Skip to main content
Hermes Banner 1
DIGITALTV 195
ilka aggelia
securityreport e mag odhgos 2021
12 Νοεμβρίου 2020 10:23

Κρατικά υποστηριζόμενοι» χάκερς και συμμορίες Ransomware αλλάζουν τις τακτικές τους στον κυβερνοχώρο για να προκαλέσουν μεγαλύτερη βλάβη

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F05%2F2e6fe352cb3a751e3e837ddf96498fd2 XL

Εξειδικευμένοι εγκληματίες και περιβόητες συμμορίες Ransomware σε όλον τον κόσμο αναπτύσσουν ένα «οπλοστάσιο» νέων εργαλείων ανοιχτού λογισμικού, εκμεταλλεύονται εταιρικά συστήματα ηλεκτρονικού ταχυδρομείου και χρησιμοποιούν διαδικτυακούς εκβιασμούς για να τρομάξουν τα θύματα τους και να ζητήσουν λύτρα, σύμφωνα με τη μελέτη της Accenture 2020 Cyber Threatscape Report.

Εξειδικευμένοι εγκληματίες και περιβόητες συμμορίες Ransomware σε όλον τον κόσμο αναπτύσσουν ένα «οπλοστάσιο» νέων εργαλείων ανοιχτού λογισμικού, εκμεταλλεύονται εταιρικά συστήματα ηλεκτρονικού ταχυδρομείου και χρησιμοποιούν διαδικτυακούς εκβιασμούς για να τρομάξουν τα θύματα τους και να ζητήσουν λύτρα, σύμφωνα με τη μελέτη της Accenture 2020 Cyber Threatscape Report.

Αξιοποιώντας την τεχνογνωσία της Accenture για την απειλή στον κυβερνοχώρο (Cyber Threat Intelligence – CTI), η μελέτη αυτή -την οποία εκπονεί η Accenture Security σε ετήσια βάση- εξετάζει τις τακτικές, τις τεχνικές και τις διαδικασίες που χρησιμοποιούν οι πιο προηγμένοι εγκληματίες στον κυβερνοχώρο και διερευνά πώς θα μπορούσαν να εξελιχθούν αυτά τα περιστατικά τον επόμενο χρόνο. Η μελέτη περιλαμβάνει ερευνητικές συνεισφορές από την Context Information Security και την Deja vu Security, τις οποίες η Accenture εξαγόρασε τον Μάρτιο 2020 και τον Ιούνιο 2019 αντίστοιχα. Αυτές οι εξαγορές οι οποίες προστέθηκαν σε αρκετές άλλες φέτος, συμπεριλαμβανομένης της Symantec’s Cyber Security Services business και της Revolutionary Security, αποδεικνύουν τη συνεχή δέσμευση της Accenture να εξελίσσει όλο και περισσότερο τις υπηρεσίες ασφάλειας στον κυβερνοχώρο για τους πελάτες της.

«Δεδομένου ότι η πανδημία άλλαξε ριζικά τον τρόπο που εργαζόμαστε και ζούμε, έχουμε παρατηρήσει τους εγκληματίες του κυβερνοχώρου να αλλάζουν τις τακτικές τους για να επωφεληθούν από νέες αδυναμίες και ευπάθειες», δήλωσε ο Κωνσταντίνος Καμποσιώρας, επικεφαλής Τεχνολογίας της Accenture στην Ελλάδα. «Το πιο σημαντικό εύρημα της μελέτης είναι ότι οι εταιρείες θα πρέπει να αναμένουν μια περισσότερο προκλητική συμπεριφορά από τους εγκληματίες του κυβερνοχώρου καθώς οι ευκαιρίες και τα κέρδη πληθαίνουν εκθετικά». Πρόσθετα, ο Κωνσταντίνος Βουζοπλής, επικεφαλής Security της Accenture στην Ελλάδα δήλωσε σχετικά: «Σε ένα τέτοιο κλίμα, οι εταιρείες πρέπει να διπλασιάσουν τους απαραίτητους ελέγχους και να αξιοποιήσουν κατάλληλη ευφυΐα προκειμένου να κατανοήσουν και να αποφύγουν τις απειλές στον κυβερνοχώρο.»

