Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

CiekawostkiZagrożenia Internetowe

Całościowy wgląd w ewolucję podziemia cyberprzestępczego

Piotr R

8 sierpnia 2024

Wczesne dni grup hakerskich i samotnych cyberprzestępców wyglądają zupełnie inaczej niż dziś. Minęły czasy przechwalania się zdobyczami, które były (stosunkowo) nieszkodliwe. Teraz aktorzy zagrożeń działają w ramach dobrze naoliwionych organizacji, gromadząc miliony rocznie poprzez bezpośrednie kompromitowanie organizacji lub pożyczanie swoich usług innym, mniej wykwalifikowanym przeciwnikom.

Haker

Częścią skutecznego cyberbezpieczeństwa jest zrozumienie, jak działają te organizacje cyberprzestępcze. Zagłębiając się w ich ewolucję, taktykę i strukturę, zespoły ds. bezpieczeństwa są o krok przed innymi w ochronie swoich organizacji. Odkryjmy pochodzenie i działania tych współczesnych syndykatów cyberprzestępczych.

Jak ewoluowało podziemie cyberprzestępcze?

Na początku hakerzy byli ograniczeni tym, co mogli fizycznie zrobić z komputerami, często rozprzestrzeniając wirusy za pośrednictwem dyskietek. Ta era oznaczała początek podróży Bitdefender. Początkowo działając pod inną nazwą, firma opracowała wewnętrzne rozwiązanie antywirusowe, aby chronić swoich klientów i siebie. Skuteczność tego antywirusa doprowadziła do dużego popytu, ostatecznie ustanawiając Bitdefender jako znaną firmę cyberbezpieczeństwa, jaką jest dzisiaj.

W miarę upływu czasu i coraz większego łączenia się świata, aktorzy zagrożeń tworzyli złośliwe oprogramowanie – trojany, wirusy, robaki i inne, podczas gdy wydawcy oprogramowania antywirusowego nadal aktualizowali i rozwijali swoje rozwiązania, aby identyfikować, wykrywać i chronić przed tymi najnowszymi zagrożeniami. Po stronie przedsiębiorstw nadal widzieliśmy firmy, które były atakowane po prostu dla przechwałek lub po prostu po to, aby sprawdzić, czy haker ma umiejętności, aby skutecznie skompromitować firmę.

Na początku XXI wieku cyberprzestępcy zaczęli mieć wznioślejsze cele, werbując urządzenia do swoich botnetów i przeprowadzając poważniejsze ataki przy użyciu bardziej wyrafinowanych metod, takich jak ataki APT i DDoS. W latach 2010. byliśmy świadkami pojawienia się grup hakerskich sponsorowanych przez autorytarne państwa i większej liczby grup hakerskich, a ransomware stało się głównym zagrożeniem dla przedsiębiorstw.

Obecnie cyberprzestępczość jest napędzana zyskiem, a my jesteśmy świadkami poważnej transformacji w dynamice grup hakerów. Są dobrze zorganizowane, znacznie większe, mają hierarchię, która pozwala im pracować wydajnie i stały się odrębną branżą.

Stało się tak dzięki kilku ważnym postępom, takim jak:

Szersza, cyfrowa powierzchnia ataku: Minęły czasy dynamiki wirusa/antywirusa podobne do wyścigu. Grupy hakerów mają teraz wiele sposobów na skompromitowanie firmy. Mogą atakować pracowników za pomocą inżynierii społecznej lub phishingu, znaleźć drogę, celując w słabszego zewnętrznego dostawcę lub znaleźć drogę za pomocą wyciekłych danych uwierzytelniających.

Powstanie rynków w ciemnej sieci: Ewolucja rynków w ciemnej sieci spowodowała komercjalizację cyberataków, ustalając dosłowną cenę za wyciek danych i jeszcze bardziej zachęcając do ataków prowadzących do naruszeń bezpieczeństwa danych.

Naruszenia bezpieczeństwa prowadzą do efektu kuli śnieżnej: Wyciekłe dane mogą zostać kupione lub skradzione, a następnie wykorzystane do ataków na inne organizacje, które mają słabe zabezpieczenia lub których pracownicy wielokrotnie używają tych samych haseł.

Prywatne platformy komunikacyjne: Cyberprzestępcy korzystają z anonimowości jak nigdy dotąd. Eksplozja szyfrowanych platform komunikacyjnych, takich jak WhatsApp, Signal i Telegram, ułatwiła bardziej efektywną działalność, ponieważ treść komunikacji jest szyfrowana, co ułatwia grupom omawianie ataków, kompromisów i planów.

