Το δεύτερο τρίμηνο του 2017 είδαμε εξελιγμένους απειλητικούς φορείς να εξαπολύουν πληθώρα νέων και βελτιωμένων κακόβουλων εργαλείων, συμπεριλαμβανομένων τριών zero-day exploits και δύο πρωτοφανών επιθέσεων: τις WannaCry και ExPetr. Η ανάλυση των τελευταίων δύο επιθέσεων από τους ειδικούς υποδεικνύει ότι ο κώδικας μπορεί να είχε δραπετεύσει και να κυκλοφορούσε ελεύθερος πριν να είναι πλήρως έτοιμος, μια ασυνήθιστη κατάσταση για επιτιθέμενους που διαθέτουν επαρκείς πόρους. Αυτές και άλλες τάσεις καλύπτονται από την τελευταία τριμηναία αναφορά των ειδικών της Kaspersky Lab.

Από τον Απρίλιο μέχρι και το τέλος Ιουνίου παρατηρήθηκαν σημαντικές εξελίξεις στις στοχευμένες επιθέσεις στη Ρωσία, την Αγγλία, την Κορέα και την Κίνα μεταξύ άλλων. Αυτές οι εξελίξεις έχουν σημαντικές επιπτώσεις στην ασφάλεια των πληροφοριακών συστημάτων των επιχειρήσεων: ανεπτυγμένη κακόβουλη δραστηριότητα συμβαίνει συνεχώς σχεδόν σε όλα τα μήκη και πλάτη του κόσμου, αυξάνοντας το ρίσκο των επιχειρήσεων και των μη κερδοσκοπικών οργανισμών, καθιστώντας τους παράλληλες απώλειες στον ψηφιακό πόλεμο. Οι καταστροφικές επιθέσεις WannaCry και ExPetr – που εικάζεται ότι προκλήθηκαν από κρατικούς οργανισμούς – στα θύματα των οποίων περιλαμβάνονται αρκετές επιχειρήσεις και οργανισμοί σε ολόκληρο τον κόσμο, ήταν τα πρώτα αλλά κατά πάσα πιθανότητα όχι και τα τελευταία παραδείγματα της νέας επικίνδυνης τάσης.

Στα κυριότερα σημεία του δεύτερου τριμήνου του 2017 περιλαμβάνονται:

• Τρία zero–day exploits για Windows χρησιμοποιήθηκαν ελεύθερα στο Διαδίκτυο από τους ρωσόφωνους απειλητικούς φορείς Sofacy και Turla. Το Sofacy, επίσης γνωστό ως APT28 ή FancyBear, ανέπτυξε τα exploits που χρησιμοποιήθηκαν ενάντια σε ένα μεγάλο εύρος Ευρωπαϊκών στόχων, συμπεριλαμβανομένων κρατικών και πολιτικών οργανισμών. Ο απειλητικός παράγοντας παρατηρήθηκε επίσης με τη δοκιμή ορισμένων πειραματικών εργαλείων, κυρίως εναντίον ενός μέλους γαλλικού πολιτικού κόμματος πριν από τις γαλλικές εθνικές εκλογές.
• Gray Lambert – Η Kaspersky Lab ανέλυσε το πιο ανεπτυγμένο εργαλείο μέχρι σήμερα για τον όμαδα Lamberts, μία αρκετά εξελιγμένη και περίπλοκη αγγλόφωνη οικογένεια προγραμμάτων ψηφιακής κατασκοπείας. Δύο νέες «συγγενικές» οικογένειες κακόβουλου λογισμικού ταυτοποιήθηκαν.
• Η επίθεση του WannaCry στις 12 Μαΐου και η επίθεση του ExPetr στις 27 Ιουνίου. Ενώ είναι πολύ διαφορετικές στη φύση και τους στόχους τους, και οι δύο ήταν εκπληκτικά αναποτελεσματικές ως «ransomware». Για παράδειγμα, στην περίπτωση του WannaCry, η ταχεία παγκόσμια εξάπλωση και το υψηλό προφίλ του έφεραν στο επίκεντρο της προσοχής τη συλλογή Bitcoin από τους επιτιθέμενους, καθιστώντας τη διαδικασία εξαιρετικά δύσκολη. Αυτό υποδηλώνει ότι ο πραγματικός στόχος της επίθεσης WannaCry ήταν η καταστροφή δεδομένων. Οι ειδικοί της Kaspersky Lab ανακάλυψαν περαιτέρω δεσμούς μεταξύ του Lazarus Group και του WannaCry. Το μοτίβο καταστροφικού κακόβουλου λογισμικού μεταμφιεσμένου ως ransomware εμφανίστηκε και πάλι στην επίθεση ExPetr.
• Ο ExPetr, με στόχο οργανισμούς στην Ουκρανία, τη Ρωσία και αλλού στην Ευρώπη, εμφανίστηκε ως ransomware, αλλά αποδείχθηκε καθαρά καταστροφικός. Το κίνητρο πίσω από τις επιθέσεις του ExPetr παραμένει ένα μυστήριο. Οι ειδικοί της Kaspersky Lab έχουν δημιουργήσει μια σύνδεση χαμηλής αξιοπιστίας με τον απειλητικό φορέα γνωστό ως Black Energy.

 «Διατηρήσαμε εδώ και καιρό τη σπουδαιότητα της πραγματικά παγκόσμιας Πληροφόρησης απειλών για την ενίσχυση των “υπερασπιστών” των ευαίσθητων και κρίσιμων δικτύων. Συνεχίζουμε να είμαστε μάρτυρες της ανάπτυξης υπεράριθμων επιτιθέμενων χωρίς να λαμβάνουμε υπόψη την «υγεία» του Διαδικτύου και εκείνων που βρίσκονται σε ζωτικά ιδρύματα και επιχειρήσεις που βασίζονται σε αυτό καθημερινά. Καθώς η ψηφιακή κατασκοπεία, η δολιοφθορά και το έγκλημα εξαντλούνται, είναι πολύ σημαντικό για τους “υπερασπιστές” να συσπειρώνονται και να μοιράζονται γνώσεις αιχμής για την καλύτερη προστασία τους από όλες τις απειλές», δήλωσε ο Juan Andres Guerrero-Saade, Παγκόσμια Ομάδα Έρευνας και Ανάλυσης, Kaspersky Lab.

Η έκθεση Q2 APT Trends συνοψίζει τα συμπεράσματα ειδικών εκθέσεων της Kaspersky Lab μόνο για συνδρομητές. Κατά τη διάρκεια του δεύτερου τριμήνου του 2017, η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab δημιούργησε 23 ιδιωτικές αναφορές για συνδρομητές, με δεδομένα Δεικτών Συμβιβασμού και κανόνες YARA για να βοηθήσουν στη συλλογή εγκληματολογικών στοιχείων και το κυνήγι κακόβουλου λογισμικού.

Σε απάντηση στις αυξανόμενες ψηφιακές προκλήσεις που αντιμετωπίζει η βιομηχανία των συνδεδεμένων και αυτόνομων αυτοκινήτων, η Kaspersky Lab και η AVL Software and Functions GmbH παρουσίασαν χτες τη Μονάδα Ασφαλούς Επικοινωνίας (Secure Communication Unit – SCU) στο πλαίσιο του New Mobility World/IAA 2017 που πραγματοποιήθηκε στην Φρανκφούρτη. Η πρωτότυπη λύση ασφάλειας αποδεικνύει τις δυνατότητες επικοινωνίας μεταξύ των εξαρτημάτων του αυτοκινήτου, του αυτοκινήτου του ίδιου και της εξωτερικά συνδεδεμένης υποδομής του, καθιστώντας τα συνδεδεμένα αυτοκίνητα ασφαλή από κατασκευής (secure-by-design).

Με κάθε γενιά, τα αυτοκίνητα ενσωματώνουν νέες «έξυπνες» τεχνολογίες για απομακρυσμένη διάγνωση, τηλεματική, αυτοματοποιημένη και αυτόνομη οδήγηση, απομακρυσμένη βοήθεια οδηγού και infotainment. Με βάση τους ηλεκτρομηχανικούς ενεργοποιητές οχημάτων, τα χειριστήρια αυτοκινήτων γίνονται όλο και πιο περίπλοκα ψηφιακά και παράλληλα φυσικά συστήματα με πολλούς αισθητήρες, χειριστήρια, εφαρμογές, υποδίκτυα και μονάδες επικοινωνίας που αλληλεπιδρούν με άλλα οχήματα και το περιβάλλον τους. Οι λειτουργίες τους μπορούν να ελέγχονται εξ αποστάσεως μέσω ψηφιακών συστημάτων. Εξαιτίας αυτού, τα συνδεδεμένα αυτοκίνητα αποτελούν ολοένα και περισσότερο στόχο ψηφιακών εγκληματιών.

