Hacking-ul și atacurile direcționate, folosite uneori ca practici anticoncurențiale în afaceri


În cadrul consultărilor noastre cu clienții, s-a conturat ideea că marile companii văd hacking-ul și atacurile direcționate ca fiind două dintre cele mai mari provocări de securitate pentru acestea, deoarece pot afecta serios continuitatea activităților de business într-o organizație.

Răuvoitorii fac apel la multe mijloace pentru a pătrunde în companii. Cu toate acestea, puține atacuri necesită, de fapt, tehnologii cu niște caracteristici foarte sofisticate. În schimb, tehnicile de inginerie socială direcționată, precum spear phishing-ul sau exploatarea unor vulnerabilități cunoscute pentru care au fost lansate deja patch-uri, dar companiile nu le-au adoptat încă, pot impacta reputația, veniturile și breșele de date.

Astfel de tehnologii avansate pot fi, de asemenea, utilizate în cazul unui atac Zero Day. Unul dintre cele mai cunoscute atacuri de acest tip a fost Stuxnet, în care printr-un cod malițios au fost exploatate cu succes patru vulnerabilități zero day pentru a împiedica derularea programului de îmbogățire a uraniului în Iran și care, potrivit mass-media, a fost un atac sponsorizat la nivel de stat.

Există multe motive pentru care organizațiile devin ținte repetate ale acestor manevre. Conturile lor bancare conțin mai multe resurse decât cele ale unei persoane obișnuite sau ale unei întreprinderi mici și au, de asemenea, o cantitate considerabilă de date interesante din care pot fi obținute câștiguri. Atacurile care vizează companiile pot fi, de asemenea, folosite ca o formă de concurență. Cel mai adesea, acestea vizează furtul de date, adică obținerea de informații interesante sau de proprietate intelectuală. Aceste atacuri pot fi adesea însoțite de șantaj. Spre exemplu, hackerii ar putea fura o bază de date a clienților unei companii, pe care o contactează, ulterior, pentru a le oferi posibilitatea de recuperare a datelor.

    Diferite moduri de a genera bani pe urma unui atac atrag după sine și diferite consecințe

Organizațiilor le este adesea dificil să recunoască că au avut de-a face cu astfel de breșe de date. În consecință, acest lucru poate da altor companii falsa impresie că atacurile la adresa securității cibernetice se întâmplă doar ocazional. Un exemplu tipic de atac direcționat, frecvent întâlnit în ultimii ani, este cel numit DDos - atacuri care sunt sponsorizate de către o companie pentru a ataca un adversar, mai exact site-ul web al altei companii, având ca scop întreruperea business-ului și direcționarea clienților către compania care a pus la cale atacul. Acestea sunt tactici criminale, iar atacatorii știu foarte bine ce domenii de activitate trebuie vizate pentru câștiguri maxime.

Există, desigur, și alte abordări. Luați exemplul NHS (British National Health Service), o țintă frecventă a atacurilor ransomware. Digitalizarea serviciilor de sănătate a dus la o situație în care criptarea malițioasă a datelor medicale poate duce la oprirea intervențiilor medicale și chirurgicale. În aceste condiții, organizațiile vizate pot tinde foarte ușor să plătească o răscumpărare pentru datele compromise ale pacienților.

Chiar și în țări mici din Europa, cum ar fi Slovacia, atacurile se concentrează adesea asupra departamentelor de contabilitate și finanțe. O tehnică deja cunoscută de spear phishing presupune ca atacatorii să se adreseze acestor departamente cu un e-mail sau un SMS în care impersonează numele directorului general al companiei, îndemnând diverși angajați să plătească o factură primită de la o firmă falsă. Banii care sunt „sustrașii" din compania legitimă ajung apoi direct în conturile răuvoitorilor.

    Abordări noi, trucuri vechi

În multe zone rurale din întreaga lume, dacă ne îndreptăm atenția pentru o secundă la liniile de alimentare cu electricitate, ne vom da seama cât de ușor este ca cineva să se conecteze ilegal la rețeaua electrică. În ultima vreme, infractorii cibernetici au urmat un model ilegal similar cu cel imaginat mai sus, concentrându-și resursele asupra minării ilegale a unor diverse valute digitale, care s-au dovedit a fi extrem de populare pentru public. 

Un exemplu complex este atacul orientat spre infectarea platformei StatCounter, care oferă un serviciu foarte similar cu Google Analytics și utilizează un script special plasat în mod legitim pe site-uri web pentru a obține date despre vizitatorii acestora. În acest caz, atacatorii au compromis cu succes confidențialitatea platformei și, ulterior, au obținut acces la utilizatorii finali ai serviciului prin injectarea codului JavaScript în toate site-urile web care utilizează serviciul StatCounter.

Problema a ieșit la lumină atunci când vizitatorii navigau către site-urile web compromise, care conțineau scripturile infectate, iar dispozitivele lor au început să mineze bitcoin pe ascuns pentru atacatori. În cea de-a doua etapă, atacatorii derulau tentative de furt bitcoin direct pe dispozitivele infectate, în momentul în care utilizatorii acestora încercau să acceseze exchange-uri popular de criptovalută. Pentru a vă face o idee despre amploarea unei astfel de operațiuni, StatCounter poate fi găsit pe mai mult de două milioane de site-uri Web.

Ce presupune un astfel de atac? Resursele de sistem ale dispozitivelor infectate din companie, care utilizează în mod legitim serviciul, primesc si task-ul nelegitim de a mina bitcoin. Această operațiune nu vizează doar computere, ci și dispozitive mobile și în special servere. Minarea de criptomonede accelerează uzura dispozitivelor și, de asemenea, crește facturile la electricitate. În plus, acest cod malware de minare este, de obicei, capabil să încarce alte tipuri de script-uri malware în rețea.

    Investigațiile pot dura luni de zile și se aseamănă cu căutarea unui ac în carul cu fân

Atunci când o companie mare devine victima unui astfel de atac, este necesar să se efectueze o investigație complexă a ceea ce s-a întâmplat și a modului în care compania a fost afectată. Cercetările arată că este nevoie de aproximativ 150-200 de zile pentru ca aceste companii să realizeze că au fost infectate. Investigarea ulterioară a metodei prin care compania a fost infectată și a provenienței codului malițios poate dura și mai mult.

Confruntându-se cu astfel de riscuri mari, companiile ar trebui să utilizeze soluții precum ESET Dynamic Threat Defense pentru a detecta cele mai noi amenințări și instrumente EDR precum ESET Enterprise Inspector (EEI) pentru a monitoriza toate datele colectate din rețea de către ESET Endpoint Security și să desfășoare analize pe termen lung a acestor date, în contextul mai larg al infractructurii enterprise. EEI este un instrument de analiză retrospectivă, ce oferă companiei afectate informații despre modul în care mecanismul a fost introdus și momentul în care a fost inițiată o infecție. Cu ESET Enterprise Inspector, administratorii pot determina cu exactitate modul în care codul suspect a fost introdus într-o rețea corporativă.

    O cerere în creștere de instrumente pentru investigarea securității rețelelor

ESET a remarcat o cerere ridicată de produse de securitate capabile să detecteze anomalii de rețea. Aici ne referim nu doar la anomalii ale comportamentului aplicațiilor din rețea, ci și la comportamentul persoanelor active în rețea. Ulterior, totul stă în competența unui specialist de securitate să evalueze informațiile, pentru a afla dacă trebuie luate măsuri. Indiferent de complexitate, atacurile de succes sunt de obicei bine ascunse. „Este posibil, în primul rând, să descoperiți un mic indiciu apărut în rețea. Poate rămâne nedetectat, însă, pentru o lungă perioadă de timp. Cu toate acestea, ceasul său intern va comunica în cele din urmă că este momentul potrivit să se conecteze cu serverul său de control", explică Michal Jankech, Chief Product Manager la ESET. „Acesta este unul dintre motivele pentru care este atât de complicat să aflăm ce a cauzat o infecție în companie." 

Astăzi, datorită software-urilor specializate EDR, o companie poate identifica fișierele executabile necunoscute care au apărut în rețeaua sa și care comunică cu un server dintr-o țară în care compania nu are relații de afaceri. Evaluarea și filtrarea acestor anomalii este o sarcină critică și dificilă. Dacă vreun aspect este lăsat nemonitorizat, compania poate fi pusă în pericol.

„În prezent, fiecare client are nevoie de o mai bună înțelegere a rețelei. Ei merg pe principiul că nicio măsură de prevenție nu este 100% sigură și doresc să știe ce alte aspecte merită luate în considerare", adaugă Jankech.

Lasa un comentariu