Кои са топ тенденциите при киберпрестъпленията? (част 1)

Кои са топ тенденциите при киберпрестъпленията? (част 1)

На този въпрос отговарят от Европейския център по киберсигурност към Европол в своя годишен доклад

Майя Бойчева-Манолчева
780 прочитания

Какво се е променило в света на киберпрестъпленията през последните 12 месеца? На този въпрос отговарят от Европейския център по киберсигурност (EC3) към Европол в станалия вече традиционен доклад "Оценка на заплахите от организирана престъпност в интернет" (Internet Organised Crime Threat Assessment - IOCTA). Ето кои са основните тенденции, които очертават експертите.

Престъпление като услуга

Моделът престъпление като услуга (Crime-as-a-Service или CaaS) продължава да бъде водещ при киберпрестъпниците. През последните 12 месеца от Европол регистрират ръст при предлагането на "зловреден код като услуга" в Dark Web, като рансъмуер партньорските програми са най-популярни. Тези програми представляват своеобразна еволюция на Ransomware-as-a Service (RaaS) модела, при който изпълнителите споделят печалби с партньори, които могат да злоупотребят с дадена мрежа или даже с цялата информация, необходима, за да се извърши атака или да инсталират зловреден код. В резултат на това пазарът на достъп до компрометирана инфраструктура и изтичане на информация се е разширил значително, смятат експертите от Европол.

Другата тенденция, която те наблюдават, е по-голямото търсене на "достъп като услуга" (Access-as-a-Service или AaaS), като от този тип услуги се възползват както по-големите киберпрестъпни групи, така и престъпници от по-ниско ниво, които наемат инструментите, за да достъпят до корпоративна мрежа например.

Личните данни също са изключително търсени, особено с оглед на прилагането на социален инженеринг. Човекът остава най-слабото звено в сигурността, което означава, че социалният инженеринг е важен вектор за придобиване на достъп до информационни системи или банкови сметки.

Трудностите при разследването на такъв тип престъпления е, че тези, които нанасят щети на жертвите, са всъщност крайни потребители на криминалните услуги. Това означава, че разследванията срещу тези лица няма да доведат до разбиване на криминалната екосистема.

Освен CaaS има и други, легитимни услуги, инструменти и технологии, които киберпрестъпниците използват, като сигурната комуникация, анонимността, замаскиране и изпиране на парите и т.н. Тези услуги да бъдат класифицирани като извършвани в "сивата зона". Те често се намират в държави, които имат много строги закони за поверителност или не си сътрудничат с международните правоохранителни органи, но се използват активно от криминалните структури и се предлагат в криминалните форуми. Най-известната характеристика на този тип услуги е криптирането от край до край. В допълнение, киберпрестъпниците използват криптовалутите за изпиране на пари и VPN доставчици. Добрата новина е, че борсите за криптовалути затягат мерките, като все по-често използват инструменти тип "да познаваш клиентите си" (know-your-customer или KYC).

Рансъмуер атаки

Рансъмуерът продължава да бъде водеща заплаха за финансовата, публичната и дори физическата сигурност. Повечето от допитаните представители на правоохранителните органи са категорични, че случаите на рансъмуер през последната година са се увеличили. Тенденцията атаките да се фокусират върху големи корпорации и публични институции, които използват уязвимости на дигиталната верига за доставки и многопластови атаки, се е засилила спрямо предходната година, констатират експертите. Масово разпространеният рансъмуер отстъпва място на частните компании, здравеопазването и образованието, критичната инфраструктура и държавните институции, като атакуващите избират целите си спрямо възможностите им да платят по-бързо и по-висок откуп. Типични примери за групи, които атакуват големи компании, са: Conti, Maze, Avaddon и Babuk, а рансъмуерът Ryuk се използва активно срещу системи на здравеопазването.

През годината киберпрестъпниците продължават да се възползват от отдалечен десктоп протокол (RDP) и уязвимости при VPN услугите, за да проникват в корпоративните мрежи. Атакуващите осъзнаха какъв огромен потенциал има при компрометирането на дигиталните вериги за доставки, при които фокусът е върху доставчиците. Примери за това са атаките към SolarWinds, Kaseya и Microsoft Exchange Server. След като вече са достигнали до клиентската мрежа на софтуерния доставчик, операторите на рансъмуеър могат да изберат най-подходящата цел и да инсталират зловредния код в най-подходящото време. Ransomware атаките вече са доста по-сложни, а киберпрестъпниците прекарват все повече време вътре в самата мрежа, за да изследват мишената и да увеличават възможностите си за компрометиране на мрежата и достъп до повече данни. Използват се инструменти като Metasploit, Cobalt Strike и Mimikatz, както и зловреден код без файл. При този тип атаки зловредният код се пише директно в системната памет на жертвата или пък се хакват инструменти като PowerShell, за да се криптират файлове.