Ο αυξανόμενος αριθμός εφαρμογών τρίτων κατασκευαστών και η πολυπλοκότητα του συστήματος στα συνδεδεμένα αυτοκίνητα, καθώς και η αυξανόμενη δυναμική των κύκλων ενημέρωσης λογισμικού που χρησιμοποιούν ενημερώσεις “over-the-air”, καθιστούν δύσκολη τη δοκιμή του πλήρους συστήματος ώστε οι κατασκευαστές να είναι βέβαιοι ότι δεν υπάρχουν σφάλματα, με αποτέλεσμα τα backdoors και τα αρχιτεκτονικά θέματα να παραβλέπονται. Ο ρόλος της Μονάδας Ασφαλούς Επικοινωνίας είναι να καταστήσει τα συνδεδεμένα αυτοκίνητα secure-by-design, ανεξάρτητα από το λογισμικό και τα συστήματα τρίτων που μπορεί να είναι εγκατεστημένα. Το SCU είναι μια πύλη επικοινωνίας της μονάδας ελέγχου, συνδεδεμένη με διάφορα υποδίκτυα ή/και ελεγκτές πύλης στα υποδίκτυα αυτά εντός του δικτύου του αυτοκινήτου, ενεργώντας ως μία ενιαία ασφαλής πύλη για εισερχόμενες και εξερχόμενες ροές επικοινωνίας. Με βάση την επιβολή της πολιτικής ασφάλειας και τον ισχυρό διαχωρισμό για την αποτροπή ανεπιθύμητης επαφής μεταξύ των διαφόρων εξαρτημάτων του αυτοκινήτου, το λογισμικό βοηθάει στην εξασφάλιση κατάλληλων επικοινωνιών που προστατεύονται από παρεμβολές εντός του δικτύου του αυτοκινήτου.

Η αξιόπιστη πλατφόρμα λογισμικού SCU αποτελείται από εξαρτήματα ασφάλειας που είναι αξιόπιστα by-design. Πρώτον, το ιδιόκτητο λειτουργικό σύστημα microkernel (KasperskyOS) βασίζεται σε καθιερωμένες αρχές ανάπτυξης με γνώμονα την ασφάλεια και είναι ειδικά σχεδιασμένο για ενσωματωμένα συστήματα με αυστηρές απαιτήσεις ψηφιακής ασφάλειας. Το KasperskyOS απομακρύνει την πιθανότητα μη δικαιολογημένης λειτουργικότητας και έτσι μετριάζει τον κίνδυνο ψηφιακών επιθέσεων: ακόμη κι αν ενσωματωθεί ένας μη εξουσιοδοτημένος κώδικας, δεν θα εκτελεστεί επειδή, εξ ορισμού, απαγορεύεται αυτή η μη τεκμηριωμένη λειτουργία. Άλλα εργαλεία περιλαμβάνουν μια μηχανή πολιτικής ασφάλειας (Kaspersky Security System), ορίζοντας το συγκεκριμένο πεδίο εφαρμογής και το χαρακτήρα της αλληλεπίδρασης μεταξύ των διαφόρων εξαρτημάτων και ενός πλαισίου αξιόπιστων καναλιών με ένα σύνολο αλγορίθμων κρυπτογράφησης, καθώς και υπηρεσίες προστασίας χαμηλού επιπέδου που βασίζονται στις δυνατότητες του hardware.

Η πρωτότυπη μονάδα SCU υλοποιείται υποδειγματικά σε ARMv7 αρχιτεκτονική με προτεινόμενη μνήμη RAM 128 MB και IOMMU. Άλλες πλατφόρμες HW μπορούν να αναπτυχθούν κατά περίπτωση, σύμφωνα με τις απαιτήσεις του εκάστοτε κατασκευαστή.

Ο Andrey Doukhvalov, Head of Future Technologies and Chief Security Architect της Kaspersky Lab, σχολιάζει: «Με το σύγχρονο αυτοκινητιστικό οικοσύστημα να γίνεται όλο και πιο σύνθετο και αλληλένδετο, δεν προκαλεί έκπληξη το γεγονός ότι οι καταναλωτές και η ίδια η αυτοκινητοβιομηχανία ανησυχούν για την ψηφιακή ασφάλεια. Ενώ οι ευκαιρίες και τα οφέλη είναι προφανή, εξακολουθεί να υπάρχει ανάγκη να καταστούν ασφαλή τα συστήματα του αυτοκινήτου. Για τον λόγο αυτό κάνουμε ένα μεγάλο βήμα προς τα εμπρός με το πρωτότυπό μας για ασφαλείς επικοινωνίες σε αυτοκίνητα, ώστε να διασφαλίσουμε ότι οι δυνατότητες συνδεσιμότητας δεν θα μετατραπούν σε αποτυχίες».

Η πλατφόρμα παρέχει το πλαίσιο λύσεων για ειδικές εξατομικευμένες εφαρμογές, επιτρέποντας στους κατασκευαστές αυτοκινήτων να αναπτύσσουν και να εφαρμόζουν μοναδικές μονάδες SCU στα αυτοκίνητά τους, βασισμένες σε συγκεκριμένο hardware και πρόσθετα στοιχεία λογισμικού σε ευθυγράμμιση με τα κατασκευαστικά τους σχέδια. Η SCU είναι διαθέσιμη για κατασκευαστές OEM, ODM, ολοκληρωτές συστημάτων και προγραμματιστές λογισμικού σε όλο τον κόσμο.

Η ESET έδωσε σήμερα στη δημοσιότητα στοιχεία σχετικά με την ανακάλυψη ενός νέου, προηγμένου backdoor που χρησιμοποιείται από την περιβόητη ομάδα κυβερνοεγκληματιών Turla. Οι ερευνητές της ESET είναι οι πρώτοι που εντοπίζουν αυτό το πρόσφατο backdoor, γνωστό ως Gazer, το οποίο εξελίσσεται διαρκώς από το 2016, στοχεύοντας σε θεσμικά όργανα στην Ευρώπη.

Τυπικά χαρακτηριστικά της ομάδας Turla

Στοχεύοντας σε κυβερνήσεις στην Ευρώπη και πρεσβείες σε όλο τον κόσμο εδώ και πολλά χρόνια, η ομάδα κατασκοπείας Turla είναι γνωστή για τις επιθέσεις τύπου «watering hole» και τις εκστρατείες spearphishing που χρησιμοποιεί στα θύματά της.

Οι ερευνητές της ESET έχουν καταγράψει ότι το Gazer, το backdoor που πρόσφατα ανακαλύφθηκε, έχει μολύνει αρκετούς υπολογιστές σε όλο τον κόσμο, με ένα μεγάλο μέρος των επιθέσεων να έχει στοχεύσει τη νοτιοανατολική Ευρώπη.

«Οι τακτικές, οι τεχνικές και οι διαδικασίες που συναντήσαμε εδώ είναι όμοιες με αυτές που συνήθως βλέπουμε στη δράση της ομάδας Turla», δήλωσε ο Jean-Ian Boutin, Senior Malware Researcher στην ESET. «Αρχικά εγκαταστάθηκε ένα πρώτο backdoor, δηλαδή το Skipper, πιθανά χρησιμοποιώντας τεχνικές spearphishing, και στη συνέχεια εμφανίστηκε το δεύτερο backdoor στο παραβιασμένο σύστημα, στη συγκεκριμένη περίπτωσή το Gazer.»

Ανιχνεύοντας ένα backdoor που χρησιμοποιεί τεχνικές αποφυγής εντοπισμού

Όπως και τα άλλα εργαλεία που χρησιμοποιεί η ομάδα Turla για να εγκαταστήσει τα δεύτερα backdoor, όπως τα Carbon και Kazuar, το Gazer λαμβάνει κρυπτογραφημένες εντολές από ένα C&C server, που μπορούν να εκτελεστούν είτε σε ήδη μολυσμένο μηχάνημα είτε σε άλλο μηχάνημα στο δίκτυο.

Οι δημιουργοί του Gazer κάνουν επίσης εκτεταμένη χρήση της δικής τους προσαρμοσμένης κρυπτογράφησης, χρησιμοποιώντας τη δική τους βιβλιοθήκη με αλγόριθμους 3DES ή RSA. Τα κλειδιά RSA που βρίσκονται ενσωματωμένα στα backdoor περιέχουν το δημόσιο κλειδί του διακομιστή ελέγχου του εισβολέα και ένα ιδιωτικό κλειδί.

Αυτά τα κλειδιά είναι μοναδικά για κάθε δείγμα και χρησιμοποιούνται για την κρυπτογράφηση και αποκρυπτογράφηση των δεδομένων που στέλνονται/λαμβάνονται από/προς τον C&C server. Επιπλέον, η περιβόητη ομάδα Turla εμφανίστηκε να χρησιμοποιεί ένα εικονικό σύστημα αρχείων στο μητρώο των Windows για να αποφεύγει τα antivirus και να συνεχίζει να επιτίθεται στο σύστημα.