Kryptowaluta: Kryptowaluta znacznie ułatwiła zacieranie śladów, angażowanie się w ataki ransomware i uczestnictwo w dark webie. Kryptowaluty zostały również uznane za wykorzystywane do prania pieniędzy.

Coraz wyższe wypłaty: Cyberprzestępczość to obecnie branża warta 1,5 biliona dolarów rocznie, a każdy kolejny atak dodatkowo motywuje nastawionych na zysk aktorów zagrożeń. Jest to najbardziej widoczne, gdy spojrzymy na oprogramowanie ransomware — wypłaty gwałtownie wzrosły, podobnie jak tempo wypłat.

Dzisiejsze podziemie cyberprzestępcze

Organizacje cyberprzestępcze wyglądają obecnie bardzo podobnie do legalnych organizacji, a to głównie dlatego, że zakres ich działalności znacznie się rozszerzył. Największe grupy cyberprzestępcze oferują swoje usługi innym organizacjom, państwom narodowym i innym przeciwnikom.

Podobnie jak w przypadku współczesnych przedsiębiorstw, organizacje zajmujące się cyberprzestępczością działają na bardzo zróżnicowaną skalę.

Niezależne jednostki: Mogą to być pojedyncze osoby lub małe grupy, które angażują się w ataki na niskim poziomie i/lub nieskomplikowane. Ponieważ mało prawdopodobne jest, aby organy ścigania szukały i łapały mniejszego aktora, mogą łatwo uniknąć kary za kilka ataków rocznie i zarobić znaczną sumę pieniędzy.

Małe do średnich: Są to najczęstsze grupy na rynku cyberprzestępczości, które chcą sprzedawać swoje usługi innym podmiotom stanowiącym zagrożenie. Większe grupy są lepiej zorganizowane, ale zazwyczaj zatrudniają pracowników na pełen lub niepełny etat, aby obsługiwać zgłoszenia pomocy technicznej, klientów i realizować zlecenia serwisowe.

Duże/korporacyjne: Podobnie jak w przypadku nowoczesnych firm, organizacje zajmujące się cyberprzestępczością występują w znacznie większych rozmiarach. To właśnie tutaj lądują znane grupy, takie jak Conti, REvil, GozNym Gang i MageCart, przy czym ta pierwsza osiągnęła zysk netto w wysokości 54 mln USD w 2021 r. Grupy te mają ponad 50 „pracowników”, są podzielone na działy, otrzymują pensje i podlegają nawet ocenom okresowym.

Grupy hakerskie często zarabiają pieniądze w następujący sposób:

  • Sprzedaż zestawów exploitów wykorzystujących znane luki w zabezpieczeniach.
  • Sprzedaż skradzionych danych – w postaci zrzutu danych lub jako pojedynczego zasobu (który może zostać wykorzystany do kradzieży tożsamości lub ataków typu spearphishing).
  • Sprzedaż złośliwego oprogramowania, oprogramowania wymuszającego okup lub innej złośliwej treści.
  • Sprzedawanie dostępu do naruszonych organizacji.
  • Sprzedaż dostępu do skradzionych danych.
  • Sprzedaż swoich usług.

Muły pieniężne

Muły pieniężne to osoby, które przekazują lub przemieszczają nielegalnie zdobyte pieniądze w imieniu innych, często w ramach większych schematów prania pieniędzy. Te osoby, które mogą być lub nie być świadome swojego udziału w działalności przestępczej, są zazwyczaj rekrutowane za pośrednictwem ogłoszeń o pracę, mediów społecznościowych lub osobistych relacji. Po rekrutacji otrzymują skradzione lub nielegalnie uzyskane środki na swoje konta bankowe, wypłacają gotówkę, a następnie przelewają pieniądze na inne konto, zwykle za granicą, lub zamieniają je na kryptowalutę. Korzystając z mułów pieniężnych, przestępcy mogą zacierać ślady pieniędzy, utrudniając organom ścigania śledzenie pochodzenia nielegalnych środków i identyfikację głównych sprawców. Praktyka ta nie tylko ułatwia różne formy przestępstw finansowych, ale także naraża same muły pieniężne na znaczne ryzyko prawne, w tym potencjalne zarzuty prania pieniędzy i oszustwa.

