– Un articol realizat de Bitdefender după întrebările adresate de PIN Magazine –
Randamentul unui atac ransomware este de 1500%. Bagi un dolar, scoți 30! Ransomware este una dintre cele mai agresive amenințări cibernetice ale momentului.
După rezultatele impresionante din 2016, dezvoltatorii amenințărilor de tip ransomware (care criptează datele utilizatorilor și solicită apoi recompensă) vor aloca resurse suplimentare îmbunătățirii sistemului de țintire automată a victimelor. Această funcționalitate îi va ajută să deosebească utilizatorii obișnuiți de companii și, în consecință, să încerce să le șantajeze pe cele din urmă pentru sume de bani mai mari.
2016 a fost anul ransomware, iar amenințarea va continuă să se extindă înspre alte sisteme de operare în viitor. Datele extrase din telemetria Bitdefender arată că infectarea cu ransomware este una dintre cele mai profitabile activități de criminalitate cibernetică, cu randamente ale investițiilor de până la 1.500%.
Un million și jumătate de dolari în numai o săptămână
Dezvoltatorii unui anumit tip de ransomware monitorizați de Bitdefender la începutul anului au reușit să strângă 1,5 milioane de dolari în numai o săptămână.
Secretul profitabilității crescute a ransomware constă în faptul că utilizatorii pun mare preț pe datele personale și pe informațiile stocate în diverse terminale, nu își fac back-up și nu actualizează constant soluțiile de securitate cibernetică.
Machine learning în luptă cu infractorii informatici
În domeniul securității cibernetice, inteligență artificială este implementată prin tehnici de învățare automată sau machine learning. Algoritmii de machine learning le oferă computerelor abilitatea de a învață și de a face previziuni bazate pe informații deja cunoscute. Bitdefender, de exemplu, a început să integreze tehnologii de machine learning în sistemele de detecție în urmă cu șapte ani. Această tehnologie își demonstrează eficiența în special când vine vorba de lupta cu milioane de fișiere periculoase în fiecare zi.
Specialiștii în securitate cibernetică trebuie să studieze amănunțit zilnic peste 400.000 de programe periculoase, conform statisticilor institutului AV-Test. Metodelor tradiționale de detecție, bazate pe recunoașterea de semnături ale diverșilor viruși, le lipsește însă abilitatea a fi cu adevărat proactive în multe cazuri. Mai mult, companiile din securitate se confruntă și cu servicii specializate care oferă mecanisme complicate menite să păcălească sau să se ascundă de soluțiile antivirus tradiționale.
Folosind algoritmi de machine learning, soluțiile de securitate pot păstra o detecție ridicată a amenințărilor cibernetice care ajung pe internet, inclusiv ransomware.
Această tehnologie este adaptată și pentru a contracara atacuri avansate persistente (APT)
O soluție de securitate eficientă ar trebui să poată proteja împotriva atacurilor de tip zero-day (amenințări necunoscute și exploatate de atacatori fără restricții până la descoperirea acestora). Orice tehnică de învățare automată folosită pentru detecția de viruși trebuie să fie adaptată să genereze cât mai puține alarme false (cât mai aproape de zero) și o rată de detecție cât mai bună (cât mai aproape de 100%).
Astfel, soluțiile de securitate pot reacționa la amenințări noi, neîntâlnite, mult mai rapid decât mecanismele de detecție automate folosite în prezent. Această tehnologie este adaptată și pentru a contracara atacuri avansate persistente (APT), unde actorii sunt interesați să rămână nedetectați cât mai mult timp.
Dacă ar fi să vorbim despre „bombe nucleare”, am menționa amenințările avansate și persistente, atacuri complexe prin care atacatori profesioniști se infiltrează în rețeaua cibernetică a unei instituții sau companii de unde extrag informații.
Dezvoltatorii amenințărilor APT nu se adresează maselor de utilizatori, ci vizează victime specifice, cu scopul clar de a sustrage date și de a monitoriza activitatea unor persoane cheie, cu acces la informații de importantă strategică.