 «Η ομάδα Turla κάνει τα πάντα για να αποφύγει τον εντοπισμό σε ένα σύστημα», συμπληρώνει ο Boutin. «Η ομάδα αρχικά σβήνει αρχεία από παραβιασμένα συστήματα και στη συνέχεια μετασχηματίζει τις συμβολοσειρές και χρησιμοποιώντας διάφορες εκδόσεις backdoor τροποποιεί τα κείμενα σε εφαρμογές με τυχαίο τρόπο.

Σε αυτήν την τελευταία περίπτωση, οι δημιουργοί του Gazer άλλαξαν το κείμενο και εισήγαγαν γραμμές από βιντεοπαιχνίδια όπως «Only single player is allowed». Η ανακάλυψη αυτού του νέου και αχαρτογράφητου backdoor από την ομάδα ερευνητών της ESET σηματοδοτεί ένα σημαντικό βήμα προς τη σωστή κατεύθυνση για την αντιμετώπιση του αυξανόμενου προβλήματος της κυβερνο-κατασκοπείας στον σημερινό ψηφιακό κόσμο.»

Για περισσότερες τεχνικές λεπτομέρειες σχετικά με το νέο backdoor της ομάδας Turla επισκεφθείτε το σχετικό blogpost ή κατεβάστε ολόκληρο το white paper από το WeLiveSecurity.com.

Η Ομάδα Anti-Malware Έρευνας της Kaspersky Lab αναγνώρισε δύο botnets υπολογιστών που έχουν «μολυνθεί» με κακόβουλο λογισμικό, τα οποία μυστικά εγκαθιστούν cryptocurrency miners – νόμιμο λογισμικό που χρησιμοποιείται για την εξόρυξη (“mine”) εικονικών νομισμάτων βάσει της blockchain τεχνολογίας. Στη μία περίπτωση οι ερευνητές ήταν σε θέση να υπολογίσουν ότι ένα δίκτυο 4.000 υπολογιστών μπορεί να αποφέρει στους κατόχους του μέχρι και 30.000$ τον μήνα και σε άλλη περίσταση οι ερευνητές έγιναν μάρτυρες ενός ‘’τζακ ποτ’’ που ξεπερνούσε τα 200.000$ από ένα PC botnet 5.000 υπολογιστών.

Η αρχιτεκτονική του Bitcoin και άλλων cryptocurrencies υποδηλώνει ότι εκτός από την αγορά cryptocurrency, ο χρήστης μπορεί να δημιουργήσει μια νέα νομισματική μονάδα (ή κέρμα) χρησιμοποιώντας την υπολογιστική ισχύ υπολογιστών που διαθέτουν εξειδικευμένο λογισμικό για “mining”. Την ίδια στιγμή, σύμφωνα με την ιδέα που κρύβεται πίσω από τα cryptocurrencies, όσα περισσότερα νομίσματα παράγονται, τόσος περισσότερος χρόνος και υπολογιστική δύναμη απαιτούνται για να δημιουργήσεις ένα νέο νόμισμα. Πριν από μερικά χρόνια, το κακόβουλο λογισμικό εγκαθιστούσε μυστικά Bitcoin miners (που χρησιμοποιούν τους υπολογιστές των θυμάτων για την εξόρυξη νομισμάτων για ψηφιακούς εγκληματίες), συνηθισμένη πρακτική στο τοπίο των απειλών, αλλά όσα περισσότερα Bitcoins εξορύσσονταν, τόσο πιο δύσκολη γινόταν η εξόρυξη καινούριων και σε μερικές περιπτώσεις αυτή η μέθοδος δεν ήταν χρήσιμη: το πιθανό οικονομικό όφελος που μπορούσε να έχει ένας εγκληματίας από μια προσπάθεια εξόρυξης bitcoin δεν κάλυπτε τις επενδύσεις που απαιτούνταν για τη δημιουργία και τη διανομή κακόβουλου λογισμικού αλλά και το σύστημα υποστήριξης της υποδομής.

Ωστόσο, η τιμή του Bitcoin – του πρώτου και πιο δημοφιλούς cryptocurrency – το οποίο έχει εκτοξευθεί τα τελευταία χρόνια από εκατοντάδες σε χιλιάδες δολάρια για κάθε νόμισμα, πυροδότησε έναν πραγματικό “cryptocurrency πυρετό” σε ολόκληρο τον κόσμο. Εκατοντάδες ενθουσιώδεις ομάδες και startups έχουν αρχίσει να παρουσιάζουν τις δικές τους εναλλακτικές για Bitcoins, πολλές από τις οποίες κέρδισαν επίσης σημαντική αγοραία αξία σε σχετικά σύντομο χρονικό διάστημα.

Αυτές οι αλλαγές στην αγορά των cryptocurrency έχουν αναπόφευκτα ‘’τραβήξει’’ την προσοχή των ψηφιακών εγκληματιών, οι οποίοι τώρα στρέφονται σε συστήματα απάτης που καταφέρνουν αθόρυβα να εγκαθιστούν λογισμικό εξόρυξης cryptocurrency σε χιλιάδες υπολογιστές.

Βασισμένοι σε αποτελέσματα πρόσφατων ερευνών που πραγματοποίησαν οι ειδικοί της Kaspersky Lab, οι εγκληματίες που κρύβονται πίσω από τα προσφάτως ανακαλυφθέντα botnets διανέμουν το λογισμικό εξόρυξης με τη βοήθεια προγραμμάτων adware και με τον τρόπο αυτό τα θύματά τους το εγκαθιστούν οικειοθελώς. Αφού εγκατασταθεί το πρόγραμμα adware στον υπολογιστή του θύματος, ‘’κατεβάζει’’ ένα κακόβουλο εργαλείο: Το miner installer. Αυτό το εργαλείο εγκαθιστά το πρόγραμμα εξόρυξης και στη συνέχεια εκτελεί κάποιες δραστηριότητες για να επιβεβαιώσει ότι το miner θα λειτουργεί σωστά για όσο το δυνατόν περισσότερο. Αυτές οι διαδικασίες περιλαμβάνουν:

• Προσπάθεια απενεργοποίησης του λογισμικού ασφάλειας.
• Παρακολούθηση όλων των εφαρμογών εκκίνησης και αναστολή των δικών τους δραστηριοτήτων αν ξεκινήσει ένα πρόγραμμα που παρακολουθεί τις δραστηριότητες του συστήματος ή τις τρέχουσες διαδικασίες.
• Διασφάλιση της παρουσίας ενός τουλάχιστον λογισμικού εξόρυξης στον σκληρό δίσκο και επαναφορά του σε περίπτωση που διαγραφεί.

Όταν πραγματοποιηθεί η εξόρυξη των πρώτων νομισμάτων, μεταφέρονται σε ηλεκτρονικά πορτοφόλια που ανήκουν στους εγκληματίες, αφήνοντας τα θύματα με έναν αναπάντεχα υπολειτουργικό υπολογιστή και με ελαφρώς υψηλότερους λογαριασμούς ηλεκτρικού ρεύματος από ό,τι συνήθως. Σύμφωνα με τις παρατηρήσεις της Kaspersky Lab, οι εγκληματίες προσπαθούν να εξορύξουν δύο cryptocurrencies: το Zcash και το Monero. Αυτά τα συγκεκριμένα νομίσματα πιθανών να επιλέχτηκαν διότι παρέχουν έναν αξιόπιστο τρόπο για να παραμείνουν ανώνυμες οι μεταφορές από και προς τα ηλεκτρονικά πορτοφόλια των κατόχων.

Τα πρώτα σημάδια επιστροφής των κακόβουλων miners εντοπίστηκαν από την Kaspersky Lab ήδη από τον Δεκέμβριο του 2016, όταν ένας ερευνητής της εταιρείαςανέφερε τουλάχιστον 1.000 υπολογιστές που είχαν «μολυνθεί» από κακόβουλο λογισμικό, το οποίο έκανε εξόρυξη του Zcash – ένα cryptocurrency που παρουσιάστηκε στα τέλη Οκτωβρίου 2016. Την περίοδο αυτή – χάρη στην τιμή του Zcash που αναπτύσσεται ταχέως – το botnet αυτό θα μπορούσε να φέρει στους ιδιοκτήτες του μέχρι και $6.000 την εβδομάδα. Τότε, έγινε πρόβλεψη για εμφάνιση νέων mining botnets, με τα αποτελέσματα πρόσφατων ερευνών να αποδεικνύουν ότι η πρόβλεψη αυτή ήταν σωστή.

