Malware je dnes na dark webe dostupný a lacný, môžu s ním pracovať aj menej skúsení adepti kyberzločinu

Autor Wojciech Krzywicki, Tomáš Gelinger august 2022 -
Malware je dnes na dark webe dostupný a lacný, môžu s ním pracovať aj menej skúsení adepti kyberzločinu Pixabay / Robinraj Premchand

Kybernetickí zločinci na útoky často využívajú zakúpené malwarové sady typu „plug and play“, ktoré im umožňujú útočiť ľahšie ako v minulosti. Na dark webe ich bežne zoženiete za menej ako 10 dolárov.

Spoločnosť HP Inc. vydala najnovšiu správu HP Wolf Security pod názvom „The Evolution of Cybercrime: Why the Dark Web is Supercharging the Threat Landscape and How to Fight Back“  (Vývoj kyberzločinu: Dark web ako zdroj bezpečnostných hrozieb a ako sa hrozbám brániť).

Podľa zistení uvedených v správe využívajú kybernetickí zločinci pri útokoch malwarové sady typu „plug and play“, ktoré im umožňujú útočiť ľahšie ako kedykoľvek predtým. Zločinné skupiny pri svojich útokoch na firmy spolupracujú s amatérskymi útočníkmi, spoločne teda ohrozujú náš online svet.

Tím pre výskum kybernetických hrozieb spoločnosti HP Wolf Security spolupracoval s poprednou svetovou skupinou forenzných analytikov Forensic Pathways na trojmesačnej analýze hrozieb na dark webe, pri ktorej preskúmal a analyzoval viac ako 35 miliónov príspevkov na internetových trhoviskách a fórach, využívaných kybernetickými zločincami.

Snahou bolo lepšie pochopiť, ako kyberzločinci pracujú, získavajú dôveru a budujú si reputáciu. Správa uvádza tri zásadné zistenia.

1. Malware je lacný a ľahko dostupný

Viac ako tri štvrtiny (76 %) inzerovaného malwaru a 91 % exploitov – t. j. kódov, ktoré útočníkom ponúkajú ovládnuť počítačové systémy zneužitím chýb v softvéri – sa predáva za menej ako 10 dolárov. Priemerná cena kompromitovaných údajov na prístup prostredníctvom protokolu pripojenej na vzdialenú plochu predstavuje iba 5 dolárov.

Predajcovia ponúkajú svoje produkty v balíčkoch, pričom dostupnosť malwarových sád typu „plug-and-play“, malwaru ako služby, návodov a poradenských služieb znižujú nároky na potrebné technické znalosti a skúsenosti útočníkov. Umožňujú tiež neskúseným užívateľom využívať komplexné cielené útoky. Skúsení programátori sú v dnešnej dobe pôvodcami iba 2–3 % vedených útokov [1].

The low cost of cybercrime graphic

2. Zlodejská česť na dark webe

Podobne, ako vo svete legálneho online maloobchodu, je aj obchodovanie s produktmi na kybernetické útoky postavené na budovaní dôvery a dobrej povesti predajcu: 77 % analyzovaných trhovísk, z ktorých sa obchoduje s produktmi na kybernetické útoky, vyžaduje od predajcu zloženie zálohy, resp. získanie licencie na predaj, ktorá môže stáť až 3 000 dolárov.

Osemdesiatpäť percent z týchto trhovísk uvoľní predajcovi platbu až po úspešnom dokončení transakcie a 92 % ponúka službu na riešenie sporov medzi kupujúcim a predávajúcim. Tiež umožňuje používateľom hodnotiť každého jednotlivého predajcu.

Kyberzločinci sa snažia byť o krok vpred pred orgánmi činnými v trestnom konaní a už získanú reputáciu možno medzi stránkami s webovými tržnicami prenášať – priemerná životnosť webových stránok trhoviska na dark webe, ktoré sú dostupné prostredníctvom protokolu Tor, je iba 55 dní.

3. Prienik do systémov cez obľúbené softvérové produkty

Kybernetickí zločinci sa zameriavajú na hľadanie chýb v softvéri, ktoré im umožnia vykonať útok a prevziať kontrolu nad systémami. Cielene pri tom využívajú známe chyby a zraniteľnosť v obľúbených softvérových produktoch. Príkladmi sú operačný systém Windows, kancelársky balík Microsoft Office, systémy na správu webového obsahu a webové a poštové servery.

Za najvyššiu cenu (obvykle v rozmedzí 1 000 až 4 000 dolárov) sa predávajú sady zneužívajúce zraniteľnosti v špecializovaných systémoch. Tzv. Zero Days (teda zraniteľnosti, ktoré doteraz neboli zverejnené) sa na trhoviskách na dark webe predávajú za desaťtisíce dolárov.

Kariéra kyberzločinca je dostupnejšia

„Stať sa kybernetickým zločincom je dnes, bohužiaľ, jednoduchšie ako v minulosti. Komplexné útoky predtým vyžadovali značné zručnosti, znalosti a zdroje. Teraz sú potrebné technológie a návody k dispozícii za cenu pár litrov benzínu,“ komentuje autor správy Alex Holland, Senior Malware Analyst v spoločnosti HP Inc.

„Či už ide o únik dát vašich firemných zákazníkov, oneskorenie dodávok alebo dokonca nutnosť zrušiť plánovaný zákrok v nemocnici, rozmach kyberkriminality má vplyv na nás všetkých,“ dodáva.

Podľa analytika je jadrom problému ransomware, ktorý vytvoril nový ekosystém kyberzločinu, ktorý odmeňuje podielom na zisku aj menších hráčov. „Vzniká tak továreň na kybernetickú kriminalitu produkujúca útoky, proti ktorým sa dá len veľmi ťažko brániť. A na muške sa kvôli tomu ocitajú podniky, na ktoré sa všetci spoliehame,“ hovorí Alex Holland.

Mafia Boy radí

Spoločnosť HP sa poradila s odborníkmi z oblasti kybernetickej bezpečnosti a akademickej obce, vrátane bývalého hackera Michaela „Mafia Boy“ Calcea a autora kriminologických štúdií Mikea McGuirea, aby zistila, ako sa kybernetická kriminalita vyvíja a čo môžu podniky urobiť na lepšiu ochranu pred dnešnými a tiež budúcimi hrozbami.

Obaja odborníci upozorňujú, že by sa podniky mali pripraviť na deštruktívne útoky, ktorých cieľom je odoprieť prístup k dátam, tiež na stále cielenejšie kybernetické kampane a na kyberzločincov využívajúcich nové technológie, napríklad umelú inteligenciu, aby narušili integritu podnikových dát.

Ako sa chrániť čo najlepšie

Na ochranu pred súčasnými i budúcimi hrozbami ponúka správa podnikom nasledujúce rady.

Osvojte si základné pravidlá, aby ste znížili šance kyberzločincov. Dodržujte osvedčené postupy, ako je viacfaktorové overovanie a správa opráv; obmedzte možnosti útokov vedených prostredníctvom hlavných vektorov, ako sú e-mail, prehliadanie webu a sťahovanie súborov; a dávajte prednosť samoopravnému hardvéru, aby ste zvýšili svoju odolnosť.

Zamerajte sa na víťazstvo. Pripravte sa na najhoršie; obmedzte riziko, ktoré predstavujú vaši ľudia a partneri, zavedením procesov zameraných na preverovanie bezpečnosti dodávateľov a zvyšovanie povedomia pracovníkov o postupoch sociálneho inžinierstva; orientujte sa na procesy a nacvičujte reakcie na útoky, aby ste mohli identifikovať problémy, vykonať zlepšenie a byť lepšie pripravení.

Počítačová kriminalita je tímový šport. Tímová spolupráca je dôležitá aj pri kybernetickej bezpečnosti: Hovorte so svojimi kolegami a zdieľajte informácie o aktuálnych hrozbách a zisteniach v reálnom čase; využívajte informácie o hrozbách a buďte proaktívni pri skenovaní potenciálnych hrozieb sledovaním otvorených diskusií na undergroundových fórach; spolupracujte s bezpečnostnými službami tretích strán, aby ste odhalili slabé miesta a kritické riziká, na ktoré je potrebné reagovať.