Εξελιγμένοι εγκληματίες μεταμφιέζουν τις ταυτότητές τους με έτοιμα (off-the-shelf) εργαλεία
Καθόλη τη διάρκεια του 2020, οι αναλυτές της Accenture CTI παρατήρησαν ύποπτες, κρατικά υποστηριζόμενες (state sponsored), οργανώσεις και εγκληματικές ομάδες να χρησιμοποιούν έναν συνδυασμό έτοιμων μηχανισμών -συμπεριλαμβανομένων αυτών που δημιουργούν μόνοι τους, της κοινής υποδομής φιλοξενίας και του δημόσια διαθέσιμου κώδικα εκμετάλλευσης αδυναμιών- και εργαλείων ελέγχου διείσδυσης (penetration testing tools) ανοιχτού κώδικα σε πρωτοφανή κλίμακα για να διεξάγουν κυβερνοεπιθέσεις και να αποκρύπτουν τα ίχνη τους.

Για παράδειγμα, η Accenture παρακολουθεί τον τρόπο δράσης και τις δραστηριότητες μιας ομάδας χάκερ με έδρα το Ιράν, που αναφέρεται ως SOURFACE (επίσης γνωστή ως Chafer ή Remix Kitten). Ενεργή τουλάχιστον από το 2014, η ομάδα αυτή είναι γνωστή για τις διαδικτυακές της επιθέσεις στους κλάδους πετρελαίου και φυσικού αερίου, επικοινωνιών και μεταφορών σε περιοχές όπως οι ΗΠΑ, το Ισραήλ, η Ευρώπη, η Σαουδική Αραβία και η Αυστραλία. Οι αναλυτές της Accenture CTI παρατήρησαν ότι η SOURFACE χρησιμοποιεί νόμιμες λειτουργίες των Windows και ελεύθερα διαθέσιμα εργαλεία όπως το Mimikatz για την αντιγραφή πιστοποιητικών (credentials). Αυτή η τεχνική χρησιμοποιείται για την κλοπή πιστοποιητικών ελέγχου ταυτότητας χρήστη (π.χ. όνομα και κωδικός πρόσβασης), ώστε να επιτρέπεται στους εισβολείς να αποκτούν μεγαλύτερα δικαιώματα πρόσβασης ή να μετακινούνται σε ολόκληρο το δίκτυο για να θέσουν σε κίνδυνο άλλα συστήματα και λογαριασμούς, όντας «μεταμφιεσμένοι» σε έγκυρους χρήστες.

Σύμφωνα με τη μελέτη, οι απατεώνες του κυβερνοχώρου είναι πολύ πιθανό να συνεχίσουν να χρησιμοποιούν έτοιμα εργαλεία και εργαλεία ελέγχου διείσδυσης για το άμεσο μέλλον, καθώς είναι εύχρηστα, αποτελεσματικά και οικονομικά.

Νέες, εξελιγμένες τακτικές προσβάλλουν την αδιάλειπτη λειτουργία των επιχειρήσεων
Η μελέτη σημειώνει πώς μια ομάδα απατεώνων έχει στοχεύσει επιθετικά σε συστήματα που υποστηρίζουν το Microsoft Exchange και το Outlook Web Access, και στη συνέχεια χρησιμοποιεί αυτά τα παραβιασμένα συστήματα ως βάση για να εισβάλλει στο περιβάλλον του θύματος με στόχο να αποκρύψει την κυκλοφορία (traffic), τις εντολές αναμετάδοσης, να παραβιάσει το email, να κλέψει δεδομένα και να συλλέξει πιστοποιητικά για κατασκοπεία. Λειτουργώντας από τη Ρωσία, η ομάδα, στην οποία η Accenture αναφέρεται ως BELUGASTURGEON (επίσης γνωστή ως Turla ή Snake), δραστηριοποιείται για περισσότερα από 10 χρόνια και το όνομά της συνδέεται με πολλές κυβερνοεπιθέσεις με στόχο κυβερνητικές υπηρεσίες και ερευνητικές εταιρείες εξωτερικής πολιτικής σε όλον τον κόσμο.