 «Το μεγαλύτερο πρόβλημα με τα κακόβουλα miners είναι ότι είναι πραγματικά δύσκολο να ανιχνεύσουμε αξιόπιστα μια τέτοια δραστηριότητα, επειδή το κακόβουλο λογισμικό χρησιμοποιεί πλήρως νόμιμο λογισμικό εξόρυξης, το οποίο σε κανονική κατάσταση θα μπορούσε επίσης να εγκατασταθεί από έναν νόμιμο χρήστη. Ένα άλλο ανησυχητικό γεγονός που εντοπίσαμε κατά την παρατήρηση αυτών των δύο νέων botnet, είναι ότι τα κακόβουλα miners καθίστανται τα ίδια πολύτιμα στην υπόγεια αγορά. Έχουμε δει τους εγκληματίες να προσφέρουν τους λεγόμενους «δημιουργούς miner»: λογισμικό το οποίο επιτρέπει σε οποιονδήποτε είναι πρόθυμος να πληρώσει για την πλήρη έκδοση, να δημιουργήσει το δικό του botnet εξόρυξης. Αυτό σημαίνει ότι τα botnets που έχουμε εντοπίσει προσφάτως δεν θα είναι και τα τελευταία», δήλωσε ο Evgeny Lopatin, αναλυτής κακόβουλου λογισμικού της Kaspersky Lab.

Σε γενικές γραμμές, ο αριθμός των χρηστών που αντιμετώπισαν cryptocurrency miners έχει αυξηθεί δραματικά τα τελευταία χρόνια. Για παράδειγμα, το 2013, τα προϊόντα της Kaspersky Lab προστάτευσαν περίπου 205.000 χρήστες σε παγκόσμιο επίπεδο, όταν δέχτηκαν επίθεση από τέτοιου είδους απειλή. Το 2014, ο αριθμός αυξήθηκε σε 701.000 και ο αριθμός των προσβεβλημένων χρηστών κατά τους πρώτους οκτώ μήνες του 2017 έφθασε τα 1,65 εκατομμύρια.

Αριθμός των χρηστών που προστάτευσε η Kaspersky Lab από κακόβουλα cryptocurrency miners από το 2011 μέχρι το 2017

Προκειμένου να αποφευχθεί να μετατραπεί ο υπολογιστής τους σε ζόμπι συλλογής ηλεκτρικού ρεύματος, ο οποίος εργάζεται σκληρά για να κερδίσει χρήματα για εγκληματίες, οι ερευνητές της Kaspersky Lab συμβουλεύουν τους χρήστες να ακολουθήσουν τα παρακάτω μέτρα:

• Μην εγκαταστήσετε ύποπτο λογισμικό από μη αξιόπιστες πηγές στον υπολογιστή σας
• Η λειτουργία ανίχνευσης adware ενδέχεται να απενεργοποιηθεί από προεπιλογή στη λύση ασφάλειας. Βεβαιωθείτε ότι την έχετε ενεργοποιημένη
• Χρησιμοποιήστε μια αποδεδειγμένη λύση διαδικτυακής ασφαλείας για να προστατεύσετε το ψηφιακό σας περιβάλλον από όλες τις πιθανές απειλές, συμπεριλαμβανομένων των κακόβουλων miners.
• Αν χρησιμοποιείτε server, βεβαιωθείτε ότι προστατεύεται με μια λύση ασφάλειας, καθώς οι servers είναι επικερδείς στόχοι για εγκληματίες χάρη στην υψηλή υπολογιστική τους απόδοση (σε σύγκριση με τον μέσο υπολογιστή)

Τα προϊόντα της Kaspersky Lab ανιχνεύουν και εμποδίζουν με επιτυχία το κακόβουλο λογισμικό που διαδίδει κακόβουλο λογισμικό εξόρυξης με τα ακόλουθα ονόματα ανίχνευσης:

• RiskTool.Win32.BitCoinMiner.hxao
• PDM:Trojan.Win32.Generic

Περισσότερες πληροφορίες για τα κακόβουλα botnets εξόρυξης μπορείτε να βρείτε στον ειδικό ιστότοπο Securelist.com.

Ενώ οι ερευνητές της Kaspersky Lab ανέλυαν πολλαπλές εκστρατείες ψηφιακής κατασκοπείας και ψηφιακών εγκληματιών, εντόπισαν μια νέα, ανησυχητική τάση: οι κακόβουλοι χάκερ χρησιμοποιούν όλο και περισσότερο την τακτική της στεγανογραφίας – ψηφιακή έκδοση μιας αρχαίας τεχνικής απόκρυψης μηνυμάτων μέσα σε εικόνες – με στόχο την απόκρυψη των ιχνών της κακόβουλης δραστηριότητας τους σε έναν υπολογιστή που έχει δεχτεί επίθεση. Ένας αριθμός λειτουργιών κακόβουλου λογισμικού που στοχεύουν στην ψηφιακή κατασκοπεία και πολλά παραδείγματα κακόβουλου λογισμικού που δημιουργήθηκαν για να κλέψουν οικονομικές πληροφορίες έχουν πρόσφατα εντοπιστεί να αξιοποιούν την τεχνική αυτή.

Όπως διαπιστώθηκε σε μια τυπική στοχευμένη ψηφιακή επίθεση, ένας φορέας απειλής – όταν βρισκόταν στο εσωτερικό του δικτύου που δεχόταν επίθεση – θα αποκτούσε πρόσβαση και στη συνέχεια θα συνέλεγε πολύτιμες πληροφορίες για να μεταφερθεί αργότερα στον command and control server. Στις περισσότερες περιπτώσεις, αποδεδειγμένες λύσεις ασφάλειας ή επαγγελματικές αναλύσεις ασφάλειας είναι σε θέση να εντοπίσουν την παρουσία του φορέα απειλής στο δίκτυο σε κάθε στάδιο μιας επίθεσης, συμπεριλαμβανομένου του σταδίου της εκδιήθησης. Αυτό οφείλεται στο γεγονός ότι το κομμάτι της εκδιήθησης συνήθως αφήνει ίχνη, για παράδειγμα συνδέσεις σε άγνωστη διεύθυνση IP ή σε IP που βρίσκεται σε μαύρη λίστα. Ωστόσο, όταν πρόκειται για επιθέσεις που χρησιμοποιείται στεγανογραφία, η ανίχνευση της εκδιήθησης δεδομένων γίνεται μια πραγματικά δύσκολη υπόθεση.

Σε αυτό το σενάριο, οι κακόβουλοι χρήστες εισάγουν τις πληροφορίες που πρέπει να κλαπούν ακριβώς μέσα στον κώδικα μιας ασήμαντης οπτικής εικόνας ή αρχείου βίντεο που στη συνέχεια αποστέλλονται στον C & C. Επομένως, είναι απίθανο ένα τέτοιο γεγονός να μπορούσε να πυροδοτήσει συναγερμούς ασφάλειας ή τεχνολογία προστασίας δεδομένων. Αυτό συμβαίνει επειδή μετά την τροποποίηση από τον εισβολέα, η ίδια η εικόνα δεν θα αλλάξει οπτικά και το μέγεθός της και οι περισσότερες άλλες παράμετροι επίσης δεν θα μεταβληθούν και συνεπώς δεν προκαλούν ανησυχίες. Αυτό καθιστά την στεγανογραφία μια προσοδοφόρα τεχνική για τους κακόβουλους φορείς, όταν πρόκειται να επιλέξουν τον τρόπο απομάκρυνσης δεδομένων από ένα δίκτυο που έχει δεχτεί επίθεση.

Τους τελευταίους μήνες, οι ερευνητές της Kaspersky Lab έχουν παρακολουθήσει τουλάχιστον τρεις επιχειρήσεις ψηφιακής κατασκοπείας που έκαναν χρήση της τεχνικής αυτής. Πιο ανησυχητικά, η τεχνική υιοθετείται επίσης ενεργά και από τους τακτικούς ψηφιακούς εγκληματίες, όχι μόνο από φορείς ψηφιακής κατασκοπείας. Οι ερευνητές της Kaspersky Lab έχουν δει ότι χρησιμοποιούνται σε αναβαθμισμένες εκδόσεις Trojan, συμπεριλαμβανομένων των Zerp, ZeusVM, Kins, Triton και άλλων. Οι περισσότερες από αυτές τις οικογένειες κακόβουλου λογισμικού στοχοποιούν γενικά χρηματοπιστωτικούς οργανισμούς και χρήστες χρηματοπιστωτικών υπηρεσιών. Το τελευταίο θα μπορούσε να είναι ένα σημάδι της επικείμενης μαζικής υιοθέτησης της τεχνικής από δημιουργούς κακόβουλου λογισμικού και – ως αποτέλεσμα – γενικά αυξημένη πολυπλοκότητα ανίχνευσης κακόβουλου λογισμικού.