Usługi SPAM i phishing

Usługi spamu i phishingu do wynajęcia stanowią znaczące i rosnące zagrożenie w krajobrazie cyberprzestępczości. Te nielegalne usługi, często reklamowane na forach dark web i za pośrednictwem sieci podziemnych, oferują przestępcom narzędzia i infrastrukturę potrzebną do prowadzenia masowych kampanii spamowych oraz wyrafinowanych ataków phishingowych. Klienci tych usług mogą kupować listy e-mailowe, uzyskiwać dostęp do zainfekowanych serwerów w celu wysyłania spamu i wykorzystywać zestawy phishingowe, które tworzą oszukańcze witryny internetowe imitujące legalne witryny w celu kradzieży poufnych informacji, takich jak dane logowania i dane finansowe. Operatorzy tych usług stosują zaawansowane techniki w celu omijania filtrów spamu i unikania wykrycia, umożliwiając szerokie rozpowszechnianie złośliwych treści. Poprzez outsourcing swoich operacji cyberprzestępcy mogą skutecznie atakować ogromną liczbę potencjalnych ofiar, co prowadzi do znacznych strat finansowych i naruszeń danych osobowych osób fizycznych i organizacji.

Pełnomocnicy do wynajęcia

Proxy do wynajęcia, zwłaszcza te wykorzystywane w złośliwych celach, są powszechnym narzędziem w arsenale cyberprzestępców. Te proxy często wykorzystują sieci zainfekowanych maszyn, w tym komputerów osobistych i urządzeń Internetu rzeczy (IoT), aby zamaskować prawdziwe źródło złośliwego ruchu. Cyberprzestępcy wykorzystują te zainfekowane urządzenia do uruchamiania różnych ataków, takich jak ataki typu rozproszona odmowa usługi (DDoS), naruszenia danych i działania oszukańcze, co utrudnia systemom bezpieczeństwa śledzenie złośliwych działań z powrotem do ich źródła. Kierując swoje działania przez sieć nieświadomych proxy, atakujący mogą uniknąć wykrycia, zwiększyć swoją anonimowość i ominąć ograniczenia geograficzne. Proliferacja urządzeń IoT, z których wiele ma słabe protokoły bezpieczeństwa, znacznie rozszerzyła pulę potencjalnych proxy, co jeszcze bardziej komplikuje wysiłki na rzecz zwalczania tej złośliwej praktyki.

Kantory kryptowalut

Giełdy kryptowalut, które nie są zgodne z przepisami Know Your Customer (KYC), odgrywają znaczącą rolę w gospodarce podziemnej, zapewniając schronienie dla nielegalnych działań. Te platformy niezgodne z KYC pozwalają użytkownikom kupować, sprzedawać i wymieniać waluty cyfrowe bez weryfikacji ich tożsamości, co czyni je atrakcyjnymi dla przestępców, którzy chcą prać pieniądze, unikać podatków lub finansować nielegalne operacje. Anonimowość oferowana przez te giełdy ułatwia transakcje obejmujące skradzione fundusze, płatności ransomware i nielegalny handel na rynkach dark web. Omijając nadzór regulacyjny, platformy te podważają wysiłki na rzecz zapewnienia przejrzystości i rozliczalności w systemie finansowym, stwarzając znaczne ryzyko dla globalnej integralności finansowej i bezpieczeństwa.

Usługi hostingowe niezgodne z KYC

Usługi hostingowe niezgodne z KYC są kluczowym elementem infrastruktury cyberprzestępczych operacji, zapewniając osłonę anonimowości dla nielegalnych działań online. Ci dostawcy hostingu nie wymagają od klientów weryfikacji ich tożsamości, co czyni ich idealnymi do hostowania nielegalnych stron internetowych, serwerów dowodzenia i kontroli złośliwego oprogramowania, witryn phishingowych i dark web marketplace. Brak zgodności z KYC pozwala cyberprzestępcom działać przy minimalnym ryzyku wykrycia, ułatwiając dystrybucję złośliwego oprogramowania, sprzedaż skradzionych danych i organizację cyberataków. Oferując niemożliwe do wyśledzenia rozwiązania hostingowe, usługi te podważają globalne wysiłki na rzecz cyberbezpieczeństwa, umożliwiając szeroki zakres przestępstw cyfrowych, jednocześnie unikając kontroli organów ścigania i organów regulacyjnych.

Usługi powiernicze

Usługi powiernicze w darknecie odgrywają kluczową rolę w ułatwianiu zaufania i zapewnianiu bezpieczeństwa transakcji między uczestnikami nielegalnych rynków internetowych. Usługi te działają jako pośrednicy, przechowując fundusze od kupujących do czasu dostarczenia i zweryfikowania uzgodnionych towarów lub usług, często nielegalnych przedmiotów, takich jak narkotyki, broń lub skradzione dane. Poprzez ograniczenie ryzyka oszustwa usługi powiernicze zachęcają do większej liczby transakcji i utrzymują przepływ handlu na tych podziemnych rynkach. Pomimo zamierzonego celu zapewnienia uczciwych transakcji, usługi te z natury wspierają i utrwalają nielegalne działania, utrudniając organom ścigania śledzenie i interweniowanie w transakcjach finansowych związanych z transakcjami w darknecie. Anonimowość i bezpieczeństwo oferowane przez te usługi powiernicze przyczyniają się do odporności oraz trwałości rynków darknetu.

