Crimeware: Malware-ul și campaniile masive la nivel global


În lumea securității IT, una dintre cele mai mari preocupări pentru companii și pentru utilizatori este reprezentată de codurile rău intenționate, care pot compromite sistemele lor și/sau rețele de informații. Această preocupare nu este deloc nefondată, cazuri privind incidentele de tip malware și crimeware sunt raportate zilnic în întreaga lume. Într-adevăr, numărul de rapoarte, de detecții și de amenințări observat de către diferite laboratoare antivirus crește în mod constant, zi de zi, fiind observată o creștere a diversificării.

2015 nu a făcut excepție și nu numai că a fost o creștere a criminalității informatice observate la nivel mondial, dar am văzut, de asemenea, o schimbare în agresivitate și în tipurile de atac (fenomenul ransomware fiind un exemplu particular).

IOCTA (Internet Organized Crime Threat Assessment) a raportat o schimbare în modul în care atacatorii au acționat, confruntarea fiind una dintre cele mai importante schimbări. Dezvoltările ulterioare includ creșterea rețelelor de calculatoare zombi care încearcă să infecteze sistemele utilizatorilor cu variante de coduri ransomware – pentru a extorca bani de la ei – precum și infractori cibernetici care folosesc forța fizică pentru a intimida companiile de securitate care nu se expun amenințărilor.

Când se vorbește despre campaniile malware, nu ne referim la atacurile directe sau la APTs (amenințări persistente avansate), ci la propagarea în masă a malware-ului utilizat în mod obișnuit pentru a fura informații de la utilizatori și de la companii. 2015 a prezentat diferite provocări pentru identificarea și blocarea campaniilor de masă care răspândesc secvențe malware prin canale, cum ar fi e-mailul, dispozitivele de stocare sau site-urile web compromise care redirecționează vizitatorii către diferite tipuri de forme de extorcare. Schimbările rapide în cod și volumul de amenințări care afectează companiile sunt unele dintre provocările la care victimele trebuie să le facă față.

Ecosistemul criminalității informatice are vectori diferiți, care acoperă un cadru larg de activități infracționale ce implică bunuri și servicii, oferind suport pentru infrastructura de acțiune malițioasă. Astfel de acțiuni, care implică troieni și RATs (instrumente de acces de la distanță), au făcut obiectul mai multor anchete din partea agențiilor de securitate.

Cu toate acestea, infractorii cibernetici continuă să găsească modalități de a ajunge la utilizatori. Acesta este cazul campaniilor malware direcționate regional, cum ar fi Operațiunea Liberpy, răspândită inițial prin e-mail; Operațiunea Buhtrap, infectându-și victimele prin intermediul site-urilor compromise, care au servit drept instalatori pentru secvențele malware; Brolux, un troian care a atacat site-urile bancare online japoneze; și cazuri cu impact global, cum ar fi Dridex.

Este important să se sublinieze faptul că aceste campanii afectează nu numai utilizatorii de acasă, cât și întreprinderile mici, întreprinderile mijlocii, chiar și întreprinderile mari. Potrivit unui raport al Institutului Ponemon, costul mediu al acestor incidente a fost de 7,7 milioane $ pentru prima jumătate a anului 2015. Unele dintre companiile citate în raport au pierdut până la 65 milioane $, ca urmare a incidentelor de securitate în care au fost implicate.

Botneți, zombi și campanii globale

kentoh

Rețele zombi de calculatoare, cunoscute, de asemenea, sub numele de botneți, au fost timp de mai mulți ani, cea mai importantă componentă în infrastructură din lumea actorilor infracțiunilor informatice. Rolul lor în lumea criminalității informatice reprezintă un element central, într-un model în care cumpărarea și vânzarea de servicii, furtul de informații sau campaniile de răspândire a codurilor ransomware sunt facilitate de botneți.

Cu alte cuvinte, sute sau mii de computere care fac parte din astfel de rețele sunt utilizate pentru trimiterea de mesaje spam, lansarea atacurilor de tip denial of service, precum și pentru efectuarea altor acțiuni rău intenționate.

Impactul amenințării botneților a inspirat multe studii aprofundate cu privire la modul identificare a comportamentul lor: adică, găsirea modelelor care permit echipelor de securitate să detecteze și să blocheze conexiunile din rețeaua lor. Mai mult decât atât, există soluții de securitate, cum ar fi cele oferite de ESET, care includ funcționalități capabile să recunoască aceste comunicări, cu scopul de a le bloca și pentru a preveni furtul de informații.

În ceea ce privește botneții dedicați furtului de informații, ESET Research Laboratories a raportat în acest an acțiunile Operațiunii Liberpy, unde un keylogger instalat pe mai mult de 2.000 de mașini din America Latină – 96% dintre acestea fiind în Venezuela –fura datele de autentificare de la victimele sale de mai bine de opt luni. Această amenințare, detectată ca Python/Liberpy, inițial răspândită prin e-mailuri, a continuat mai apoi să se răspândească prin intermediul dispozitivelor USB, profitând de comenzile rapide ale Windows-ului pentru a infecta noi sisteme. Cea de-a două metodă de propagare este similară celei utilizate de alte familii precum Bondat, Dorkbot și Remtasu, toate în principal active în America Latină.

Unele campanii nu sunt direcționate împotriva unei anumite țări, ci au drept scop răspândire pe cât mai multe sisteme posibile. Unul dintre cazurile raportate în anul 2015 a fost Waski, o campanie globală, care a încerca să instaleze troieni bancari la nivel mondial pentru a compromite sistemele victimelor cu o variantă de Win32/Battdil. Campania a început prin trimiterea de e-mailuri, care încercau să păcălească utilizatorii să deschidă un document care nu făcea altceva decât să le infecteze sistemul.

