Τι αποκαλύπτει έρευνα σχετικά με τη δράση συμμοριών σε «πεδία δοκιμών»
Με το πιο πρόσφατο κακόβουλο λογισμικό ανά χείρας οι χάκερς πειραματίζονται σε επιχειρήσεις στην Αφρική, στην Ασία και στη Νότια Αμερική προτού στοχοποιήσουν πλουσιότερες χώρες που έχουν πιο εξελιγμένες μεθόδους ασφαλείας, όπως στη Βόρεια Αμερική και στην Ευρώπη. Αυτό αποκαλύπτει έκθεση που δημοσιεύθηκε την Τετάρτη από την εταιρεία κυβερνοασφάλειας Performanta, την οποία δημοσιεύουν οι FT.
Οι χάκερς χρησιμοποιούν τις αναπτυσσόμενες χώρες ως πλατφόρμα όπου μπορούν να δοκιμάσουν τα κακόβουλα προγράμματά τους πριν στοχοποιηθούν οι χώρες με περισσότερα συστήματα αποτροπής, είπε η εταιρεία στο Banking Risk and Regulation, του FT Specialist.
Οι πρόσφατοι στόχοι κυβερνοεπίθεσης περιλαμβάνουν μια σενεγαλέζικη τράπεζα, μια εταιρεία χρηματοοικονομικών υπηρεσιών στη Χιλή, μια φορολογική εταιρεία στην Κολομβία και μια κυβερνητική οικονομική υπηρεσία στην Αργεντινή. Όπως αποκαλύπτει η έρευνα, αυτοί οι στόχοι χτυπήθηκαν δοκιμαστικά.
Τα συμπεράσματα την έρευνας αποκτούν επιπλέον ενδιαφέρον, δεδομένου ότι συμπίπτουν με περίοδο κατά την οποία είναι γνωστό ότι οι επιθέσεις στον κυβερνοχώρο έχουν σχεδόν διπλασιαστεί από την πανδημία και έπειτα. Στον αναπτυσσόμενο κόσμο επιδεινώθηκαν από την ταχεία ψηφιοποίηση και την «ανεπαρκή» προστασία, όπως ανακοίνωσε πρόσφατα το ΔΝΤ.
Οι οικονομικές απώλειες από περιστατικά στον κυβερνοχώρο σε επιχειρήσεις παγκοσμίως από το 2020 έχουν αυξηθεί κοντά στα 28 δισεκατομμύρια δολάρια, με δισεκατομμύρια αρχεία να έχουν κλαπεί ή να έχουν παραβιαστεί, σύμφωνα με το ΔΝΤ, το οποίο επισημαίνει ότι το συνολικό κόστος είναι πιθανό να είναι «ουσιαστικά υψηλότερο».
Πώς λειτουργεί
Η τακτική του «πεδίου δοκιμών» λειτούργησε επειδή οι επιχειρήσεις σε αυτές τις χώρες είχαν «λιγότερη επίγνωση της ασφάλειας στον κυβερνοχώρο», δήλωσε ο Nadir Izrael, επικεφαλής τεχνολογίας στον όμιλο κυβερνοασφάλειας Armis.
Η Medusa, μια παράνομη οργάνωση που δρα στον κυβερνοχώρο, άρχισε να επιτίθεται σε επιχειρήσεις το 2023 στη Νότια Αφρική, στη Σενεγάλη και στην Τόνγκα, αναφέρει η έκθεση Performanta. Η Medusa ήταν υπεύθυνη για 99 παραβιάσεις στις ΗΠΑ, στο Ηνωμένο Βασίλειο, στον Καναδά, στην Ιταλία και στη Γαλλία πέρυσι.
Οι ομάδες ασφαλείας λάμβαναν ειδοποιήσεις για μια επίθεση σε εξέλιξη, αλλά ο μέσος χρήστης θα αντιλαμβανόταν μία μόνο όταν αποκλειόταν από το σύστημα του υπολογιστή του, δήλωσε η Hanah-Marie Darley, διευθύντρια έρευνας απειλών από την εταιρεία ασφάλειας στον κυβερνοχώρο Darktrace.