 «Αν και δεν είναι η πρώτη φορά που παρατηρούμε μια κακόβουλη τεχνική αρχικά χρησιμοποιούμενη από εξελιγμένους απειλητικούς φορείς, να βρίσκεται στο επικίνδυνο τοπίο κακόβουλου λογισμικού, η περίπτωση της στεγανογραφίας είναι ιδιαίτερα σημαντική. Μέχρι στιγμής, ο κλάδος ασφάλειας δεν έχει βρει έναν τρόπο για την αξιόπιστη ανίχνευση της εκδιήθησης δεδομένων που διεξάγεται με αυτόν τον τρόπο. Οι εικόνες που χρησιμοποιούν οι επιτιθέμενοι ως εργαλείο μεταφοράς για κλεμμένες πληροφορίες είναι πολύ μεγάλες και παρόλο που υπάρχουν ορισμένοι αλγόριθμοι που θα μπορούσαν να ανιχνεύσουν αυτόματα την τεχνική, η υλοποίησή τους σε μαζική κλίμακα θα απαιτούσε τόνους υπολογιστικής ισχύος και το κόστος θα ήταν απαγορευτικό».

 «Από την άλλη πλευρά, είναι σχετικά εύκολο να εντοπιστεί μια εικόνα “φορτωμένη” με κλεμμένα ευαίσθητα δεδομένα με τη βοήθεια χειρωνακτικής ανάλυσης. Ωστόσο, αυτή η μέθοδος έχει περιορισμούς, καθώς ο αναλυτής ασφάλειας θα μπορούσε να αναλύσει μόνο έναν πολύ περιορισμένο αριθμό εικόνων την ημέρα. Ίσως η απάντηση να είναι μία μίξη των δύο. Στην Kaspersky Lab, χρησιμοποιούμε έναν συνδυασμό τεχνολογιών για την αυτοματοποιημένη ανάλυση και την ανθρώπινη διάνοια για να αναγνωρίσουμε και να εντοπίσουμε τέτοιες επιθέσεις. Ωστόσο, υπάρχουν περιθώρια βελτίωσης σε αυτόν τον τομέα και ο στόχος των ερευνών μας είναι να προσελκύσουμε την προσοχή της βιομηχανίας στο πρόβλημα και να επιβάλουμε την ανάπτυξη αξιόπιστων αλλά οικονομικά προσιτών τεχνολογιών, επιτρέποντας τον προσδιορισμό της στεγανογραφίας σε επιθέσεις κακόβουλου λογισμικού», δήλωσε ο Alexey Shulmin, security researcher της Kaspersky Lab.

Για περισσότερες πληροφορίες σχετικά με τους τύπους στεγανογραφίας που χρησιμοποιούνται από τους κακόβουλους φορείς και τις πιθανές μεθόδους ανίχνευσης, μπορείτε να διαβάσετε το blogpost στον ειδικό ιστότοπο Securelist.com.

Το παλιό ρητό «δεν γνωρίζεις τι έχεις μέχρι να το χάσεις» μοιάζει πιο σχετικό από ποτέ στην ψηφιακή εποχή, σύμφωνα και με τη νέα έρευνα της Kaspersky Lab, η οποία δείχνει ότι, ενώ οι άνθρωποι ισχυρίζονται ότι κατανοούν την αξία των δεδομένων τους, στην πραγματικότητα δεν εκτιμούν τη σημασία τους μέχρι να τα χάσουν. Ακόμα και κρύος ιδρώτας μπορεί να λούσει τους ανθρώπους στη σκέψη ότι έχουν χάσει δεδομένα που προηγουμένως θεωρούσαν «ασήμαντα». Αυτά τα ευρήματα, τα οποία αποτελούν μέρος της έρευνας «My Precious Data» της Kaspersky Lab, αποκαλύπτουν πόσο δυσάρεστη είναι η απώλεια των δεδομένων – ακόμη και όταν τα δεδομένα αυτά δεν θεωρούνται αναγκαστικά «σημαντικά» ή ιδιαίτερα πολύτιμα από τον ιδιοκτήτη τους.  

Κατά τη διάρκεια της έρευνας, οι άνθρωποι συμφώνησαν ότι τα πιο προσωπικά σημαντικά στοιχεία τους («ιδιωτικές και ευαίσθητες φωτογραφίες και βίντεο») ήταν επίσης ο πιο τρομακτικός τύπος δεδομένων που μπορεί να χάσουν. Ωστόσο, αποδείχτηκε επίσης εκπληκτικά τραυματική ακόμα και η απώλεια δεδομένων που οι άνθρωποι μπορεί να θεωρούν λιγότερο σημαντικά. Για παράδειγμα, η προοπτική απώλειας στοιχείων επικοινωνίας θεωρείται ιδιαίτερα ανησυχητική για πολλούς, τοποθετώντας την στους τρεις πιο τρομακτικούς τύπους απώλειας δεδομένων, παρά το γεγονός ότι τα στοιχεία επικοινωνίας γενικά κατατάσσονται πολύ χαμηλότερα όσον αφορά στη «σημασία» των δεδομένων.

Η έρευνα αποκάλυψε με τον τρόπο αυτό τις αντιφάσεις όσον αφορά τη σημασία που αποδίδουν οι άνθρωποι στα δεδομένα τους και την πραγματικότητα της δυσφορίας που αντιμετωπίζουν όταν χάνουν δεδομένα που οι ίδιοι δεν θεωρούσαν αρχικά σημαντικά.

Στο πλαίσιο της έρευνας, η Kaspersky Lab συνεργάστηκε με ψυχολόγους από το Πανεπιστήμιο του Wuerzburg για να μετρήσει τις σωματικές αντιδράσεις των ανθρώπων στην απώλεια δεδομένων μέσα από μια σειρά τριών πειραμάτων. Ενώ οι ψυχολόγοι ανέμεναν να συναντήσουν πολύ ισχυρότερες αντιδράσεις στην απώλεια σημαντικών δεδομένων, εκπλήσσονταν ότι οι συμμετέχοντες έδειχναν σημάδια δυσφορίας ακόμα και στην απώλεια σχεδόν ασήμαντων για τους ίδιους δεδομένων.

Κατά τη διάρκεια της δοκιμασίας, οι ψυχολόγοι μετρούσαν την ηλεκτροδερμική δραστηριότητα (αλλαγές στους ιδρωτοποιούς αδένες του δέρματος), κι ενώ οι χρήστες ήταν πιο πιθανό να ιδρώσουν όταν πίστευαν ότι είχαν χάσει σημαντικά δεδομένα, τα επίπεδα ιδρώτα δεν ήταν τόσο χαμηλότερα στις περιπτώσεις που θεωρούσαν ότι είχαν χάσει λιγότερο σημαντικά δεδομένα.

Το ίδιο μοτίβο βρέθηκε και κατά τη διάρκεια των άλλων δύο πειραμάτων. Για παράδειγμα, οι θερμοκρασίες των άκρων της μύτης των ανθρώπων μειώθηκαν όταν προσομοιώθηκε η απώλεια σημαντικών δεδομένων. Αυτός ο φυσικός δείκτης του στρες έδειξε ότι οι ερωτηθέντες κυριολεκτικά «παγώνουν από το φόβο τους». Ωστόσο, η θερμοκρασία της άκρης της μύτης μειώθηκε ακόμα και στις περιπτώσεις που οι ερωτηθέντες πίστευαν ότι είχαν χάσει ασήμαντα δεδομένα και η διαφορά δεν ήταν τόσο μεγάλη όσο ανέμεναν οι ψυχολόγοι. Ομοίως, όταν μετρήθηκαν συστηματικές εκφράσεις προσώπου, το πείραμα εντόπισε εκφράσεις θλίψης όταν προσομοιώθηκε η απώλεια τόσο σημαντικών όσο και ασήμαντων δεδομένων.

Παρόλο που τα πειράματα έδειξαν ότι στην ιδέα της απώλειας δεδομένων κρύος ιδρώτας λούζει τους ανθρώπους και διακατέχονται από έντονη δυσφορία, η διαφορά στην ηλεκτροδερμική δραστηριότητα, οι θερμοκρασίες των άκρων της μύτης και οι εκφράσεις θλίψης ήταν εκπληκτικά μικρές όταν συγκρίνονταν η απώλεια σημαντικών και ασήμαντων δεδομένων. Αυτό καταδεικνύει ότι ακόμη και η απώλεια ασήμαντων  δεδομένων έχει αρνητικές σωματικές εκδηλώσεις, με τους ερωτηθέντες να συνειδητοποιούν πόσο σημαντικά είναι αυτά τα δεδομένα για τους ίδιους, όταν πίστευαν ότι τα είχαν χάσει.

