Estomparea granițelor dintre criminalitatea cibernetică și atacurile susținute de state subliniază natura din ce în ce mai fluidă și complexă a amenințărilor cibernetice de astăzi.

A fost o vreme când granița dintre criminalitatea informatică și activitatea de amenințare contra altor state era ușor de distins. Infractorii cibernetici erau motivați exclusiv de profit, iar omologii lor din guvern desfășurau în principal campanii de  spionaj cibernetic, plus ocazionale atacuri distructive, pentru a sprijini obiectivele geopolitice ale angajatorilor lor. Cu toate acestea, în ultimele luni, această linie de demarcație a început să se dizolve, inclusiv în ceea ce privește ransomware-ul, o tendință remarcată și în cel mai recent raport ESET privind amenințările.

De aici derivă implicații majore pentru liderii din domeniul IT și al securității – crește nu doar riscul de atac, dar se schimbă și calculele privind reducerea acestui risc.

Granițe neclare în spațiul cibernetic

S-ar putea argumenta că atacurile ransomware lansate de hackeri sponsorizați de stat nu sunt, de fapt, nimic nou. În 2017, se crede că operatori afiliați Coreei de Nord au lansat WannaCry (cunoscut și ca WannaCryptor), primul ransomworm. Acesta a fost oprit doar după ce un cercetător în securitate a descoperit și a activat un „kill switch” ascuns în codul malițios. În același an, hackeri susținuți de stat au lansat campania NotPetya împotriva unor ținte din Ucraina, deși, în acest caz, era vorba de un malware distructiv deghizat în ransomware pentru a deruta anchetatorii. În 2022, ESET a observat grupul rus Sandworm folosind ransomware într-un mod similar: ca un program de ștergere a datelor.

De atunci, granița dintre operațiunile susținute de stat și infracțiunile motivate financiar a început să se estompeze. După cum am observat cu ceva timp în urmă, mulți vânzători de pe dark web vând exploatări și programe malware actorilor statali, în timp ce unele guverne angajează hackeri independenți pentru a le ajuta cu anumite operațiuni.

Ce se întâmplă în prezent?

Cu toate acestea, tendințele par să se accelereze. Îndeosebi în trecutul recent, ESET și alții au observat mai multe motive evidente:

Ransomware pentru a umple visteria statului

Hackerii guvernamentali folosesc în mod deliberat ransomware-ul ca instrument de generare a unor venituri pentru stat. Situația este evidentă în cazul Coreei de Nord, unde grupuri de amenințări vizează, de asemenea, firme de criptomonede și bănci prin jafuri sofisticate de amploare. Se estimează că au obținut profituri ilicite de aproximativ 3 miliarde de dolari din aceste activități între 2017 și 2023.

În mai 2024, Microsoft a observat cum grupul Moonstone Sleet, afiliat cu regimul de la Phenian, a implementat un ransomware personalizat numit „FakePenny” în rețelele mai multor organizații din domeniul aerospațial și al apărării, după ce a furat mai întâi informații sensibile, vizând operațiuni sau proiecte în derulare. „Acest comportament sugerează că actorul avea obiective atât pentru colectarea informaților, cât și pentru monetizarea accesului obținut”, a declarat compania.

Se suspectează, de asemenea, că grupul nord-coreean Andariel a oferit acces inițial și / sau servicii de afiliere grupului de ransomware cunoscut sub numele de Play. Aceasta deoarece ransomware-ul Play a fost detectat într-o rețea compromisă anterior de Andariel.

Obținerea de bani pe cont propriu

Un alt motiv pentru implicarea statului în atacurile ransomware este acela de a facilita ca hackerii guvernamentali să câștige bani suplimentari prin activități paralele. Un exemplu este grupul iranian Pioneer Kitten (alias Fox Kitten, UNC757 și Parisite), care a fost depistat de FBI „colaborând direct cu afiliați ai ransomware-ului pentru a permite operațiuni de criptare în schimbul unui procent din plățile de răscumpărare”.

Grupul a colaborat îndeaproape cu NoEscape, Ransomhouse și ALPHV (cunoscut și sub numele de BlackCat) – nu numai că a furnizat accesul inițial, dar a și ajutat la blocarea rețelelor victimelor și a colaborat la găsirea unor metode de extorcare a acestora.