Grupy zaawansowanego trwałego zagrożenia (APT)

Grupy Advanced Persistent Threat (APT) i sponsorowane przez państwo podmioty hakerskie często maskują swoje wyrafinowane kampanie cybernetycznego szpiegostwa jako ataki ransomware lub inne formy cyberoszustwa, aby ukryć swoje prawdziwe intencje i uniknąć wykrycia. Naśladując taktykę, techniki i procedury typowych cyberprzestępców, ci zaawansowani aktorzy mogą infiltrować sieci docelowe, eksfiltrować poufne dane i prowadzić nadzór, jednocześnie wprowadzając obrońców w błąd, że mają do czynienia z cyberprzestępczością motywowaną finansowo. To oszukańcze podejście nie tylko komplikuje atrybucję, ale także pozwala tym grupom gromadzić informacje wywiadowcze, zakłócać operacje lub manipulować danymi bez wzbudzania natychmiastowego podejrzenia. Stosowanie takich maskujących taktyk podkreśla złożoność i ewolucyjną naturę cyberzagrożeń, podkreślając potrzebę solidnych i zniuansowanych środków cyberbezpieczeństwa w celu skutecznego rozpoznawania i przeciwdziałania tym tajnym operacjom.

Najnowsze osiągnięcia w cyberprzestępczym podziemiu

W badaniach Bitdefender odkryto kilka niepokojących wzorców wśród tych grup, które sugerują jeszcze bardziej zorganizowaną koordynację i chętną chęć dostosowania się do nowych, niedawnych wydarzeń i zmieniającego się krajobrazu. Oto, co odkryli badacze z Bitdefender:

Powstanie oszustw na farmach: Ze względu na ogromne zyski, jakie mogą osiągnąć te organizacje, zaczęły one porywać i handlować ludźmi w krajach takich jak Tajlandia, zmuszając ich do pracy w oszukańczych fabrykach i czerpiąc z tego zyski.

Wymiana informacji w celu uniknięcia wykrycia: Podobnie jak służby bezpieczeństwa cybernetycznego otwarcie dzielą się informacjami w celu podniesienia poziomu bezpieczeństwa na całym świecie, tak samo grupy zajmujące się cyberprzestępczością udostępniają materiały edukacyjne i ogłoszenia o taktykach organów ścigania, aby zapobiec złapaniu innych.

Wykorzystanie sztucznej inteligencji do podniesienia poziomu oszustów niskiego szczebla: Wiele grup ransomware szybko się rozwija dzięki swoim zasobom programistycznym, a dobrzy programiści mogą wykorzystać sztuczną inteligencję do zwiększenia wydajności i zwiększenia produktywności. Może to podnieść zarówno oszustów niskiego, jak i średniego poziomu do zaawansowanego stanu, czyniąc cały krajobraz cyberprzestępczości jeszcze bardziej groźnym. Co najmniej ułatwi to jeszcze więcej prób oszustw, jeszcze bardziej zalewając organizacje atakami, które nieuchronnie mogą się przedostać.

Pozostań czujny i chroniony

Nie ma jednego rozwiązania, które ochroni organizacje przed tymi dobrze zorganizowanymi grupami hakerskimi. Zamiast tego, rozumiejąc, jak działają, co je motywuje i jak aktywnie atakują organizacje, możesz podejmować bardziej świadome decyzje, opracowując kompleksową strategię odporności cybernetycznej.

Pamiętaj, że w większości przypadków ci aktorzy zagrożeń nadal próbują wykorzystać organizacje o słabych postawach bezpieczeństwa. Jeśli dołożysz należytej staranności, aby skutecznie zabezpieczyć swoje dane, zarządzać swoimi aktywami i zminimalizować ryzyko, jakie stanowią Twoi pracownicy, możesz uniknąć stania się celem ataku. W tym celu powinieneś zabezpieczyć swoją firmę za pomocą skutecznego systemu antywirusowego. Produkty z linii Bitdefender GravityZone, to wielokrotnie nagradzane systemy bezpieczeństwa, które chronią miliony użytkowników na całym świecie. Jeśli chcesz poznać możliwości produktów Bitdefender, to sprawdź tę stronę.


Autor


Piotr R

Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy