1asig.ro
1asig.ro

Studiu: Hackerii isi diversifica tacticile pentru a provoca mai multe pagube

5 min. / 1.540 cuvinte
Unii dintre cei mai priceputi hackeri sponsorizati de state si de grupari cunoscute ransomware apeleaza la un arsenal de noi instrumente open-source pentru a exploata in mod activ sistemele de email ale corporatiilor, iar prin intermediul santajului online intimideaza victimele pentru a plati rascumparari, conform raportului Cyber Threatscape din 2020 de la Accenture.

PROMO


Valorificand capacitatile CTI (Cyber Threat Intelligence) ale Accenture, raportul produs anual de companie examineaza tacticile, tehnicile si procedurile folosite de unii dintre cei mai sofisticati adversari cibernetici si exploreaza modul in care incidentele cibernetice ar putea evolua in anul urmator. La raport au contribuit cercetatori de la Context Information Security si Deja vu Security, companii pe care Accenture le-a achizitionat in martie 2020, respectiv iunie 2019. Pe langa aceste achizitii, Accenture a mai preluat in acest an diferite companii, inclusiv Symantec's Cyber Security Services business si Revolutionary Security, demonstrand astfel angajamentul continuu al companiei de a-si extinde serviciile de securitate cibernetica pentru clientii sai.

Cercetatorii Accenture au descoperit numeroase campanii de phishing si amenintari pentru dispozitivele mobile, care profita de ingrijorarea publicului si confuzia cu privire la COVID-19 si utilizeaza pandemia ca momeala. Printre gruparile detectate de specialistii Accenture se numara: Lucifershark, Snipefish, Rohu sau Pond Loach.

"Deoarece COVID-19 a schimbat radical modul in care lucram si traim, am vazut o gama larga de adversari cibernetici schimbandu-si tactica pentru a profita de noi vulnerabilitati", a spus Josh Ray, care conduce divizia de aparare cibernetica a Accenture Security la nivel global. "Cea mai importanta informatie din studiul nostru este ca organizatiile ar trebui sa se astepte ca infractorii cibernetici sa devina mai curajosi pe masura ce potentialele oportunitati si castiguri din aceste campanii cresc. Intr-un aceste conditii, organizatiile trebuie sa dubleze punerea in aplicare a controalelor prin utilizarea informatiilor privind amenintarile cibernetice pentru a intelege si a elimina cele mai complexe amenintari."

Adversarii sofisticati isi mascheaza identitatile cu instrumente off-the-shelf

Pe parcursul anului 2020, analistii CTI ai Accenture au observat grupurile infractionale sponsorizate de state si grupari criminale organizate folosind o combinatie de instrumente off-the-shelf - inclusiv instrumente de "living off the land", infrastructura de gazduire partajata si cod de exploatare dezvoltat public - si instrumente de testare a penetrarii open source la o scara fara precedent pentru a efectua atacuri cibernetice si a-si ascunde urmele.

De exemplu, Accenture urmareste tiparele si activitatile unui grup de hackeri din Iran, denumit SOURFACE (cunoscut si sub numele de Chafer sau Remix Kitten). Activ din cel putin 2014, grupul este cunoscut pentru atacurile cibernetice asupra industriilor de petrol si gaze, comunicatii, transporturi dar si altele din SUA, Israel, Europa, Arabia Saudita, Australia si alte regiuni. Analistii Accenture CTI au observat SOURFACE folosind functii Windows legitime si instrumente disponibile in mod gratuit, cum ar fi Mimikatz, pentru dumping-ul de credentiale. Aceasta tehnica este utilizata pentru a fura acreditarile de autentificare ale utilizatorilor, cum ar fi numele de utilizator si parolele, pentru a permite atacatorilor sa isi extinda privilegiile sau sa se deplaseze in retea pentru a compromite alte sisteme si conturi in timp ce sunt deghizati in utilizator valid.

Potrivit raportului, este foarte probabil ca actorii sofisticati, inclusiv grupurile infractionale organizate si sponsorizate de stat, sa continue sa utilizeze instrumente de testare a penetrarii si off-the-shelf in viitorul apropiat, deoarece sunt usor de utilizat si eficiente din punct de vedere al costurilor.

Tacticile noi si sofisticate vizeaza continuitatea afacerilor

Raportul mentioneaza modul in care un grup cunoscut a vizat in mod agresiv sistemele care sustin Microsoft Exchange si Outlook Web Access si apoi foloseste aceste sisteme compromise ca capete de pod in mediul victimei pentru a ascunde traficul, a transmite comenzi, a compromite e-mailuri, a fura date si a aduna acreditari pentru spionaj. Operand din Rusia, grupul, pe care Accenture il numeste BELUGASTURGEON (cunoscut si sub numele de Turla sau Snake), este activ de mai bine de 10 ani si este asociat cu numeroase atacuri cibernetice indreptate catre agentiile guvernamentale, firmele de cercetare in domeniul politicii externe si think tank-uri din intreaga lume.

Ransomware alimenteaza un nou model de afaceri scalabil si profitabil

Ransomware-ul a devenit rapid un model de afaceri mai profitabil in ultimul an, infractorii cibernetici ducand santajul online la un nou nivel amenintand ca vor elibera public datele furate sau le vor vinde si vor dezvalui identitatea si vor face de ras victimele pe site-uri web dedicate. Infractorii din spatele Maze, Sodinokibi (cunoscut si sub denumirea de REvil) si tulpinile de ransomware DoppelPaymer sunt pionierii acestei tactici in crestere, care genereaza profituri mai mari si are ca rezultat un val de actori imitatori.

In plus, faimosul ransomware LockBit a aparut la inceputul acestui an, care - pe langa copierea tacticii de santaj - a castigat atentie datorita functiei sale de auto-raspandire care infecteaza rapid alte computere dintr-o retea corporativa. Motivatiile din spatele LockBit par a fi si ele financiare. Analistii Accenture CTI au urmarit criminalii cibernetici din spatele acestuia pe forumurile Dark Web, unde se descopera ca fac publicitate actualizarilor si imbunatatirilor periodice ale ransomware-ului si recruteaza in mod activ noi membri promitand o parte din banii de rascumparare. Succesul acestor metode de extorsiune de tip hack-and-leak, in special impotriva organizatiilor mai mari, inseamna ca acestea vor prolifera probabil pentru restul anului 2020 si ar putea prefigura tendintele viitoare de hacking in 2021. De fapt, analistii Accenture CTI au observat campanii de recrutare intr-un forum popular Dark Web de infractorii cibernetici din spatele Sodinokibi.

Cititi raportul complet Cyber Threatscape 2020 disponibil aici.

541 accesari