În 2020, am asistat la o multitudine de atacuri cibernetice financiare legate de impactul crizei COVID-19. Companiile au devenit mai puțin sigure datorită soluțiilor de lucru la distanță implementate în grabă. Unele dintre ele nu au avut suficient de multe laptopuri pentru a le pune la dispoziția angajaților și au fost nevoie să achiziționeze într-un timp foarte scurt orice au găsit disponibil, chiar dacă echipamentele respective nu respectau standardele de securitate ale organizației. Riscul de securitate cibernetică a fost depășit de nevoia de a menține afacerea în funcțiune.
Cu toate acestea, computerele slab configurate și slab protejate au fost conectate la sisteme la distanță. Lipsa de pregătire a angajaților, configurațiile implicite ale laptopului lăsate neschimbate și conexiunile vulnerabile la acces de la distanță, toate împreună, au făcut posibile tot felul de atacuri, inclusiv ransomware-uri țintite.
Infractorii cibernetici au evoluat. De exemplu, ecosistemul brazilian de criminalitate informatică a fost, până în 2020, un jucător regional. Anul trecut, am văzut câteva familii care s-au extins pe alte continente, vizând victime din Europa și din alte părți. Kaspersky a numit primele patru familii care au făcut acest lucru (Guildma, Javali, Melcoz, Grandoreiro) „la Tétrade”. Au urmat apoi alții: Amavaldo, Lampion și Bizarro. Dacă ne uităm la actorii care atacă prin intermediul troienilor sistemele de mobile banking, Ghimob vizează acum America Latină și Africa, în timp ce Basbanke este activ în Portugalia și Spania.
Atacurile din sectorul de retail banking s-au intensificat, inclusiv atacurile asupra rețelelor de bancomate. Infamul Prilex s-a poziționat ca un bazar MaaS și a implementat recent atacul prin reluare, un tip de atac cibernetic bazat pe reutilizarea ID-urilor de sesiune interceptate sau a altor informații de autorizare în sistemul țintă.
Unele familii de malware de la bancomate au evoluat și includ acum funcții RAT (Remote Access Trojan). Una dintre ele utilizează dnscat2 pentru a masca comunicațiile C2 și a ocoli mecanismele tradiționale de detectare a rețelei.
Ransomware-ul țintit este noul normal și face parte din modelele de amenințare organizațiilor financiare. Stimulați de succes și de acoperirea extinsă de către mass-media a subiectului, infractorii din spatele atacurilor ransomware țintite au crescut în mod sistematic sumele pretinse în schimbul ne-publicării informațiilor furate. Acest punct este important, deoarece nu mai este vorba despre criptarea datelor, ci despre dezvăluirea informațiilor confidențiale extrase din rețeaua victimei. Date fiind cerințele de securitate din industria cardurilor de plată și alte reglementări din sectorul bancar, scurgeri de acest gen pot duce la pierderi financiare semnificative.
Un alt punct cheie în ceea ce privește ransomware-ul este că în 2020 factorul uman a fost exploatat ca vector de infecție inițială. Incidentul de încercare de a infecta producătorul de automobile electrice Tesla este un bun exemplu în acest sens. Când vine vorba de ținte cu un profil media foarte proeminent, infractorii cibernetici nu ezită să aloce timp și resurse pentru a lucra cu toți cei patru vectori – bani, ideologie, compromis și ego – pentru a ajunge la rețelele victimelor.
Din păcate, povestea ransomware-ului nu se termină aici. Grupul Lazarus și-a încercat mâna în liga mare cu familia de ransomware VHD. Incidentul s-a bucurat de multă atenție, drept pentru care și alți infractori APT au urmat exemplul.
Previziuni pentru 2021
Pandemia COVID-19 va provoca, probabil, un val masiv de sărăcie, iar acest lucru se va traduce, invariabil, în tot mai mulți oameni care recurg la infracțiuni, inclusiv la criminalitate informatică. S-ar putea să vedem că anumite economii se prăbușesc și că monedele locale scad, ceea ce va face furtul Bitcoin mult mai atractiv. Ar trebui să ne așteptăm la mai multe fraude, care vizează în principal BTC, datorită faptului că această criptomonedă este cea mai populară.
Va urma o reintegrare și internalizarea operațiunilor ecosistemului criminalității cibernetice; principalii actori și cei care au obținut suficiente profituri se vor baza mai ales pe propria lor dezvoltare internă, reducând externalizarea pentru a-și spori profiturile. Actorii de amenințări avansate din țările plasate sub sancțiuni economice se pot baza mai mult pe ransomware care imită activitatea criminalilor cibernetici. Aceștia vor reutiliza codul deja disponibil sau își pot crea propriile campanii de la zero.
Dat fiind profitul consistent obținut de grupurile ransomware, ar trebui să ne așteptăm la utilizarea de exploit-urilor de tip 0-day, precum și a celor deja cunoscute (N-days exploits) în atacurile viitoare. Grupurile vor achiziționa ambele tipuri de exploit-uri pentru a extinde și mai mult amploarea atacurilor, pentru a le spori rata de succes și a-și mări profiturile.
În 2020, Office of Foreign Assets Control, OFAC, a anunțat că va supraveghea orice plată în beneficiul grupurilor de ransomware. În același timp, Comandamentul Cibernetic al SUA a închis Trickbot temporar, înainte de alegeri. Este extrem de probabil că va fi extinsă politica de „angajament persistent” a SUA în ceea ce privește criminalitatea financiară. Există, de asemenea, posibilitatea unor sancțiuni economice împotriva instituțiilor, teritoriilor sau chiar a țărilor care manifestă lipsă de hotărâre în combaterea criminalității cibernetice de pe propriile teritorii.
Având acum capacitățile tehnice speciale de monitorizare, deanonimizare și confiscare a conturilor BTC, ar trebui să ne așteptăm ca infractorii cibernetici să treacă la criptomonede de tranzit pentru taxarea victimelor. Este doar un motiv în plus pentru a crede că ar putea trece la alte monede cu confidențialitate îmbunătățită, cum ar fi Monero, pentru a le folosi mai întâi ca monedă de tranziție și apoi pentru a converti fondurile în orice altă criptomonedă, inclusiv BTC.
Încercările de extorcare vor continua să fie în creștere. Într-un fel sau altul, infractorii cibernetici care vizează activele financiare se vor baza pe extorcare. Dacă nu ransomware, atunci DDoS sau, eventual, ambele. Acest lucru ar putea fi deosebit de important pentru companiile care pot ajunge să piardă date, să treacă printr-un proces epuizant de recuperare a acestora și apoi să renunțe cu totul la operațiunile online.