Inducerea în eroare a anchetatorilor

Grupurile APT asociate cu state folosesc, de asemenea, ransomware-ul pentru a ascunde adevăratele intenții ale atacurilor. Este ceea ce se crede că a făcut ChamelGang (cunoscut și sub numele de CamoFei), afiliat Chinei, în mai multe campanii care au vizat organizații de infrastructură critică din Asia de Est și India, precum și din SUA, Rusia, Taiwan și Japonia. Utilizarea ransomware-ului CatB în acest mod nu doar că oferă o acoperire pentru aceste operațiuni de spionaj cibernetic, dar le permite, de asemenea, operatorilor să distrugă dovezile furtului de date.

Chiar contează atribuirea?

Este evident de ce grupurile sprijinite de guvern folosesc ransomware. Cel puțin, le oferă o acoperire utilă, care poate deruta anchetatorii. Și, în multe cazuri, astfel se și întâmplă, în timp ce cresc veniturile statului și contribuie la motivarea hackerilor angajați de guvern, care sunt adesea doar funcționari prost plătiți. Întrebarea este dacă chiar contează cine lansează atacul? Până la urmă, Microsoft a descoperit chiar dovezi că agențiile guvernamentale externalizează unele lucrări în întregime – deși în cazul Storm-2049 (UAC-0184 și Aqua Blizzard), nu a fost implicat niciun ransomware.

Există două direcții de gândire aici. Pe de o parte, sfaturile privind cele mai bune practici în materie de securitate ar trebui să rămână valabile și să reprezinte o modalitate eficientă de consolidare a rezilienței și de accelerare a răspunsului la incidente – indiferent cine atacă. De fapt, dacă grupurile APT aliniate statului ajung să utilizeze tactici, tehnici și proceduri (TTP-uri) de criminalitate informatică, poate fi chiar în beneficiul apărătorilor rețelei, deoarece sunt probabil mai ușor de detectat și de apărat decât instrumentele personalizate sofisticate.

Cu toate acestea, există și un argument potrivit căruia înțelegerea adversarului este primul pas esențial pentru a gestiona amenințarea pe care o reprezintă. Acest aspect este explicat în raportul de cercetare din 2023, Cyber Attacker Profiling for Risk Analysis Based on Machine Learning: „Una dintre componentele esențiale ale analizei riscurilor de securitate cibernetică este definirea unui model al atacatorului. Modelul de atacator specificat, sau profilul atacatorului, influențează rezultatele analizei riscurilor și, ulterior, selectarea măsurilor de securitate pentru sistemul informatic”.

Combaterea atacurilor

Acestea fiind spuse, dacă nu cunoașteți identitatea adversarului, există totuși metode de a atenua impactul atacurilor sale ransomware. Iată 10 pași de bună practică:

– Contracarați ingineria socială prin programe actualizate de instruire și conștientizare a personalului în domeniul securității.

– Asigurați-vă că aveți conturile protejate cu parole lungi, puternice și unice și cu autentificare multifactor (MFA).

– Segmentați rețelele pentru a reduce „zona de impact” a atacurilor și a limita mișcarea laterală. 

Implementați monitorizarea continuă (detectare și răspuns la nivelul endpoint-urilor sau detectare și răspuns gestionat) pentru a identifica din timp comportamentele suspecte 

– Testați periodic eficiența controalelor, a politicilor și a proceselor de securitate pentru a încuraja îmbunătățirea continuă.

– Implementați instrumente avansate de gestionare a vulnerabilităților și a patch-urilor.

– Asigurați-vă că toate activele sensibile sunt protejate prin software de securitate cu mai multe niveluri, de la un furnizor de renume, inclusiv pentru desktopuri, servere și laptopuri / dispozitive mobile. 

– Investiți în informații (de tip threat intelligence) de la un partener de încredere.

– Efectuați backup-uri periodice conform celor mai bune practici.

– Elaborați o strategie eficientă de răspuns la incidente și exersați periodic.

Potrivit unei estimări, criminalitatea organizată a fost responsabilă pentru 60% dintre breșele de securitate anul trecut, față de doar 5% atribuite instituțiilor guvernamentale. Totuși, ponderea celor din urmă este în creștere, iar breșele în sine ar putea avea un impact semnificativ asupra organizației dvs. Conștientizarea continuă și managementul proactiv al riscurilor sunt esențiale.