Ένα αρχείο, με τη γραμμή θέματος !!!READ_ME_MEDUSA!!!.txt., καθοδηγούσε τον χρήστη να συνδεθεί στον σκοτεινό ιστό και να ξεκινήσει τη διαπραγμάτευση για λύτρα με την «εξυπηρέτηση πελατών» της οργάνωσης χάκερς. Εάν τα θύματα αρνούνταν, οι εισβολείς θα δημοσίευαν στον κυβερνοχώρο τα κλεμμένα δεδομένα.
Τα «honeypots»
Οι εταιρείες ασφάλειας στον κυβερνοχώρο παρακολουθούν τον σκοτεινό ιστό για πληροφορίες και στη συνέχεια δημιουργούν «honeypots», δηλαδή ψεύτικους ιστότοπους που μιμούνται ελκυστικούς στόχους, σε αναπτυσσόμενες χώρες για να συλλαμβάνουν δοκιμαστικές επιθέσεις σε πρώιμο στάδιο.
Όταν μια ομάδα εισβολέων στον κυβερνοχώρο φέτος άρχισε να οργανώνει μια νέα επίθεση, με την ονομασία CVE-2024-29201, «στόχευσαν συγκεκριμένα κάποιους [εκτεθειμένους διακομιστές] σε χώρες του τρίτου κόσμου για να δοκιμάσουν πόσο αξιόπιστο ήταν το exploit», δήλωσε ο Izrael από την Armis, της οποίας οι αναλυτές παρακολουθούσαν τις συνομιλίες της συμμορίας στον σκοτεινό ιστό.
Οι επιθέσεις στα honeypot του Armis, 11 ημέρες αργότερα, επιβεβαίωσαν τις υποψίες: η συμμορία χτύπησε μόνο τη ΝΑ Ασία, πριν χρησιμοποιήσει τις τεχνικές ευρύτερα.
Ο Sherrod DeGrippo, διευθυντής στρατηγικής πληροφοριών για απειλές στη Microsoft, είπε ωστόσο ότι ορισμένες συμμορίες στον κυβερνοχώρο ήταν πολύ «καιροσκοπικές» για να δοκιμάσουν νέες επιθέσεις τόσο μεθοδικά.
Αντίθετα, οι αναπτυσσόμενες χώρες είχαν βιώσει αυξημένη δραστηριότητα καθώς οι χάκερ σε φτωχότερες χώρες μπορούσαν να αγοράσουν φτηνό λογισμικό ransomware και να πραγματοποιήσουν τις δικές τους μικρές επιθέσεις, είπε ο DeGrippo.
Συμμορίες όπως η Μedusa είχαν αρχίσει να πωλούν τα συστήματά τους σε λιγότερο εξελιγμένους χάκερ.
Αυτοί οι μικρότερης κλίμακας χάκερ συχνά δεν γνώριζαν πώς λειτουργεί η τεχνολογία και τη χρησιμοποιούσαν ενάντια σε ευκολότερους στόχους, είπε.
Όποιοι επιτιθέμενοι αφιέρωσαν χρόνο για να «δοκιμάσουν τις τεχνικές τους» – για να πειραματιστούν σε σχετικά αφύλακτες κυβερνοζώνες στις αναπτυσσόμενες χώρες – ήταν πιο εξελιγμένοι, πρόσθεσε.
Η Teresa Walsh, επικεφαλής πληροφοριών στον παγκόσμιο οργανισμό πληροφοριών για απειλές στον κυβερνοχώρο FS-ISAC, σημείωσε ότι οι συμμορίες θα εργαστούν στο τοπικό περιβάλλον για να «τελειοποιήσουν» μεθόδους επίθεσης και στη συνέχεια να «εξάγουν» τα σχέδιά τους σε χώρες όπου μπορεί να μιλούν την ίδια γλώσσα: Βραζιλία προς Πορτογαλία, για παράδειγμα.
Πηγή: OT