Κρατικά υποστηριζόμενοι» χάκερς και συμμορίες Ransomware αλλάζουν τις τακτικές τους στον κυβερνοχώρο για να προκαλέσουν μεγαλύτερη βλάβη

Εξειδικευμένοι εγκληματίες και περιβόητες συμμορίες Ransomware σε όλον τον κόσμο αναπτύσσουν ένα «οπλοστάσιο» νέων εργαλείων ανοιχτού λογισμικού, εκμεταλλεύονται εταιρικά συστήματα ηλεκτρονικού ταχυδρομείου και χρησιμοποιούν διαδικτυακούς εκβιασμούς για να τρομάξουν τα θύματα τους και να ζητήσουν λύτρα, σύμφωνα με τη μελέτη της Accenture 2020 Cyber Threatscape Report.

Εξειδικευμένοι εγκληματίες και περιβόητες συμμορίες Ransomware σε όλον τον κόσμο αναπτύσσουν ένα «οπλοστάσιο» νέων εργαλείων ανοιχτού λογισμικού, εκμεταλλεύονται εταιρικά συστήματα ηλεκτρονικού ταχυδρομείου και χρησιμοποιούν διαδικτυακούς εκβιασμούς για να τρομάξουν τα θύματα τους και να ζητήσουν λύτρα, σύμφωνα με τη μελέτη της Accenture 2020 Cyber Threatscape Report.

Αξιοποιώντας την τεχνογνωσία της Accenture για την απειλή στον κυβερνοχώρο (Cyber Threat Intelligence – CTI), η μελέτη αυτή -την οποία εκπονεί η Accenture Security σε ετήσια βάση- εξετάζει τις τακτικές, τις τεχνικές και τις διαδικασίες που χρησιμοποιούν οι πιο προηγμένοι εγκληματίες στον κυβερνοχώρο και διερευνά πώς θα μπορούσαν να εξελιχθούν αυτά τα περιστατικά τον επόμενο χρόνο. Η μελέτη περιλαμβάνει ερευνητικές συνεισφορές από την Context Information Security και την Deja vu Security, τις οποίες η Accenture εξαγόρασε τον Μάρτιο 2020 και τον Ιούνιο 2019 αντίστοιχα. Αυτές οι εξαγορές οι οποίες προστέθηκαν σε αρκετές άλλες φέτος, συμπεριλαμβανομένης της Symantec’s Cyber Security Services business και της Revolutionary Security, αποδεικνύουν τη συνεχή δέσμευση της Accenture να εξελίσσει όλο και περισσότερο τις υπηρεσίες ασφάλειας στον κυβερνοχώρο για τους πελάτες της.

«Δεδομένου ότι η πανδημία άλλαξε ριζικά τον τρόπο που εργαζόμαστε και ζούμε, έχουμε παρατηρήσει τους εγκληματίες του κυβερνοχώρου να αλλάζουν τις τακτικές τους για να επωφεληθούν από νέες αδυναμίες και ευπάθειες», δήλωσε ο Κωνσταντίνος Καμποσιώρας, επικεφαλής Τεχνολογίας της Accenture στην Ελλάδα. «Το πιο σημαντικό εύρημα της μελέτης είναι ότι οι εταιρείες θα πρέπει να αναμένουν μια περισσότερο προκλητική συμπεριφορά από τους εγκληματίες του κυβερνοχώρου καθώς οι ευκαιρίες και τα κέρδη πληθαίνουν εκθετικά». Πρόσθετα, ο Κωνσταντίνος Βουζοπλής, επικεφαλής Security της Accenture στην Ελλάδα δήλωσε σχετικά: «Σε ένα τέτοιο κλίμα, οι εταιρείες πρέπει να διπλασιάσουν τους απαραίτητους ελέγχους και να αξιοποιήσουν κατάλληλη ευφυΐα προκειμένου να κατανοήσουν και να αποφύγουν τις απειλές στον κυβερνοχώρο.»

Εξελιγμένοι εγκληματίες μεταμφιέζουν τις ταυτότητές τους με έτοιμα (off-the-shelf) εργαλεία
Καθόλη τη διάρκεια του 2020, οι αναλυτές της Accenture CTI παρατήρησαν ύποπτες, κρατικά υποστηριζόμενες (state sponsored), οργανώσεις και εγκληματικές ομάδες να χρησιμοποιούν έναν συνδυασμό έτοιμων μηχανισμών -συμπεριλαμβανομένων αυτών που δημιουργούν μόνοι τους, της κοινής υποδομής φιλοξενίας και του δημόσια διαθέσιμου κώδικα εκμετάλλευσης αδυναμιών- και εργαλείων ελέγχου διείσδυσης (penetration testing tools) ανοιχτού κώδικα σε πρωτοφανή κλίμακα για να διεξάγουν κυβερνοεπιθέσεις και να αποκρύπτουν τα ίχνη τους.