Opravy SW môžu byť návodom pre útočníkov

„Všetci musíme pre boj s rastúcou kybernetickou kriminalitou urobiť viac,“ hovorí Ian Pratt, globálny riaditeľ zabezpečenia osobných systémov v spoločnosti HP Inc. „Pre jednotlivcov to znamená, že musia mať povedomie o kybernetických hrozbách. Väčšina útokov sa začína kliknutím myši, preto je vždy dôležité pred kliknutím premýšľať. Ešte lepšie je však zaistiť si záchrannú sieť nákupom technológie, ktorá dokáže zmierniť následky zlých kliknutí a pomôcť zotaviť sa z nich.“

„Pre podniky je dôležité vybudovať si odolnosť a eliminovať čo najviac bežných ciest, ktorými sú útoky vedené,“ pokračuje Ian Pratt. „Kyberzločinci napríklad skúmajú opravy pri ich vydaní, aby mohli spätne analyzovať opravovanú zraniteľnosť a rýchlo vytvoriť exploity, ktoré použijú na útok, skôr ako podniky opravu nainštalujú. Preto je dôležité urýchliť správu opráv. Mnohé z najbežnejších kategórií hrozieb, ako sú hrozby doručované prostredníctvom e-mailu a webu, možno plne neutralizovať pomocou techník, ako je obmedzovanie a izolácia hrozieb, čo výrazne znižuje expozíciu podniku voči útokom bez ohľadu na fakt, či sú zraniteľné miesta odstránené alebo nie.“

O prieskume

Vývoj kybernetickej kriminality – ako dark web podporil ekonomiku kybernetickej kriminality. Správa spoločnosti HP Wolf Security vychádza zo zistení:

  1. Nezávislej štúdie, ktorú vykonala spoločnosť Forensic Pathways zaoberajúca sa skúmaním dark webu a ktorú zadala spoločnosť HP Wolf Security. Firma zhromaždila výpisy z darkwebového trhoviska pomocou svojich automatických crawlerov, ktoré monitorujú obsah v sieti Tor. Ich nástroj Dark Search Engine má index pozostávajúci z viac ako 35 miliónov URL adries. Zhromaždené dáta boli preskúmané a overené analytikmi spoločnosti Forensic Pathway. Táto správa analyzovala približne 33 000 aktívnych webových stránok v dark webe, vrátane 5 502 fór a 6 529 trhovísk. V období od februára do apríla 2022 identifikovala spoločnosť Forensic Pathway 17 nedávno aktívnych trhovísk kybernetickej kriminality v sieti Tor a 16 hackerských fór v sieti Tor a na webe obsahujúcom relevantné ponuky.
  2. Správa obsahuje aj rozbor hrozieb pripravený tímom HP Wolf Security a zahŕňa aj uniknutú konverzáciu skupiny Conti ransomware.
  3. Rozhovory a príspevky skupiny odborníkov na kybernetickú bezpečnosť.

O HP Wolf Security

HP Wolf Security predstavuje nový druh zabezpečenia koncových bodov. Portfólio HP zabezpečenia a bezpečnostných služieb zameraných na koncové body je navrhnuté takým spôsobom, aby pomohlo spoločnostiam chrániť počítače, tlačiarne a pracovníkov pred kybernetickými predátormi. HP Wolf Security poskytuje komplexnú ochranu koncových bodov a odolnosť, ktorá začína na hardvérovej úrovni a rozširuje sa na softvér a služby.

Wojciech Krzywicki, HP

Tomáš Gelinger, AMI Communications

 

[1] Podľa Michaela Calcea, bývalého kybernetického zločinca vystupujúceho pod prezývkou „Mafia Boy“, ktorý je teraz členom poradného zboru pre bezpečnosť spoločnosti HP, generálnym riaditeľom spoločnosti decentraweb a predsedom predstavenstva spoločnosti Optimal Secure

5 key cybercrime stats graphic

Partneri

SOPK

lexikon logo cervene hlavicka KK blue1

Fijet logo