Η Δρ. Astrid Carolus, Ψυχολόγος των Μέσων στο Πανεπιστήμιο του Wuerzburg, δήλωσε: «Το πείραμά μας δείχνει ότι οι άνθρωποι – τουλάχιστον μέχρι σήμερα – σπάνια θεωρούν τα δεδομένα τους πολύτιμα. Είναι μια από τις μελλοντικές μας προκλήσεις που θα βοηθήσουν τους ανθρώπους να καταλάβουν αυτό που οι εταιρείες γνωρίζουν ήδη: τα δεδομένα είναι πολύτιμα. Επομένως, είναι σημαντικό να επισημάνουμε τι αντιπροσωπεύουν τα δεδομένα και τι σημαίνουν για τους ανθρώπους προσωπικά. Για να εκτιμήσουν τα δεδομένα τους, οι άνθρωποι πρέπει να κατανοήσουν ή ακόμα και να αισθανθούν, για παράδειγμα, ότι οι φωτογραφίες δεν είναι απλώς εικόνες και οι επαφές δεν είναι απλώς διευθύνσεις. Αυτές οι κατηγορίες δεδομένων είναι μάλλον οι πιο πολύτιμες αναμνήσεις της ζωής των ανθρώπων και η εκπροσώπησή τους στην κοινωνική συνδετικότητα και συνύπαρξη. Η αξία των δεδομένων πρέπει να επικοινωνηθεί. Μόνο τότε οι άνθρωποι μπορούν να συνειδητοποιήσουν πόσο πολύτιμα είναι τα δεδομένα τους». 

Ο Andrei Mochola, Head of Consumer Business της Kaspersky Lab, σχολίασε: «Η έρευνα αποκαλύπτει ότι το ζήτημα της απώλειας δεδομένων προκαλεί συναισθηματικές και σωματικές αντιδράσεις στους ανθρώπους. Ωστόσο, η πραγματικότητα φαίνεται να είναι ότι οι άνθρωποι δεν ξέρουν πραγματικά ποια κατηγορία δεδομένων είναι πιο πολύτιμη για τους ίδιους μέχρι να χαθεί, με τους ανθρώπους να έχουν έντονες σωματικές αντιδράσεις ακόμα και όταν πιστεύουν ότι έχουν χάσει ασήμαντα δεδομένα. Ίσως αυτό εξηγεί γιατί οι άνθρωποι δεν δίνουν στα δεδομένα που αποθηκεύουν στα smartphones, τα tablets και τους υπολογιστές τους την αγάπη και την προστασία που τους αξίζει, παρά τη συναισθηματική προσκόλληση που ισχυρίζονται ότι έχουν σε αυτά. Πρέπει ακόμα να κατανοήσουν πραγματικά την αξία των δεδομένων τους και να λάβουν τα κατάλληλα μέτρα για την προστασία τους».   

Για περισσότερες πληροφορίες σχετικά με το πείραμα και τη μελέτη, μπορείτε να ανατρέξετε στην ειδική έκθεση καθώς και στο σχετικό βίντεο.

Το δεύτερο τρίμηνο του 2017 ήταν η απόδειξη ότι οι μακράς διάρκειας επιθέσεις DDoS ανέλαβαν ξανά δράση. Η μεγαλύτερη επίθεση του τριμήνου ήταν ενεργή για 277 ώρες (περισσότερο από 11 ημέρες) – μέγεθος αυξημένο κατά 131% σε σχέση με το πρώτο τρίμηνο. Αυτό αποτελεί μέχρι στιγμής μέγεθος ρεκόρ για το έτος, όπως αναφέρει η έκθεση των ειδικών της Kaspersky Lab σχετικά με τις botnet επιθέσεις DDoS για το δεύτερο τρίμηνο του 2017.

Η διάρκεια δεν ήταν το μοναδικό χαρακτηριστικό των επιθέσεων DDoS μεταξύ Απριλίου και Ιουνίου. Υπάρχει και μία δραματική αλλαγή στη γεωγραφία των περιστατικών, καθώς το δεύτερο τρίμηνο έχουν δεχτεί επίθεση οργανισμοί με ηλεκτρονικούς πόρους σε 86 χώρες (σε σύγκριση με 72 χώρες το πρώτο τρίμηνο). Οι 10 χώρες που δέχτηκαν τις περισσότερες επιθέσεις ήταν η Κίνα, η Νότια Κορέα, οι ΗΠΑ, το Χονγκ Κονγκ, το Ηνωμένο Βασίλειο, η Ιταλία, η Ολλανδία, ο Καναδάς και η Γαλλία – με την Ιταλία και την Ολλανδία να αντικαθιστούν το Βιετνάμ και τη Δανία.

Οι στόχοι των επιθέσεων DDoS περιλάμβαναν ένα από τα μεγαλύτερα πρακτορεία ειδήσεων, το Al Jazeera, τις ιστοσελίδες των εφημερίδων Le Monde και Figaro και, σύμφωνα με ισχυρισμούς, τους servers του Skype. Κατά το δεύτερο τρίμηνο του 2017, η αύξηση στις αναλογίες των cryptocurrencies οδήγησε επίσης τους ψηφιακούς εγκληματίες να προσπαθούν να χειραγωγήσουν τις τιμές μέσω των DDoS. Η Bitfinex, το μεγαλύτερο ανταλλακτήριο συναλλαγών Bitcoin, δέχτηκε επίθεση ταυτόχρονα με την έναρξη των συναλλαγών με ένα νέο cryptocurrency, το επονομαζόμενο IOTA token. Νωρίτερα, το ανταλλακτήριο BTC-E ανέφερε επιβράδυνση λόγω ισχυρής επίθεσης DDoS.

Το ενδιαφέρον των διοργανωτών των επιθέσεων DDoS σε μετρητά υπερβαίνει τον χειρισμό των αναλογιών των cryptocurrencies. Η χρήση αυτού του τύπου επίθεσης για να αποσπούν χρήματα μπορεί να είναι επωφελής, όπως δείχνει και η τάση των Ransom DDoS ή RDoS. Οι ψηφιακοί εγκληματίες στέλνουν συνήθως ένα μήνυμα στο θύμα ζητώντας του λύτρα που κυμαίνονται από 5 έως 200 bitcoins. Εάν η εταιρεία αρνείται να πληρώσει, οι επιτιθέμενοι απειλούν να οργανώσουν μια επίθεση DDoS σε έναν κρίσιμο και σημαντικό διαδικτυακό πόρο του θύματος. Τέτοια μηνύματα μπορούν να συνοδεύονται από σύντομης διάρκειας επιθέσεις DDoS για να επιβεβαιώσουν ότι οι απειλές είναι όντως πραγματικές. Στα τέλη Ιουνίου, πραγματοποιήθηκε μια μακράς διάρκειας επίθεση RDoS από την ομάδα Armada Collective, η οποία απαίτησε περίπου 315.000 δολάρια από επτά τράπεζες της Νότιας Κορέας.

Ωστόσο, υπάρχει πάντα κι ένας άλλος τρόπος, ο οποίος έγινε πιο δημοφιλής το τελευταίο τρίμηνο – οι Ransom DDoS χωρίς καθόλου DDoS. Οι απατεώνες στέλνουν απειλητικά μηνύματα σε μεγάλο αριθμό εταιρειών με την ελπίδα ότι κάποιος θα αποφασίσει να είναι ασφαλής παρά να το μετανιώσει αργότερα. Οι επιδείξεις επιθέσεων μπορεί να μην συμβούν ποτέ, αλλά αν μόνο μία εταιρεία αποφασίσει να πληρώσει, αυτό θα φέρει στους ψηφιακούς εγκληματίες κέρδος με ελάχιστη προσπάθεια.

«Σήμερα, δεν είναι μόνο έμπειρες ομάδες hi-tech ψηφιακών εγκληματιών που μπορεί να επιτεθούν με Ransom DDoS. Κάθε απατεώνας που δεν διαθέτει ούτε τις τεχνικές γνώσεις ούτε την ικανότητα να οργανώσει μια πλήρους κλίμακας επίθεση DDoS μπορεί να αγοράσει μια επίδειξη επίθεσης για σκοπούς εκβιασμού. Οι άνθρωποι αυτοί διαλέγουν ως επί το πλείστον εταιρείες που δεν προστατεύουν τους πόρους τους από τις DDoS με οποιονδήποτε τρόπο και, ως εκ τούτου, μπορούν εύκολα να πεισθούν να πληρώσουν λύτρα με μια απλή επίδειξη», σχολιάζει ο Kirill Ilganaev, Head of Kaspersky DDoS Protection της Kaspersky Lab.

