Ewolucja rosyjskojęzycznej cyberprzestępczości: co zmieniło się przez ostatnie lata?
Przez prawie dziesięć lat eksperci z działu badań incydentów komputerowych w firmie Kaspersky analizowali różne zdarzenia naruszenia cyberbezpieczeństwa, z których większość dotyczyła aktywności rosyjskojęzycznych cyberprzestępców. W ostatnich latach badacze zaobserwowali kilka istotnych zmian, jeśli chodzi o sposób działania tych cybergangów oraz ich najczęstsze cele.
Zrozumienie, w jaki sposób działają cyberprzestępcy oraz jak ewoluują pod względem taktyk, technik i procedur, jest niezwykle istotne w środowisku związanym z cyberbezpieczeństwem i pomaga osobom odpowiedzialnym za bezpieczeństwo korporacyjne lepiej przygotować się do obrony przed ewentualnymi incydentami. Dlatego eksperci z firmy Kaspersky pokusili się o przegląd najważniejszych zmian, jakie zaszły na przestrzeni ostatnich sześciu lat – a zmieniło się wiele.
Na przykład, nie są już powszechne tzw. ataki po stronie klienta, polegające na masowej infekcji przy pomocy szkodliwego oprogramowania kradnącego pieniądze z wykorzystaniem różnych luk w zabezpieczeniach popularnych przeglądarek. Kilka lat temu ten wektor infekcji był często wykorzystywany przez rosyjskojęzyczne cybergangi do atakowania określonych celów wśród organizacji handlowych i finansowych (na celowniku byli głównie pracownicy działów księgowości). Jednak od tamtego czasu twórcy przeglądarek oraz innych podatnych na ataki technologii online włożyli wiele wysiłku w udoskonalenie bezpieczeństwa swoich produktów i wdrożenie automatycznych aktualizacji. W efekcie przeprowadzenie skutecznej kampanii infekcji stało się trudne. Dlatego cyberprzestępcy uciekają się do precyzyjnych i spersonalizowanych ataków phishingowych, nakłaniając potencjalne ofiary do otwarcia szkodliwych załączników wykorzystujących lukę w popularnym oprogramowaniu, która – jak mają nadzieję przestępcy – nie została załatana na czas na atakowanym komputerze.
Inna istotna zmiana polega na tym, że cyberprzestępcy nie tworzą już własnego szkodliwego oprogramowania, jak miało to miejsce kilka lat wcześniej, ale wykorzystują publicznie dostępne narzędzia służące do testów penetracyjnych oraz zdalnego dostępu. Organizacje mogą używać takich narzędzi do legalnych celów, dlatego oprogramowanie bezpieczeństwa nie wykryje ich automatycznie jako szkodliwych. Właśnie na to liczą przestępcy. Korzystanie z narzędzi do testów penetracyjnych pomaga atakującym także zaoszczędzić mnóstwo zasobów, które musieliby przeznaczyć na rozwój własnych technologii.
Przestępcy aktywnie wykorzystują infrastrukturę publicznej chmury, zamiast tworzyć i obsługiwać własne zasoby. W połączeniu z możliwością wykorzystania gotowych narzędzi sprawia to, że atakujący nie muszą już budować i utrzymywać dużych gangów. Nastąpiła także znacząca zmiana w zakresie potencjalnych ofiar: z ataków na organizacje oraz instytucje finansowe na ataki z użyciem oprogramowania ransomware oraz mające na celu kradzież danych. Ponadto sporo cyberprzestępców nie działa już jedynie na terytorium Rosji czy w obrębie Wspólnoty Niepodległych Państw, ale atakuje cele za granicą.
W 2016 roku skupialiśmy się głównie na dużych cybergangach, które atakowały instytucje finansowe – w szczególności banki. Znane cyberugrupowania, takie jak Lurk, Buhtrap, Metel, RTM, Fibbit czy Carbanak, brawurowo terroryzowały banki na skalę krajową, a czasem międzynarodową. Ostatecznie jednak rozpadły się lub ich członkowie trafili za kratki – również z naszą pomocą. Inne grupy cyberprzestępcze, takie jak Cerberus, zrezygnowały z działalności i podzieliły się swoim kodem źródłowym z całym światem. Dzisiaj atakowane branże nie ograniczają się do instytucji finansowych, a działania, które badaliśmy w przeszłości, na szczęście nie są już możliwe. Mimo to nie można mówić o spadku cyberprzestępczości. W ubiegłym roku łączna liczba zaawansowanych incydentów, w sprawie których prowadziliśmy dochodzenia, wynosiła około 200. Nie minął jeszcze obecny rok, a liczba takich incydentów wynosi już około 300 i ciągle wzrasta. W tej sytuacji uważamy, że niezwykle ważne jest dzielenie się istotnymi informacjami na temat szkodliwej aktywności ze społecznością związaną z cyberbezpieczeństwem, czego przykładem jest nasz nowy raport – powiedział Rusłan Sabitow, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.
Więcej na temat ewolucji rosyjskojęzycznej cyberprzestępczości znajduje się na stronie https://r.kaspersky.pl/Kr4N7.