Studiu: Hackerii sponsorizați de state și grupările ransomware își diversifică tacticile pentru a provoca mai multe pagube

Unii dintre cei mai pricepuți hackeri sponsorizați de state și de grupări cunoscute ransomware apelează la un arsenal de noi instrumente open-source pentru a exploata în mod activ sistemele de email ale corporațiilor, iar prin intermediul șantajului online intimidează victimele pentru a plăti răscumpărări, conform raportului Cyber Threatscape din 2020 realizat de compania Accenture.

Raportul produs anual de compania de servicii în domeniul digital, cloud și securitate examinează tacticile, tehnicile și procedurile folosite de unii dintre cei mai sofisticați adversari cibernetici și explorează modul în care incidentele cibernetice ar putea evolua în anul următor.

Cercetătorii Accenture au descoperit numeroase campanii de phishing și amenințări pentru dispozitivele mobile, care profită de îngrijorarea publicului și confuzia cu privire la COVID-19 și utilizează pandemia ca momeală. Printre grupările detectate de specialiștii Accenture se numără: Lucifershark, Snipefish, Rohu sau Pond Loach.

„Deoarece COVID-19 a schimbat radical modul în care lucrăm și trăim, am văzut o gamă largă de adversari cibernetici schimbându-și tactica pentru a profita de noi vulnerabilități”, a spus Josh Ray, care conduce divizia de apărare cibernetică a Accenture Security la nivel global, citat într-un comunicat de presă al companiei.

Adversarii sofisticați își maschează identitățile cu instrumente off-the-shelf

Pe parcursul anului 2020, analiștii CTI ai Accenture au observat grupurile infracționale sponsorizate de state și grupări criminale organizate folosind o combinație de instrumente off-the-shelf – inclusiv instrumente de “living off the land”, infrastructură de găzduire partajată și cod de exploatare dezvoltat public – și instrumente de testare a penetrării open source la o scară fără precedent pentru a efectua atacuri cibernetice și a-și ascunde urmele.

De exemplu, Accenture urmărește tiparele și activitățile unui grup de hackeri din Iran, denumit SOURFACE (cunoscut și sub numele de Chafer sau Remix Kitten). Activ din cel puțin 2014, grupul este cunoscut pentru atacurile cibernetice asupra industriilor de petrol și gaze, comunicații, transporturi dar și altele din SUA, Israel, Europa, Arabia Saudită, Australia și alte regiuni. Analiștii Accenture CTI au observat SOURFACE folosind funcții Windows legitime și instrumente disponibile în mod gratuit, cum ar fi Mimikatz, pentru dumping-ul de credențiale. Această tehnică este utilizată pentru a fura acreditările de autentificare ale utilizatorilor, cum ar fi numele de utilizator și parolele, pentru a permite atacatorilor să își extindă privilegiile sau să se deplaseze în rețea pentru a compromite alte sisteme și conturi în timp ce sunt deghizați în utilizator valid.

Potrivit raportului, este foarte probabil ca actorii sofisticați, inclusiv grupurile infracționale organizate și sponsorizate de stat, să continue să utilizeze instrumente de testare a penetrării și off-the-shelf în viitorul apropiat, deoarece sunt ușor de utilizat și eficiente din punct de vedere al costurilor.

Tacticile noi și sofisticate vizează continuitatea afacerilor

Raportul menționează modul în care un grup cunoscut a vizat în mod agresiv sistemele care susțin Microsoft Exchange și Outlook Web Access și apoi folosește aceste sisteme compromise ca capete de pod în mediul victimei pentru a ascunde traficul, a transmite comenzi, a compromite e-mailuri, a fura date și a aduna acreditări pentru spionaj. Operând din Rusia, grupul, pe care Accenture îl numește BELUGASTURGEON (cunoscut și sub numele de Turla sau Snake), este activ de mai bine de 10 ani și este asociat cu numeroase atacuri cibernetice îndreptate către agențiile guvernamentale, firmele de cercetare în domeniul politicii externe și think tank-uri din întreaga lume.

Ransomware alimentează un nou model de afaceri scalabil și profitabil

Ransomware-ul a devenit rapid un model de afaceri mai profitabil în ultimul an, infractorii cibernetici ducând șantajul online la un nou nivel amenințând că vor elibera public datele furate sau le vor vinde și vor dezvălui identitatea și vor face de râs victimele pe site-uri web dedicate. Infractorii din spatele Maze, Sodinokibi (cunoscut și sub denumirea de REvil) și tulpinile de ransomware DoppelPaymer sunt pionierii acestei tactici în creștere, care generează profituri mai mari și are ca rezultat un val de actori imitatori.

În plus, faimosul ransomware LockBit a apărut la începutul acestui an, care – pe lângă copierea tacticii de șantaj – a câștigat atenție datorită funcției sale de auto-răspândire care infectează rapid alte computere dintr-o rețea corporativă. Motivațiile din spatele LockBit par a fi și ele financiare. Analiștii Accenture CTI au urmărit criminalii cibernetici din spatele acestuia pe forumurile Dark Web, unde se descoperă că fac publicitate actualizărilor și îmbunătățirilor periodice ale ransomware-ului și recrutează în mod activ noi membri promițând o parte din banii de răscumpărare. Succesul acestor metode de extorsiune de tip hack-and-leak, în special împotriva organizațiilor mai mari, înseamnă că acestea vor prolifera probabil pentru restul anului 2020 și ar putea prefigura tendințele viitoare de hacking în 2021. De fapt, analiștii Accenture CTI au observat campanii de recrutare într-un forum popular Dark Web de infractorii cibernetici din spatele Sodinokibi.

Citiți raportul complet Cyber ​​Threatscape 2020 disponibil aici.

Foto: Captură Youtube