E-mailul este unul dintre principalii vectori în răspândirea codurilor malițioase și, la fel ca în 2014, au existat mai multe rapoarte în 2015, privind campanii de e-mail masive legate de troieni bancari, cum ar fi Dridex care folosea documente Microsoft Office infectate cu macro-uri rău intenționate sau răspândirea codurilor ransomware, cum ar ca valurile CTB-locker de la jumătatea lunii ianuarie, care au ajuns în cutiile poștale ale foarte multor utilizatori.

Deși în 2015 am văzut multe operațiuni comune între agențiile de securitate, companii și guverne cu scopul de a perturba sau de a desființa aceste rețele infracționale, ne așteptăm ca în continuare botneții să reprezinte o amenințare și un risc pentru organizațiile și utilizatorii din întreaga lume în 2016.

Noi familii, noi tehnologii, dar aceleași scopuri

aodaodaodaod

De-a lungul anului 2015, s-a raportat apariția unor noi familii de coduri malițioase sau chiar încorporarea unor noi caracteristici în troienii cunoscuți anterior, cum este cazul CoreBot, care a adăugat la capacitățile sale posibilitatea de a fura informații bancare de la victimele sale. Evoluția familiilor malware privind încorporarea de noi module sau instrumente este constantă și reprezintă o parte din lumea criminalității informatice.

Botneții nu au fost singura zona în care s-a produs inovare, în care au apărut noi familii de coduri malware. După cum s-a menționat în documentul de anul trecut ce prezenta trendurile, malware-ul ce vizează Points Of Sales (PoS) a fost unul dintre tipurile de secvențe malițioase unde noi actori au apărut, așa cum a fost cazul PoSeidon. Acest cod atacă magazinele de tip outlet și încearcă să compromită terminalele care înregistrează plățile prin cardurile de credit, pentru a scana memoria cardurilor, astfel încât să “copieze” datele de pe acestea. Un alt vector al malware-ului PoS a fost Punkey, care a apărut la o lună după PoSeidon și a fost raportat la peste 75 de adrese IP diferite, filtrând informații de la cardurile de credit.

Incidente care implică acest tip de amenințare – inclusiv cazurile raportate anul trecut, cum ar fi Home Depot, UPS sau Target – au arătat că infractorii cibernetici încearcă să acceseze marile lanțuri de retail pentru a infecta puncte de vânzare și, prin urmare, pentru a fura date de la milioane de carduri de credit.

Astfel de incidente au accelerat necesitatea unei reevaluări a modului în care mașinile PoS sunt protejate și au fost cercetate unele cazuri ciudate, cum ar fi cel al anumitor producători care au folosit aceeași parolă implicită timp de 26 de ani.

În alte dăți, infractorii cibernetici au abuzat de defectele site-urilor sau au realizat pagini de joc false, unde au găzduit copii ale codurilor malițioase. Prin intermediul defectelor plugin-urilor CMS (content management system), atacatorii au încălcat securitatea a mii de site-uri web, astfel încât să le folosească pentru a găzdui un conținut dăunător pentru utilizatori.

Colaborarea este cheia pentru a combate criminalitatea cibernetică

Agențiile de aplicare a legii și companii din întreaga lume colaborează pentru a combate criminalitatea informatică și pentru a transforma internetul într-un loc mai sigur. În anul 2015, pe lângă anunțurile publicate de către Europol în care se prezenta amenințarea infracțiunii cibernetice, operațiuni comune au fost efectuate pentru a perturba sau pentru a dezbina rețelele de calculatoare zombi. Unele dintre aceste operațiuni, coordonate și distribuite în întreaga lume, au culminat cu succes în cazuri precum demontarea Dridex, Liberpy, Ramnit și arestarea creatorului troianului Gozi.

În plus față de această acțiune directă împotriva anumitor familii de malware, agențiile de securitate, au reușit de asemenea, să oprească câțiva infractori cibernetici care aveau legături cu forumurile criminale, cum ar a fost cazul lui Darkode, unde 62 de persoane din 18 țări au fost arestate pentru diverse infracțiuni produse pe calculator.

Unde ne îndreptăm?

Pentru a rezuma cele mai importante evenimente din perioada recentă, luând în considerare scopul general al secvențelor malware, putem observa că bariera care separa atacurile directe devine mai transparentă. Infractorii cibernetici continuă să folosească tehnici de propagare diferite, cu scopul de a infecta cât mai multe sisteme pot, fie prin încorporarea noilor vulnerabilități descoperite în diferite kituri de exploatare, fie prin utilizarea campaniilor de răspândire a codurilor malware.

Cu alte cuvinte, evoluția infracțiunilor informatice continuă să amenințe utilizatorii, iar campaniile de răspândire a secvențelor malware au crescut la scară mare, atingând niveluri diferite de eficacitate. Pentru a combate aceste acțiuni, colaborarea experților, agențiilor de securitate și a altor entități este esențială pentru a perturba criminalitatea informatică și de a ajuta utilizatorii să se bucure de internet fără griji nejustificate.

2016 va continua să dezvăluie dezvoltarea în continuare a familiilor malware, fie prin noi variante, fie prin încorporarea unor caracteristici pe care acestea nu le-au avut înainte. Infracționalitatea cibernetică a devenit mai amenințătoare, companiile și-au mărit investițiile în securitate cu 4,7% la nivel global, iar agențiile de securitate își consolidează eforturile pentru a doborî botneții și pentru a închide în spatele gratiilor infractorii cibernetici. Cu alte cuvinte, 2016 va prezenta noi provocări în securitate, dar va fi stabilit un front mai activ și mai organizat în lupta împotriva criminalității informatice.

 

PABLO RAMOS
CORESPONDENT INDEPENDENT

Georgiana June 8, 2016

Lasa un comentariu