Το Ransomware τροφοδοτεί ένα νέο κερδοφόρο, επεκτάσιμο «επιχειρηματικό μοντέλο»
Το Ransomware εξελίχθηκε γρήγορα σε ένα εξαιρετικά επικερδές επιχειρηματικό μοντέλο τον περασμένο χρόνο, με τους εγκληματίες του κυβερνοχώρου να «αναβαθμίζουν» τους διαδικτυακούς εκβιασμούς τους, απειλώντας τα θύματά τους με τη δημοσιοποίηση των κλεμμένων δεδομένων τους ή την πώληση των δεδομένων τους και την δημοσιοποίηση των ονομάτων τους σε συγκεκριμένους ιστότοπους στο διαδίκτυο. Οι εγκληματίες πίσω από τα Ransomware στη Maze, Sodinokibi (επίσης γνωστή ως REvil) και DoppelPaymer είναι οι πρωτοπόροι αυτής της αναπτυσσόμενης τακτικής, η οποία αποφέρει μεγαλύτερα κέρδη και οδηγεί σε ένα νέο κύμα εγκληματιών και χρηστών Ransomware.

Επιπλέον, νωρίτερα φέτος, εμφανίστηκε το περίφημο LockBit Ransomware, το οποίο -εκτός από την αντιγραφή της τακτικής του εκβιασμού- έχει κερδίσει την προσοχή λόγω της ικανότητας αυτό-διάδοσής του, μολύνοντας έτσι γρήγορα άλλους υπολογιστές που βρίσκονται στο εταιρικό δίκτυο. Τα κίνητρα πίσω από το LockBit φαίνεται να είναι και οικονομικά. Οι αναλυτές της Accenture CTI έχουν εντοπίσει εγκληματίες στον κυβερνοχώρο πίσω από αυτό, σε Dark Web Forums, όπου βρέθηκαν να διαφημίζουν ενημερώσεις και βελτιώσεις του Ransomware και ενεργά να προσλαμβάνουν νέα μέλη, υποσχόμενοι ποσοστό από τα λύτρα που θα λάβουν.

Η επιτυχία αυτών των μεθόδων εκβιασμού, ειδικά ενάντια σε μεγαλύτερους οργανισμούς, σημαίνει ότι πιθανότατα θα πολλαπλασιαστούν για το υπόλοιπο του 2020, ενώ παράλληλα σκιαγραφούν τις μελλοντικές τάσεις πειρατείας για το 2021. Οι αναλυτές της Accenture CTI έχουν παρατηρήσει εκστρατείες προσλήψεων σε ένα δημοφιλές Dark Web Forum από τους εγκληματίες που βρίσκονται πίσω από τη Sodinokibi.

 

 

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Δεκέμβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Δεκεμβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμέ...
Creta Electronix 2024
Με επιτυχία ολοκληρώθηκε το κλαδικό τριήμερο της Creta Electronix 2024! Η τοπική αγορά υποδέχθηκε για ακόμη μία φορά με ενθουσιασμό τη διοργάνωση της Libra Press και έδειξε έντονο ενδιαφέρον για τ...
Dahua Cloud
Η Dahua Technology αναβάθμισε πρόσφατα την ολοκληρωμένη και αποτελεσματική λύση δικτύου της Dahua Cloud. Η δικτυακή λύση Dahua Cloud είναι μια ολοκληρωμένη, γρήγορη, αποτελεσματική και ασφαλής υπη...
G.I. Security X RISCO
Το Security Report παρακολούθησε το τεχνικό σεμινάριο που διοργάνωσε η G.I. Security για να παρουσιάσει τα νέα συστήματα ασφαλείας και αυτοματισμού της RISCO. Την Παρασκευή, 18 Οκτωβρίου στον μ...
Συστήματα συναγερμού
Στην επίσημη ιστοσελίδα της ελληνικής αστυνομίας διαβάζουμε τα κριτήρια για την έκδοση αδείας σύνδεσης ή ανανέωσης συστημάτων συναγερμού με αστυνομικές υπηρεσίες. Η άδεια σύνδεσης ή ανανέωσης σ...
Uniview IP Video Intercom
H Uniview εισέρχεται δυναμικά και στον τομέα του IP Video Intercom, διαθέτοντας αρχικά συστήματα για απλές εφαρμογές, ενώ το επόμενο διάστημα θα παρουσιάσει πληθώρα μοντέλων και λύσεων, ικανών να ...
ELDES EWP-EXT, EWC1 & EWC1A
Εξαιρετικά χρήσιμοι για τη βελτίωση της ασφάλειας σπιτιών και επιχειρήσεων, οι αισθητήρες εξωτερικού χώρου της ELDES προσφέρουν προηγμένη ανίχνευση και άμεση ενημέρωση για κάθε ύποπτη κίνηση ή δρα...