Sophos 2023 Threat Report: Η διαρκής εξέλιξη του «Crime-as-a-Service»
Η Sophos δημοσίευσε πρόσφατα την έκδοση για το 2023 της ετήσιας έκθεσης της για τις απειλές. Με βάση έναν συνδυασμό τηλεμετρίας, δεδομένων ανταπόκρισης σε συμβάντα και άλλων πληροφοριών για απειλές που συλλέχθηκαν, η έκθεση παρουσιάζει ένα στιγμιότυπο του σημερινού τοπίου των απειλών και εξετάζει τις τάσεις που έχουμε αρχίσει να βλέπουμε στην κακόβουλη, εγκληματική δραστηριότητα. Και μία από τις πιο σαφείς τάσεις είναι η συνεχής εξέλιξη μιας ώριμης βιομηχανίας κυβερνοεγκλήματος που αντικατοπτρίζει από πολλές απόψεις τις τάσεις στο νόμιμο λογισμικό και στις ψηφιακές υπηρεσίες.
Οι διαχειριστές ransomware ήταν εκείνοι που υϊοθέτησαν με τον πλέον εμφατικό τρόπο το μοντέλο «ως υπηρεσία» (as-a-service) για το κυβερνοέγκλημα. Το 2022, είδαμε το μοντέλο να υιοθετείται ευρύτερα στον χώρο του κυβερνοεγκλήματος, με τις underground ηλεκτρονικές αγορές να προσφέρουν πλέον όλα σχεδόν τα στοιχεία μίας εργαλειοθήκης για το κυβερνοέγκλημα σε όσους είναι πρόθυμοι να πληρώσουν για αυτά -στοχοποίηση και εκτέλεση του αρχικού σχεδίου παραβίασης, χρήση τεχνικών διαφυγής και ασφάλειας λειτουργιών, και παράδοση κακόβουλου λογισμικού (malware), μεταξύ άλλων.
Ευρέως διαθέσιμα είναι επίσης και διάφορα επαγγελματικά εργαλεία για την εκτέλεση επιθέσεων – πλήρη και με «σπασμένη» άδεια χρήσης ή άδεια χρήσης που έχει με κάποιον τρόπο παρακαμφθεί. Το Cobalt Strike για παράδειγμα, το οποίο χρησιμοποιείται από επαγγελματίες ασφαλείας και εμπειρογνώμονες για να προσομοιώσουν προηγμένες επιθέσεις, κάνει πλέον την εμφάνιση του στην πλειονότητα των περιστατικών με ransomware. Το Brute Ratel, ένα άλλο προηγμένο εργαλείο για την αξιοποίηση κενών ασφαλείας και ευπαθειών το οποίο διαφημίζεται ως αντικαταστάτης του Cobalt Strike, είναι επίσης ευρέως διαθέσιμο και έχει παρατηρηθεί σε αρκετά περιστατικά ransomware μέχρι στιγμής.
Η επιχειρησιακή λειτουργία των ίδιων των διαχειριστών ransomware εξακολουθεί επίσης να ωριμάζει. Για παράδειγμα, η ομάδα του LockBit 3.0 προσφέρει πλέον ένα πρόγραμμα επιβράβευσης για την εύρεση σφαλμάτων (bugs) με τον πληθοπορισμό των δοκιμών του κακόβουλου λογισμικού του και εκτελώντας έρευνες αγοράς στην κυβερνοεγκληματική κοινότητα για να βελτιώσει την λειτουργία της σε επιχειρησιακό επίπεδο. Άλλες ομάδες προσφέρουν προγράμματα «συνδρομής» για τα δεδομένα που έχουν διαρρεύσει.
Όλα αυτά συμβαίνουν στο πλαίσιο του συνεχιζόμενου πολέμου στην Ουκρανία, που οδήγησε σε ρήξεις και διασπάσεις στις Ρωσόφωνες κυβερνοεγκληματικές ομάδες με αποτέλεσμα να λαμβάνουν χώρα διάφορες παραβιάσεις δεδομένων και επιχειρήσεις doxing (αποκάλυψη πραγματικών ταυτοτήτων κ.ά) από ομάδες όπως η Conti και άλλες κυβερνοεγκληματικές ομάδες ransomware. Η έκκληση της κυβέρνησης της Ουκρανίας για κεφάλαια λειτούργησε επίσης ως δέλεαρ για ένα νέο κύμα απατών με κρυπτονομίσματα και άλλες οικονομικές απάτες.
Η κατάχρηση επίσης νόμιμου λογισμικού, όπως και στοιχείων του ίδιου του λειτουργικού συστήματος Windows, εξακολουθεί να αποτελεί πρόκληση για τους αμυνόμενους. Εγκληματικοί φορείς συνέχισαν την εκτεταμένη χρήση διάφορων νόμιμων εκτελέσιμων αρχείων (όπως «δοκιμαστικών» εκδόσεων εμπορικών προϊόντων λογισμικού, συμπεριλαμβανομένων και εργαλείων απομακρυσμένης πρόσβασης) και LOLBins (living off the land binaries) για να αποφύγουν τον εντοπισμό/ανίχνευση τους και να εκτελέσουν κακόβουλο λογισμικό.
Παρατηρείται επίσης μία επιστροφή στις επιθέσεις BYOD (Bring Your Own Driver) με τους κακόβουλους φορείς να χρησιμοποιούν ευάλωτους drivers (προγράμματα οδήγησης) από νόμιμο λογισμικό για να κλιμακώσουν προνόμια και να επιχειρούν να τερματίσουν τη λειτουργία προϊόντων endpoint detection and response με στόχο να αποφύγουν τον εντοπισμό τους.
Στο μέτωπο των φορητών συσκευών και των κινητών, εξακολουθούμε να παρατηρούμε κακόβουλες ή ψεύτικες εφαρμογές να αποφεύγουν τον εντοπισμό/ανίχνευση τους από τα εργαλεία που χρησιμοποιούν τα μεγαλύτερα ηλεκτρονικά καταστήματα εφαρμογών για κινητά και φορητές συσκευές. Ορισμένες από αυτές τις εφαρμογές αποτελούν μέρος μιας ταχέως διευρυνόμενης κατηγορίας κυβερνοεγκλήματος: της απάτης χρηματοοικονομικών συναλλαγών. Η Sophos παρακολουθεί την ταχεία αύξηση των απατών που σχετίζονται με τα κρυπτονομίσματα και άλλες χρηματοοικονομικές συναλλαγές την τελευταία χρονιά όπως είναι οι απάτες «pig butchering». Οι κυβερνοεγκληματίες βρήκαν νέους τρόπους για να εξαπατούν, αξιοποιώντας ορισμένες ψεύτικες εφαρμογές για να οδηγήσουν τα θύματα τους να αποκαλύψουν/εκθέσουν τα ψηφιακά πορτοφόλια για τα κρυπτονομίσματα τους ή να τα ξεγελάσουν να μεταφέρουν άμεσα χρήματα, συμπεριλαμβανομένης της κατάχρησης και των διαδικασιών ad-hoc application deployment της Apple για το λειτουργικό σύστημα iOS. Περισσότερες λεπτομέρειες για αυτά και άλλα ευρήματα μπορείτε να βρείτε στην πλήρη έκθεση της Sophos εδώ.
Πηγή: Sophos