Οι ειδικοί της Kaspersky Lab προειδοποιούν ότι αν μια εταιρεία-θύμα αποφασίσει να πληρώσει, μπορεί να προκαλέσει μακροπρόθεσμη ζημιά εκτός από τις άμεσες νομισματικές απώλειες. Η φήμη του «πληρωτή» εξαπλώνεται γρήγορα μέσω των δικτύων και μπορεί να προκαλέσει περαιτέρω επιθέσεις από άλλους ψηφιακούς εγκληματίες.

Η λύση Kaspersky DDoS Protection συνδυάζει την εκτεταμένη τεχνογνωσία της Kaspersky Lab στην καταπολέμηση των ψηφιακών απειλών με τις μοναδικές εξελίξεις που αναπτύχθηκαν στο εσωτερικό της εταιρείας. Η λύση προστατεύει από όλους τους τύπους επιθέσεων DDoS, ανεξάρτητα από την πολυπλοκότητα, τη δύναμη ή τη διάρκεια τους.

*Το σύστημα DDoS Intelligence (μέρος του Kaspersky DDoS Protection) σχεδιάστηκε για να παρακολουθεί και να αναλύει εντολές που αποστέλλονται σε bots από command and control servers (C & C) και δεν χρειάζεται να περιμένει μέχρι να «μολυνθούν» οι συσκευές του χρήστη ή μέχρι να εκτελεστούν οι εντολές συλλογής δεδομένων των ψηφιακών εγκληματιών. Είναι σημαντικό να σημειωθεί ότι τα στατιστικά στοιχεία του DDoS Intelligence περιορίζονται στα botnets που εντοπίστηκαν και αναλύθηκαν από την Kaspersky Lab.

Καθώς γιορτάζει την εικοστή επέτειό της, η Kaspersky Lab, παγκόσμια εταιρεία ψηφιακής ασφάλειας, βλέπει την αποστολή της που ξεκίνησε ως αποστολή ενός ανθρώπου να εξελίσσεται σε παγκόσμια σταυροφορία ενάντια στο ψηφιακό έγκλημα. Με την καινοτομία και το όραμα στην καρδιά της, φέτος η Kaspersky Lab θα φτάσει τον αγώνα της σε άλλα επίπεδα – παρουσιάζοντας βασικές καινοτομίες, όπως το προσαρμοστικό Kaspersky Security Cloud και το Kaspersky OS – για να δώσει στις επιχειρήσεις και τους καταναλωτές τα απαραίτητα εφόδια για να προστατευθούν από τις συνεχώς εξελισσόμενες απειλές. Από το έργο Earth 2050, αποκαλύπτοντας πως θα μοιάζει στο μέλλον το τοπίο των ψηφιακών απειλών, μέχρι το πείραμα Sound of Safety, το οποίο διερευνά τους ήχους που συνδέονται με το αίσθημα της ασφάλειας, η Kaspersky Lab παραμένει ένα βήμα μπροστά από τους εγκληματίες και βρίσκεται στο προσκήνιο της βιομηχανίας της ψηφιακής ασφάλειας.

Το 1989, ένας νέος μηχανικός λογισμικού ανακάλυψε ότι ο υπολογιστής του έχει δεχτεί επίθεση από τον διαβόητο ιό Cascade. Γοητευμένος από την πρόκληση, αποφάσισε να εντοπίσει τον ιό, να τον αναλύσει και να δημιουργήσει λογισμικό που θα μπορούσε να τον εξουδετερώσει. Αυτός ο μηχανικός ήταν ο Eugene Kaspersky και έτσι ξεκίνησε η ιστορία της Kaspersky Lab, μιας επιχείρησης 20 ετών που πλέον απασχολεί περισσότερους από 3.700 ανθρώπους.

Το 1997, ο Eugene και τρεις άλλοι εταίροι ίδρυσαν την Kaspersky Lab. Ξεκινώντας με μόλις 19 άτομα, η Kaspersky Lab έχει εξελιχθεί σε διεθνή ηγέτη στον τομέα της ψηφιακής ασφάλειας, που δραστηριοποιείται σε 200 χώρες και περιοχές και με 35 γραφεία σε 31 χώρες. Τα προϊόντα και οι τεχνολογίες της εταιρείας παρέχουν προστασία σε περισσότερους από 400 εκατομμύρια χρήστες και πάνω από 270.000 εταιρικούς πελάτες παγκοσμίως.

Κατά τη διάρκεια της 20ετούς ιστορίας της, η Kaspersky Lab έχει δει πολλές αλλαγές στο τοπίο των απειλών – καθώς και στον τρόπο με τον οποίο οι άνθρωποι και οι οργανισμοί προσεγγίζουν την ασφάλειά τους. Ο ταχύς πολλαπλασιασμός των νέων τεχνολογιών σήμαινε ότι ο υπολογιστής που ο Eugene διέσωσε για πρώτη φορά από το Cascade είναι παρωχημένος, όπως και πολλοί άλλοι, και τώρα χρησιμοποιεί πολλαπλές συσκευές κάθε μέρα. Αλλά, ενώ η συνδεσιμότητά μας έχει βελτιώσει τη ζωή μας και την έχει αλλάξει για πάντα, η αυξανόμενη εξάρτησή μας από τον τομέα της Πληροφορικής έχει καταστήσει τις ψηφιακές απειλές ένα παγκόσμιο πρόβλημα.

Δεδομένου ότι η τεχνολογία έχει γίνει τόσο σημαντική για τις καθημερινές εμπειρίες των καταναλωτών, η τεχνογνωσία στον τομέα της ασφάλειας του τομέα της Πληροφορικής έχει γίνει διπλάσια. Ο Eugene και η ομάδα του κατανοούν το παγκόσμιο τοπίο των ψηφιακών απειλών και είναι μεταξύ των καλύτερων όσον αφορά στην ανίχνευση και την εξουδετέρωση όλων των μορφών κακόβουλων προγραμμάτων. Ο πλούτος της εμπειρίας που αποκτήθηκε από την επιχείρηση μετά από χρόνια αντιμετώπισης σημαντικών απειλών του τομέα της Πληροφορικής είναι το πιο πολύτιμο περιουσιακό στοιχείο της Kaspersky Lab και επιτρέπει στην ομάδα να παραμείνει ένα βήμα μπροστά από πιθανές απειλές.

Σήμερα, το χαρτοφυλάκιο της Kaspersky Lab περιλαμβάνει λύσεις ασφάλειας για ένα ευρύ φάσμα πελατών. Αυτές προστατεύουν τους καταναλωτές, αλλά και μεγάλες, μεσαίες και μικρές επιχειρήσεις από διάφορες μορφές απειλών και τους παρέχουν κατάλληλα εργαλεία για τον έλεγχο και τη διαχείριση της ασφάλειάς τους.

Ένα από τα βασικά πλεονεκτήματα της Kaspersky Lab είναι η ομάδα της, όπως εξηγεί ο Eugene Kaspersky, Διευθύνων Σύμβουλος και συνιδρυτής της Kaspersky Lab: «Είκοσι χρόνια σε μια επιχείρηση είναι πολύς καιρός. Αλλά είτε το πιστεύετε είτε όχι, την αγαπώ ακόμα. Αγαπώ την ομάδα μας και το έργο που κάνουμε. Έχουμε καλές και κακές στιγμές και έχουμε μάθει πολλά ο ένας από τον άλλο. Τα τελευταία 20 χρόνια εργαζόμαστε όλο το εικοσιτετράωρο κάθε μέρα – αναλύοντας και καταπολεμώντας κάθε είδους απειλές που έχουν εξελιχθεί την εκάστοτε εποχή, κάνοντας τον κόσμο ένα καλύτερο μέρος. Ήμουν πολύ τυχερός – η δουλειά μου είναι το πάθος μου. Ακόμη και μετά από δύο δεκαετίες με καθοδηγεί ακόμα η περιέργεια: τι είναι αυτό, πώς λειτουργεί και γιατί; Είμαι γοητευμένος από την τεχνολογία και μαθαίνω τόσα πολλά από τους ανθρώπους γύρω μου».

 «Στόχος μου είναι να βοηθήσουμε κάθε μία από τις ομάδες μας να συνεισφέρει όσο μπορεί – να γίνει μέρος κάτι μεγαλύτερου. Είναι κάτι πέρα από απλή δουλειά – είναι ενεργή συμμετοχή στην κοινότητα της Kaspersky Lab», κατέληξε ο Eugene Kaspersky.

Ένα χρόνο πριν, στις 25 Ιουλίου 2016, ξεκίνησε η πρωτοβουλία No More Ransom από την Αστυνομία της Ολλανδίας, τη Europol, τη McAfee και την Kaspersky Lab. Σήμερα, υπάρχουν περισσότεροι από 100 εταίροι, καθώς οι μεγάλης έκτασης επιθέσεις με προγράμματα ransomware συνεχίζουν να κυριαρχούν στις ειδήσεις, πλήττοντας επιχειρήσεις, κυβερνήσεις και μεμονωμένα άτομα σε όλο τον κόσμο.