APT28, una dintre cele mai ample campanii de spionaj cibernetic
În luna februarie, Bitdefender a semnalat că posesorii de gadgeturi cu sistem de operare OS X și iOS sunt expuși furtului de date, parole și informații stocate pe dispozitive, prin intermediul unei amenințări dezvoltate în mod special pentru terminale Apple, operată de către dezvoltatorii APT28, una dintre cele mai ample campanii de spionaj cibernetic din toate timpurile.
Bitdefender a semnalat încă de la sfârșitul anului 2015 că și România se află pe lista statelor spionate de amenințarea cibernetică „APT28”. Cunoscut și sub denumirea Sofacy, APT28 a fost dezvoltat de vorbitori de limba rusă și a făcut parte dintr-o operațiune amplă de colectare de date provenite de la victime selectate după criterii specifice. Printre țintele vizate de atacatorii ruși, identificate atunci în premieră de Bitdefender, au fost instituții guvernamentale, servicii de telecomunicații și criminalitate informatică și companii aerospațiale din România, Germania și Ucraina.
APT28 sau Sofacy a activat în mod anonim în Europa din 2007 și a fost folosit pentru a colecta date și informații legate de teme sensibile pentru Rusia.
Vârfurile de activitate ale APT28 au fost înregistrate în paralel cu desfășurarea unor evenimente internaționale majore, precum tratativele de pace dintre rebelii pro-ruși și forțele guvernamentale din Ucraina sau mediatizarea construirii avionului militar rusesc PAK FA T-50 Fighter, capabil să atingă viteze supersonice, un competitor al modelului F35 al companiei americane Lockheed Martin.
- Circa 46% dintre români se arată îngrijorați că un eventual atacator ar putea prelua oricând controlul dispozitivelor inteligente pe care le folosesc zilnic. Recent, un atac cibernetic de amploare, denumit Mirai și operat prin dispozitive smart, a condus la blocarea timp de câteva ore a activității unor servicii precum Twitter, Spotify, The New York Times, Reddit, Yelp, Box, Pinterest și Paypal. Acesta reprezintă un nou nivel de control asupra comunicațiilor la nivel mondial, rezervat până acum doar celor mai puternici actori statali, dar ajuns în prezent în mâinile unor indivizi necunoscuți.
Dispozitivele cu vulnerabilități creează posibilitatea unor amenințări încrucișate, întrucât 60% din utilizatori salvează fișiere personale în calculatoare aflate în aceeași rețea cu dispozitivele inteligente. Mai mult, utilizatorii se preocupă rar de securitatea terminalelor smart – 42% dintre posesorii de case inteligente chestionați de Bitdefender susțin că nu își actualizează niciodată televizorul conectat la internet, de exemplu, invocând lipsa de timp și de cunoștințe tehnice.
Circa 46% dintre români se arată îngrijorați că un eventual atacator ar putea prelua oricând controlul dispozitivelor inteligente pe care le folosesc zilnic, ceea ce îi expune la furt de date personale, spionaj și invadarea vieții private, arată un studiu realizat în mediul urban de iSense Solutions, la comanda Bitdefender.
Cum atacă pirații informatici statali
De regulă, atacurile informatice inițiate de agenții statale sunt extrem de complexe și, de obicei, vizează vulnerabilități de tip „zero day” în sistemele de operare sau în aplicații conexe (browsere, plugin-uri sau aplicații de vizualizat PDF-uri, procesatoare de text și așa mai departe).
De multe ori, primul stadiu al atacului e compromiterea (sau „păcălirea temporară” a) scanner-ului anti-malware. Sistemele de operare moderne (de la Windows 8 la Windows 10) permit soluției de anti-malware să verifice ce se întâmplă pe sistem atunci când acesta este cel mai vulnerabil – de exemplu, între perioada în care acesta e pornit și până la pornirea soluției de securitate.
Pentru a neutraliza atacurile asupra soluției de securitate, Bitdefender a cercetat metode noi de izolare a soluției de calculatorul gazdă.