Για παράδειγμα, η Accenture παρακολουθεί τον τρόπο δράσης και τις δραστηριότητες μιας ομάδας χάκερ με έδρα το Ιράν, που αναφέρεται ως SOURFACE (επίσης γνωστή ως Chafer ή Remix Kitten). Ενεργή τουλάχιστον από το 2014, η ομάδα αυτή είναι γνωστή για τις διαδικτυακές της επιθέσεις στους κλάδους πετρελαίου και φυσικού αερίου, επικοινωνιών και μεταφορών σε περιοχές όπως οι ΗΠΑ, το Ισραήλ, η Ευρώπη, η Σαουδική Αραβία και η Αυστραλία. Οι αναλυτές της Accenture CTI παρατήρησαν ότι η SOURFACE χρησιμοποιεί νόμιμες λειτουργίες των Windows και ελεύθερα διαθέσιμα εργαλεία όπως το Mimikatz για την αντιγραφή πιστοποιητικών (credentials). Αυτή η τεχνική χρησιμοποιείται για την κλοπή πιστοποιητικών ελέγχου ταυτότητας χρήστη (π.χ. όνομα και κωδικός πρόσβασης), ώστε να επιτρέπεται στους εισβολείς να αποκτούν μεγαλύτερα δικαιώματα πρόσβασης ή να μετακινούνται σε ολόκληρο το δίκτυο για να θέσουν σε κίνδυνο άλλα συστήματα και λογαριασμούς, όντας «μεταμφιεσμένοι» σε έγκυρους χρήστες.

Σύμφωνα με τη μελέτη, οι απατεώνες του κυβερνοχώρου είναι πολύ πιθανό να συνεχίσουν να χρησιμοποιούν έτοιμα εργαλεία και εργαλεία ελέγχου διείσδυσης για το άμεσο μέλλον, καθώς είναι εύχρηστα, αποτελεσματικά και οικονομικά.

Νέες, εξελιγμένες τακτικές προσβάλλουν την αδιάλειπτη λειτουργία των επιχειρήσεων
Η μελέτη σημειώνει πώς μια ομάδα απατεώνων έχει στοχεύσει επιθετικά σε συστήματα που υποστηρίζουν το Microsoft Exchange και το Outlook Web Access, και στη συνέχεια χρησιμοποιεί αυτά τα παραβιασμένα συστήματα ως βάση για να εισβάλλει στο περιβάλλον του θύματος με στόχο να αποκρύψει την κυκλοφορία (traffic), τις εντολές αναμετάδοσης, να παραβιάσει το email, να κλέψει δεδομένα και να συλλέξει πιστοποιητικά για κατασκοπεία. Λειτουργώντας από τη Ρωσία, η ομάδα, στην οποία η Accenture αναφέρεται ως BELUGASTURGEON (επίσης γνωστή ως Turla ή Snake), δραστηριοποιείται για περισσότερα από 10 χρόνια και το όνομά της συνδέεται με πολλές κυβερνοεπιθέσεις με στόχο κυβερνητικές υπηρεσίες και ερευνητικές εταιρείες εξωτερικής πολιτικής σε όλον τον κόσμο.

Το Ransomware τροφοδοτεί ένα νέο κερδοφόρο, επεκτάσιμο «επιχειρηματικό μοντέλο»
Το Ransomware εξελίχθηκε γρήγορα σε ένα εξαιρετικά επικερδές επιχειρηματικό μοντέλο τον περασμένο χρόνο, με τους εγκληματίες του κυβερνοχώρου να «αναβαθμίζουν» τους διαδικτυακούς εκβιασμούς τους, απειλώντας τα θύματά τους με τη δημοσιοποίηση των κλεμμένων δεδομένων τους ή την πώληση των δεδομένων τους και την δημοσιοποίηση των ονομάτων τους σε συγκεκριμένους ιστότοπους στο διαδίκτυο. Οι εγκληματίες πίσω από τα Ransomware στη Maze, Sodinokibi (επίσης γνωστή ως REvil) και DoppelPaymer είναι οι πρωτοπόροι αυτής της αναπτυσσόμενης τακτικής, η οποία αποφέρει μεγαλύτερα κέρδη και οδηγεί σε ένα νέο κύμα εγκληματιών και χρηστών Ransomware.

Επιπλέον, νωρίτερα φέτος, εμφανίστηκε το περίφημο LockBit Ransomware, το οποίο -εκτός από την αντιγραφή της τακτικής του εκβιασμού- έχει κερδίσει την προσοχή λόγω της ικανότητας αυτό-διάδοσής του, μολύνοντας έτσι γρήγορα άλλους υπολογιστές που βρίσκονται στο εταιρικό δίκτυο. Τα κίνητρα πίσω από το LockBit φαίνεται να είναι και οικονομικά. Οι αναλυτές της Accenture CTI έχουν εντοπίσει εγκληματίες στον κυβερνοχώρο πίσω από αυτό, σε Dark Web Forums, όπου βρέθηκαν να διαφημίζουν ενημερώσεις και βελτιώσεις του Ransomware και ενεργά να προσλαμβάνουν νέα μέλη, υποσχόμενοι ποσοστό από τα λύτρα που θα λάβουν.

Η επιτυχία αυτών των μεθόδων εκβιασμού, ειδικά ενάντια σε μεγαλύτερους οργανισμούς, σημαίνει ότι πιθανότατα θα πολλαπλασιαστούν για το υπόλοιπο του 2020, ενώ παράλληλα σκιαγραφούν τις μελλοντικές τάσεις πειρατείας για το 2021. Οι αναλυτές της Accenture CTI έχουν παρατηρήσει εκστρατείες προσλήψεων σε ένα δημοφιλές Dark Web Forum από τους εγκληματίες που βρίσκονται πίσω από τη Sodinokibi.