Η απειλή του ransomware κλιμακώνεται 

Το ransomware έχει αυξηθεί από το 2012, με τους εγκληματίες να δελεάζονται από την υπόσχεση κέρδους και την ευκολία υλοποίησης. Η απειλή συνεχίζει να εξελίσσεται, με τις επιθέσεις να γίνονται ολοένα και πιο δύσκολα ανιχνεύσιμες και καταστροφικές, στοχεύοντας περισσότερο σε επιχειρήσεις παρά σε μεμονωμένα άτομα, καθώς τα πιθανά κέρδη είναι πολύ υψηλότερα.

Η χωρίς διακρίσεις επίθεση WannaCry στα μέσα Μαΐου έπληξε περισσότερες από 300.000 επιχειρήσεις σε 150 χώρες τις πρώτες λίγες μέρες, καταστρέφοντας κρίσιμες υποδομές και επιχειρήσεις. Ορισμένοι οργανισμοί εξακολουθούν να αγωνίζονται να ανακάμψουν από τις επιθέσεις του ExPetya στις 27 Ιουνίου.

Ο συνολικός αριθμός χρηστών που αντιμετώπισαν ransomware επιθέσεις το διάστημα Απρίλιος 2016 – Μάρτιος 2017 αυξήθηκε κατά 11,4% σε σύγκριση με τους προηγούμενους 12 μήνες από 2.315.931 σε 2.581.026 χρήστες σε όλο τον κόσμο^[1].

Το πρώτο έτος του No More Ransom σε αριθμούς 

Ο ιστότοπος διαθέτει πλέον 54 εργαλεία αποκρυπτογράφησης, τα οποία παρέχονται από 9 εταίρους και καλύπτουν 104 είδη (οικογένειες) ransomware. Μέχρι στιγμής, αυτά τα εργαλεία έχουν καταφέρει να αποκρυπτογραφήσουν περισσότερες από 28.000 συσκευές, στερώντας από τους ψηφιακούς εγκληματίες περίπου 8 εκατομμύρια ευρώ σε λύτρα.

Το portal έχει δεχτεί πάνω από 1,3 εκατομμύρια μοναδικούς επισκέπτες. Μόνο στις 14 Μαΐου, κατά τη διάρκεια της κρίσης WannaCry, 150.000 άτομα επισκέφθηκαν την ιστοσελίδα.

Η πλατφόρμα No More Ransom είναι τώρα διαθέσιμη σε 26 γλώσσες, με τις πιο πρόσφατες προσθήκες να είναι τα Βουλγαρικά, τα Κινέζικα, τα Τσέχικα, τα Ελληνικά, τα Ουγγρικά, τα Ινδονησιακά, τα Μαλαισιανά, τα Νορβηγικά, τα Ρουμανικά, τα Σουηδικά, τα Ταμιλικά και τα Ταϊλανδικά.

Περισσότεροι από 100 εταίροι: καμία διάκριση μεταξύ ιδιωτικών, δημόσιων ή ανταγωνιστικών επιχειρήσεων

Το No More Ransom διαθέτει πλέον 109 εταίρους. Οι πιο πρόσφατες προσθήκες περιλαμβάνουν από τον ιδιωτικό τομέα τις εταιρείες: Abelssoft, Ascora GmbH, Barclays, Bitsight, Πανεπιστήμιο Bournemouth (BU), CERT.BE, Claranet, CSA Σιγκαπούρη, ESTSecurity, Fortinet, Global Forum on Cyber Expertise (GFCE) IPA, KISA (Οργανισμός Διαδικτύου και Ασφάλειας της Κορέας), TWCERT / CC, LLC, Πανεπιστήμιο του Πόρτο και vpnMentor. Τέσσερις νέες υπηρεσίες επιβολής νόμου έχουν επίσης ενταχθεί από την Τσεχία, την Ελλάδα, το Χονγκ Κονγκ και το Ιράν.

Η επιτυχία της πρωτοβουλίας No More Ransom είναι μια κοινή επιτυχία, η οποία δεν μπορεί να επιτευχθεί αποκλειστικά από τις διωκτικές αρχές ή από τον ιδιωτικό τομέα. Συνδυάζοντας τις δυνάμεις μας, ενισχύουμε την ικανότητά μας να συλλάβουμε τους εγκληματίες και να τους εμποδίσουμε να βλάψουν κι άλλους ανθρώπους, επιχειρήσεις και κρίσιμες υποδομές, μια για πάντα.

Δεν υπάρχει καλύτερη θεραπεία από την πρόληψη

Οι υπηρεσίες επιβολής του νόμου σε παγκόσμιο επίπεδο, σε στενή συνεργασία με εταίρους από τον ιδιωτικό τομέα διεξάγουν συνεχείς έρευνες για ransomware εγκληματίες και υποδομές. Ωστόσο, η πρόληψη είναι αναμφίβολα καλύτερη από τη θεραπεία. Οι χρήστες του Διαδικτύου πρέπει πρωτίστως να αποφύγουν να πέσουν θύματα. Πολλές ενημερωμένες συμβουλές πρόληψης είναι διαθέσιμες στη διεύθυνση www.nomoreransom.org. Αν πέσετε θύμα, είναι σημαντικό να μην πληρώσετε τα λύτρα και να αναφέρετε τη «μόλυνση» στην αστυνομία.

[1] https://securelist.com/ksn-report-ransomware-in-2016-2017/78824/

Οι ερευνητές της Kaspersky Lab πραγματοποίησαν μια συγκριτική ανάλυση των WannaCry και ExPetr – των δύο τελευταίων επιθέσεων με ransomware προγράμματα – οι οποίες πραγματοποιήθηκαν με διαφορετικούς τρόπους και με διαφορετικούς στόχους. Ωστόσο, οι επιθέσεις διαθέτουν κάποιες ομοιότητες, παρουσιάζοντας σημάδια μιας αναδυόμενης τάσης καλυμμένης καταστροφικής στοχευμένης δραστηριότητας.

• Σε αντίθεση με προηγούμενες καταστροφικές επιθέσεις με τεχνολογίες Wiper, όπως οι BlackEnergy και Destover το 2014, και οι Shamoon και StonedDrill το 2016-2017, οι οποίες πραγματοποιήθηκαν με έναν πολύ μεθοδευμένο και καταστροφικό τρόπο, τα κίνητρα των WannaCry και ExPetr – είτε για καταστροφική δραστηριότητα είτε για δολιοφθορά – παραμένουν ασαφή.
• Υπήρξε η ίδια καθυστέρηση διάρκειας δύο μηνών για την παράδοση worm-enabled παραλλαγών: σύμφωνα με τις πρώτες πληροφορίες σχετικά με τους στόχους, η ανάπτυξη του WannaCry ξεκίνησε τον Μάρτιο, ενώ του ExPetr πραγματοποιήθηκε τον Απρίλιο. Αλλά τα ίδια τα ransomware/wiper διαδόθηκαν πολύ αργότερα, τον Μάιο και τον Ιούνιο αντίστοιχα.
• Η ανάπτυξη του WannaCry ήταν αργή και πρακτική, με διάσπαρτους παγκόσμιους στόχους, ασυνεπή προφίλ και καμία προσοχή στη συλλογή Bitcoins: ο εισβολέας έστειλε ένα σύνολο μηνυμάτων που ενθάρρυναν τους χρήστες να πληρώνουν το BTC στο πορτοφόλι τους.
• Η ανάπτυξη του ExPetr ήταν απότομη, προηγμένη και τεχνικά ευέλικτη, εστιάζοντας στο λογισμικό οργανισμών που συνδέονται με την Ουκρανία. Ωστόσο, οι επιτιθέμενοι του ExPetr προφανώς δεν επέστρεψαν ούτε με ευρύτατα διαδεδομένα μηνύματα ή προκλήσεις για τους στόχους τους, ούτε και παρέτειναν το περιστατικό ζητώντας συναλλαγές με Bitcoins για αποκρυπτογράφηση δίσκων.

Σύμφωνα με τους ερευνητές της Kaspersky Lab, οι διαφορές στην ανάπτυξη του κάθε ransomware δείχνουν ότι οι δύο επιθέσεις δεν πραγματοποιήθηκαν από τον ίδιο επιτιθέμενο. Αλλά υπάρχουν προφανείς ομοιότητες όσον αφορά στην τακτική τόσο του WannaCry όσο και του ExPetr, γεγονός το οποίο μαρτυρά την έναρξη νέας στοχευμένης δραστηριότητας επιθέσεων APT πίσω από τα ransomware.

Για περισσότερες πληροφορίες μπορείτε να επισκεφτείτε τον ειδικό ιστότοπο Securelist.com.