Pentru companii, produsele noastre pot fi rulate în hipervizor (într-un mod de izolare hardware care nu permite nici unei aplicații sau utilizator malițios să interacționeze cu soluția de securitate și să o închidă sau să o compromită). Această tehnologie, numită HVI (hypervisor introspection) este o premieră mondială care nu are încă un concurent pe piață.
Pentru utilizatorii individuali, Bitdefender oferă produsul BOX, o soluție de securitate care rulează pe propriul hardware. Acesta se conectează la rețea și scanează tot traficul înspre și dinspre dispozitivele conectate la respectivă rețea.
Și acest produs e o premieră mondială. Lansat pe piață în aprilie 2014, Bitdefender BOX încă nu are un competitor real; nu există nici o astfel de soluție disponibilă de la un alt furnizor de soluții de securitate (notă: toate celelalte „clone” de BOX sunt de fapt routere cu o oarecare filtrare de link-uri cu malware sau phishing)
Cum arată viitorul?
Atacurile care blochează accesul la site-urile unor companii vor fi amplificate prin controlul cu ușurință de la distanță al dispozitivelor inteligente (IoT) slab securizate. Hackerii își construiesc așadar rețele imense de astfel de dispozitive, aparținând unor utilizatori obișnuiți și lansează prin intermediul lor atacuri menite să destabilizeze anumite ținte.
Deși, la fel că în trecut, unele atacuri vor avea rațiuni politice sau vor fi doar componente ale unor atacuri mai complexe, o pondere importantă va viza companii cu scopul de a obține bani prin șantajarea acestora cu sistarea temporară a activității economice. Acest tip de atacuri se va dezvoltă continuu din cauza exploziei numărului de dispozitive inteligente conectate la internet. În același timp, securitatea nu este întotdeauna o prioritate pentru producătorii acestor gadgeturi, în principal pentru că memoria și resursele insuficiente nu permit rularea unor algoritmi de securitate complecși sau actualizări constante de software. Folosirea dispozitivelor personale în mediul corporatist va complica și mai mult securitatea datelor.
Terorismul informatic non-statal. Cît de mare este acest pericol?
Această activitate poartă numele de hacktivism și e o practică din ce în ce mai frecvent întâlnită. Activiștii cibernetici se coalizează de obicei în jurul anumitor evenimente cu impact social. Un exemplu foarte bun e cel al grupării Anonymous. Terorismul cibernetic țintește exact acele mecanisme indispensabile civilizației moderne: sistem bancar, mass-media și așa mai departe.
Din păcate, terorismul cibernetic și infracțiunile electronice sunt extrem de dificil de atribuit. Chiar și în cazul în care vinovații sunt identificați, aceștia se află de obicei în jurisdicții diferite, ceea ce face extrădarea și pedepsirea aproape imposibile.
De ce ne e frică
Circa 73% dintre directorii de IT declară că se tem de compensațiile financiare pe care compania în care lucrează ar trebui să le plătească în cazul unei breșe de securitate, în timp ce 66% se gândesc chiar că ar putea rămâne fără slujbă, arată un studiu global al Bitdefender realizat la finele anului trecut.
Migrarea către stocarea datelor în cloud și folosirea simultană a infrastructurilor hibride, un mix de servicii publice de virtualizare și infrastructuri IT aflate în proprietate, va aduce provocări noi de securitate directorilor de IT: amenințări complexe precum cele de tip zero-day (necunoscute și exploatate de atacatori fără restricții până la descoperirea acestora) sau amenințări avansate persistente (APT), dar și alte tipuri de criminalitate cibernetică devastatoare.
Studiul Bitdefender, realizat în companii cu peste o mie de terminale, arată că virtualizarea a devenit o prioritate strategică pentru organizații, însă majoritatea factorilor de decizie nu este pregătită pentru riscurile crescânde aduse de nouă paradigmă informatică folosită pentru stocarea datelor.
Amenințările avansate persistente, menite să se infiltreze în sistemele informatice și să colecteze informații importante fără știință conducerii, pot avea consecințe devastatoare, de la pierderi financiare până la efecte negative asupra reputației.
(material realizat cu sprijinul lui Bogdan Botezatu,
Senior eThreat Analyst – Bitdefender)