În zilele noastre, industriile atacate nu se limitează la instituții financiare, iar atacurile majore, ca acelea pe care le-am investigat în trecut, nu mai sunt posibile, din fericire. Cu toate acestea, cu greu putem spune că există mai puțină criminalitate cibernetică. Anul trecut, numărul total de incidente pe care le-am investigat a fost în jur de 200. Anul acesta nu s-a încheiat încă, dar numărul este deja în jur de 300 și continuă să crească. În această situație, considerăm că este extrem de important să împărtășim informațiile relevante cu privire la activitatea criminalității cibernetice, comunității din acest domeniu, iar acest lucru este posibil cu ajutorul raportului nostru”, a declarat Ruslan Sabitov, expert în securitate la Kaspersky.
Aflați mai multe despre evoluția criminalității cibernetice vorbitoare de limba rusă pe Securelist.com.