Има развитие и при начините на принуда, които използват киберпрестъпниците, след като са поели вече контрол над машините на жертвите. Вече активно се използват Voice over Internet Protocol (VoIP) услуги за контакти с журналисти, клиенти и бизнес партньори на организацията. В някои случи киберпрестъпниците дори заплашват своите жертви с DDoS атаки и публикуване на личната информация на служителите. Някои от популярните групи са: Avaddon, DarkSide, RagnarLocker и Sodinokibi. Всички тези задълбочени техники, които се използват от атакуващите, са довели до сериозно увеличение на платените откупи - над 300% между 2019 и 2020 година.

Ръст на рансъмуер партньорските програми

Наблюдава се и сериозен ръст на частните партньорски програми, които се управляват от криминални групи като Conti, DarkSide, Sodinokibi/REvil, NetWalker и Babuk. Те търсят програмисти и хакери, които да подобрят функционалността на зловредния софтуер или да придобият достъп до инфраструктурата на мишената. Рансъмуер екипите си сътрудничат също и с други разработчици на зловреден код. Такъв пример е използването на EMOTET за доставка на рансъмуер в набелязаните мрежи. След разбиването му през януари 2021 г. се използват други варианти на зловреден код като BazarLoader и IcedID. Засечени са и случаи, при които рансъмуерът Ryuk, който преди се разпространяваше чрез ботнета EMOTET, се инсталира в системите на жертвите след заразяване с TrickBot, което предполага партньорски отношения между двете групи. Прогнозите на експертите са, че рансъмуер атаките ще продължават да се развиват и да нарастват.

Мобилен зловреден код

Мобилният зловреден код е още една сфера, в която киберпрестъпниците могат да се похвалят с пробив през тази година. Експертите отчитат сериозен ръст на такива атаки. Троянците, използвани при мобилното банкиране, са доста подобрени, като киберпрестъпниците използват нови тактики и техники за кражба на данни. Често зловредните кодове, които атакуват мобилното банкиране, използват Automated Transfer System (ATS) модули чрез Android Accessibility Service за манипулиране на банковите приложения.

Троянците Cerberus и TeaBot пък могат да прихванат текстовите съобщения, съдържащи еднократните пароли, изпращани от финансовите институции и приложенията за двуфакторна автентикация като Google Authenticator.

Един от най-популярните троянци при мобилното банкиране в момента в Европа и САЩ е FluBot. Той се разпространява чрез изпращане на фишинг текстови съобщения от заразеното устройство до контактите от списъка на телефона и придобива достъп до интернет банкирането, кредитните карти и криптопортфейлите на потребителя.

DDoS атаки с искания за откуп

Експертите отбелязват и появата отново на DDoS атаки с искания за откуп, както и ръст на атаките с голям мащаб и обем. Киберпрестъпниците атакуват доставчици на интернет, финансови институции и малки и средни компании. Сценарият е ясен - обикновено малка демонстрационна атака към инфраструктурата на жертвата предхожда искането за откуп. Интересното е, че атакуващите искат да се асоциират с добре познатите киберкриминални групи Fancy Bear и Lazarus, за да изплашат жертвата и да я накарат да плати откупа. Какво се случва при отказ да се плати? Експертите са наблюдавали и двата варианта - и да се осъществи голямата планирана атака, както се случи с атаката срещу борсата на Нова Зеландия, и това да не реализира такава атака.

Очаквайте продължение!

Снимка: Pixabay.com

Какво се е променило в света на киберпрестъпленията през последните 12 месеца? На този въпрос отговарят от Европейския център по киберсигурност (EC3) към Европол в станалия вече традиционен доклад "Оценка на заплахите от организирана престъпност в интернет" (Internet Organised Crime Threat Assessment - IOCTA). Ето кои са основните тенденции, които очертават експертите.

Престъпление като услуга

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК