Dzisiejsza działalność cyberprzestępcza jest lustrzanym odbiciem legalnych procesów biznesowych



Podobne dokumenty
Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Technologia Automatyczne zapobieganie exploitom

uplook z modułem statlook program do audytu oprogramowania i kontroli czasu pracy

E safety bezpieczny Internet. Mariusz Bodeńko Białystok,

Operator telco na pierwszej linii ognia. Obywatele, biznes a cyberbezpieczeństwo

Zabezpieczanie danych użytkownika przed szkodliwym oprogramowaniem szyfrującym

Rynek przetwarzania danych w chmurze w Polsce Prognozy rozwoju na lata

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Oprogramowanie, usługi i infrastruktura ICT w dużych firmach w Polsce Na podstawie badania 420 firm

Koordynację akcji e-commerce 2018 w kraju prowadziło Biuro dw. z Cyberprzestępczością Komendy Głównej Policji. Dotąd w Polsce:

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Analiza malware Keylogger ispy

Rynek przetwarzania danych w chmurze w Polsce Prognozy rozwoju na lata

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

SIŁA PROSTOTY. Business Suite

Trojan bankowy Emotet w wersji DGA

Wprowadzenie do Kaspersky Value Added Services for xsps

Jak uchronić Twój biznes przed cyberprzestępczością

Rynek prywatnej opieki zdrowotnej w Polsce Prognozy rozwoju na lata

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Case Study. aplikacji Microsoft Dynamics CRM 4.0. Wdrożenie w firmie Finder S.A.

Ogólna informacja. O firmie e-direct sp. z o.o. Marcin Marchewicz

Mariusz Bodeńko Olsztyn, Bezpieczeństwo w Internecie

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Przestępczość komputerowa

Rynek IT w Polsce Prognozy rozwoju na lata

Rynek IT w Polsce Prognozy rozwoju na lata

Eniro wyciąga lepsze wnioski i podejmuje bardziej świadome decyzje. dzięki Google Analytics 360, Google Tag Manager i BigQuery

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Włącz autopilota w zabezpieczeniach IT

Botnet Hamweq - analiza

Organizator w kilka minut tworzy profesjonalną stronę internetową wydarzenia i rozpoczyna sprzedaż biletów

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

SEO / SEM PREZENTACJA OFERTY

Największe zagrożenia dla biznesu w roku 2015

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

Kaspersky Security Network

Rynek przetwarzania danych w chmurze w Polsce Prognozy rozwoju na lata

Xopero Backup Appliance

Metody ochrony przed zaawansowanymi cyberatakami

kompleksowe oprogramowanie do zarządzania procesem spawania

Netia Mobile Secure Netia Backup

M4B S.A. RAPORT KWARTALNY ZA OKRES OD DNIA 01 PAŹDZIERNIKA 2011 ROKU DO DNIA 31 GRUDNIA 2011 ROKU

Malware przegląd zagrożeń i środków zaradczych

Arkanet s.c. Produkty. Sophos Produkty

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

VENDIO SPRZEDAŻ kompleksowa obsługa sprzedaży. dcs.pl Sp. z o.o. vendio.dcs.pl info@dcs.pl Warszawa,

Najwyższa jakość ochrony na każdym poziomie.

D&B Data Manager. Proces zarządzania Twoimi danymi na jednej platformie internetowej

Rynek telekomunikacyjny w Polsce 2014 Analiza regionalna Prognozy rozwoju na lata

1 Ochrona Danych Osobowych

Zasady bezpiecznego korzystania z bankowości elektronicznej

NOWE PODEJŚCIE do e USŁUG

OCHRONA PRZED RANSOMWARE

DZIEŃ BEZPIECZNEGO KOMPUTERA

Axence nvision dla biznesu

Arkanet s.c. Produkty. Norman Produkty

Dystrybutor w Polsce: VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Usługi telekomunikacyjne dla segmentu biznesowego i operatorskiego w Polsce Analiza rynku i prognozy rozwoju na lata

Oprogramowanie, usługi i infrastruktura ICT w dużych firmach w Polsce Na podstawie badania 500 firm

Rynek call center i contact center w Polsce Analiza rynku

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

System Kancelaris. Zdalny dostęp do danych

F-SECURE ZABEZPIECZ SWÓJ BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI

Jak zorganizować bezpieczeństwo informacji w praktyce. Miłosz Pacocha

KASPERSKY FRAUD PREVENTION FORENDPOINTS

2016 Proget MDM jest częścią PROGET Sp. z o.o.

e-awizo SYSTEM POTWIERDZANIA DORĘCZEŃ POCZTY ELEKTRONICZNEJ

Oprogramowanie, usługi i infrastruktura ICT w małych i średnich firmach w Polsce Na podstawie badania 800 firm z sektora MŚP

Cyberbezpieczeństwo. Spojrzenie z perspektywy zarządu organizacji

Insider Threat Management - czyli jak skutecznie zapobiegać zagrożeniom wewnętrznym?

Dane Klienta: Inter Szyk J. Kozikowski Sp.J. ul. Narwicka 11a Gdańsk.

Bezpieczeństwo bankowości internetowej

Rynek ERP. dr inż. Andrzej Macioł

Zapewnienie dostępu do Chmury

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

Internetowa sieć laboratoriów fotograficznych

Polityka prywatności dla klientów indywidualnych. 1. Administrator zbioru danych osobowych

4383: Tyle podatności wykryto w 2010 r. Przed iloma jesteś chroniony? 2010 IBM Corporation

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

CYBER GUARD PRZEWODNIK PO PRODUKCIE

Bezpieczeństwo Komunikatorów

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

POLITYKA PRYWATNOŚCI

Ochrona biznesu w cyfrowej transformacji

Rynek VoIP w Polsce Prognozy rozwoju na lata

Agenda. Rys historyczny Mobilne systemy operacyjne

TEST BEZPŁATNYCH ANTYW IRUSOW YCH

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

oszczędność i wygoda alternatywne podejście do IT w małej i średniej firmie

( ) V O D. D A W I D B A G I N S K I. C O M W W W. D A W I D B A G I N S K I. C O M

Rynek zintegrowanych usług telekomunikacyjnych w Polsce Analiza pakietów i usług wiązanych

Rynek telekomunikacyjny w Polsce Analiza regionalna. Prognozy rozwoju na lata

F-Secure Anti-Virus for Mac 2015

Workplace by Facebook. Twoja bezpieczna, firmowa sieć społecznościowa

Transkrypt:

FORTINET 2013 CYBERCRIME REPORT : Cybercriminals Today Mirror Legitimate Business Processes Raport firmy Fortinet na temat cyberprzestępczości w 2013 roku Dzisiejsza działalność cyberprzestępcza jest lustrzanym odbiciem legalnych procesów biznesowych Dawno minęły czasy, gdy cyberprzestępczość sprowadzała się do szkód popełnianych przez małoletnich urwisów w piwnicach domów ich rodziców. Dzisiaj cyberprzestępczość ewoluuje jak każde komercyjne przedsiębiorstwo w stronę złożonej, dobrze zorganizowanej struktury hierarchicznej składającej się z liderów, inżynierów, Szeregowców i najemnych Mułów. Patrząc z zewnątrz, niewiele rzeczy różni organizację cybreprzestępczą od jakiegokolwiek innego biznesu. Jak w każdej legalnej firmie, każdy z graczy ma określoną funkcję lub zadania do wykonania. Każde stanowisko jest niezbędne to stworzenia oczekiwanego produktu, który nakręca koła maszyny. Misja? Jak w przypadku każdego biznesu jest nią zysk. Albo w niektórych przypadkach kara. Mają tu zastosowanie podstawowe prawa ekonomii. Efekty pracy to szeroki zakres usług, od doradztwa, przez serwis po niezliczone programy, które odgrywają rolę produktu. Im bardziej funkcjonalna i/lub skomplikowana jest usługa, tym wyższa jej cena. Mimo że te przestępcze syndykaty są dobrze umocowane, nie są one jednak niezwyciężone. Główne porażki cyberprzestępców stanowią przypadki skutecznych ujęć botnetów. Część krajów podjęło nawet wspólne działania zablokowania cyberprzestępcom możliwości rejestrowania domen. Odbywa się to poprzez powołanie grup roboczych, jak Conficker lub Mariposa. W przyszłości działania wymiarów sprawiedliwości i organizacji rejestrujących domeny będą w dalszym ciągu ograniczać działalność grup cyberprzestępczych. Prawdopodobnie będą te działania koordynowane przez grupy CERT we współpracy z firmami zajmującymi się bezpieczeństwem IT. Wszechstronne, wielopoziomowe podejście do tematu bezpieczeństwa będzie kluczowym czynnikiem wzmocnienia tych wysiłków. 1 www.fortinet. pl

FORTINET 2013 CYBERCRIME REPORT : Cybercriminals Today Mirror Legitimate Business Processes Struktura organizacyjna dostawców Crime-as-a-Service Wszystko wskazuje na to, że organizacje Crime-as-a-Service (CaaS) są bardzo sprawnymi maszynami, a to dzięki szerokiej sieci współpracowników, z których każdy ma określoną rolę i przekazuje misję organizacji następnym uczestnikom. Zarząd Szefowie organizacji podejmują wszelkie decyzje, nadzorują działania i zapewniają że wszystkie procesy przebiegają sprawnie. Tak jak w przypadku legalnych przedsiębiorstw, to oni tworzą model biznesowy i infrastrukturę. Po wystartowaniu danej operacji, zajmują się rozwojem biznesu, a brudną robotę przekazują Szeregowcom, sami nie będąc związani z realizacją ataków. Tak jak liderów syndykatu kryminalnego można porównać do managerów najwyższego szczebla, tak pracowników prowadzących programy sieciowe można nazwać kierownikami. Kierownicy są zwykle rekrutowani przez starych członków lub podziemne fora. Zadanie członka sieci polega po prostu na zainfekowaniu jak największej liczby komputerów. Mogą to robić samodzielnie lub wykorzystywać Rekruterów do zatrudniania ludzi, którzy wykonają tą pracę za nich. Rekruterzy Rekruterzy są ważnym elementem organizacji. W wielu przypadkach członkowie grupy sami przygotowują i przeprowadzają akcje, ale większe organizacje raczej posługują się wynajętymi Szeregowcami. Przy operacjach na dużą skalę wykorzystuje się Rekruterów, którzy organizują programy rekrutacyjne finansowane przez liderów sieci. Szeregowcy Ostatnim ogniwem łańcucha są Szeregowcy, czyli ludzie, którzy doprowadzają ostatecznie do infekcji na urządzeniach użytkowników. John Steward, dyrektor działu badania złośliwego oprogramowania w firmie SecureWorks ujawnił w 2008 roku, że najbardziej płodni cyberprzestępcy kontrolujący duże botnety zainfekowanych komputerów zarabiają do 5 milionów dolarów rocznie. Szeregowcy mogą infekować komputery na wiele sposobów, między innymi poprzez linki wysyłane w mailach, ataki wykorzystujące mechanizmy optymalizacji wyszukiwarek, zainfekowane pliki PDF, zakażone strony internetowe. Cyberprzestępcy wykorzystują również linki w serwisach społecznościowych, strony ze złośliwym oprogramowaniem oraz zakażone pliki multimedialne, np. Flesh lub QuickTime. Pomoc pilnie potrzebna! W celu ułatwienia rekrutacji Szeregowców, Rekruterzy i liderzy programów sieciowych zakładają portale internetowe. Wiele z nich jest zlokalizowanych w Rosji i ma formę zamkniętych społeczności dostępnych tylko dla zaproszonych użytkowników. Inne, w zależności Rys. 1 2 Przykład oferty zarobkowej www.fortinet.co programu sieciowego m

3 www.fortinet. pl od miejsca w jakim są zlokalizowane i obowiązującego tam prawa, mogą być publiczne. Otwarte portale często zabezpieczają się oświadczeniami w stylu Nie wyrażamy zgody na spamowanie lub inne zakazane metody infekowania komputerów. Takie oświadczenie ma na celu przeniesienie odpowiedzialności prawnej na Szeregowców. Portale dostarczają Szeregowcom wszelkich informacji potrzebnych do rozpoczęcia kampanii rozprzestrzeniania wirusa. Między innymi są to: nielegalne oprogramowanie, fora suportowe, stawki wynagrodzeń i opis sposobu otrzymania zapłaty po wykonaniu określonej liczby zakażeń. Oprogramowanie Aby odpowiednio wyposażyć Szeregowców, zleceniodawcy tworzą aplikacje służące do infekowania systemów. Mogą to być np. fałszywe programy antywirusowe, aplikacje typu ransomware (programy wymuszające okup w zamian za odzyskanie zablokowanych danych) lub nawet botnety. Złośliwe oprogramowanie (malware) po zainstalowaniu na urządzeniu, może wykonywać szereg czynności, takich jak pobieranie kolejnych niebezpiecznych programów, kradzież Rys.3 Oferta usług wsparcia dla botnetu Malware może również pośredniczyć w przekazywaniu ruchu dla grupy przestępczej, przechowywać dla niej dane, szyfrować pliki ofiary dla okupu lub wyłudzać wynagrodzenia za klikanie w linki reklamowe. Promocja Tak jak w przypadku legalnej działalności, dobry produkt nie wystarcza. Zyskowność organizacji zależy również od jej zdolności do wypromowania go i zwiększenia świadomości na temat oferowanych przez nią usług. Jednym z najbardziej praktycznych sposobów rekrutacji Szeregowców są uniwersalne kampanie reklamowe. Ogłoszenia mogą się pojawiać na internetowych portalach dla poszukujących zatrudnienia, forach hackerskich, podziemnych komunikatorach IRC. Nagłówki mogą brzmieć np. tak: Chcesz zarabiać online?. Rys.3 Przykład wyceny wynajęcia botnetu Usługi kryminalne Usługi kryminalne są oferowane zarówno przez Szeregowców, jak i członków grup przestępczych w celu zwiększenia możliwości zarobkowych. Należy do nich szeroka gama usług, która wciąż rośnie wraz ze wzrostem potrzeb przestępczych syndykatów. haseł i danych z systemów bankowych, a nawet wykrywanie i usuwanie konkurencyjnych złośliwych aplikacji z systemu ofiary. 3 www.fortinet. pl

Przykłady usług przestępczych i odpowiadające im stawki wynagrodzeń Usługi konsultingowe, np. założenie botnetu $350 - $400 Infekowanie / rozprzestrzenianie $100 za tysiąc urządzeń Usługi realizowane przez botnety $535 atak DDoS 5 godzin dziennie przez tydzień $40 spam przez e-mail za 20 tys. maili $2 spam przez www za 30 postów Zapewnienie jakości / testowanie wykrywalności Cryptery, Skanery - $10 miesięcznie Programy sieciowe nawet do $5 000 dziennie Usługi hostingowe $6 miesięcznie To, co zajęłoby tygodnie przy użyciu standardowego oprogramowania do łamania haseł, takiego jak np. Jack the Ripper, teraz trwa zaledwie kilka minut dzięki wyspecjalizowanym aplikacjom i rozwiązaniom sprzętowym. To, co dawniej trwało lata, teraz można wykonać w kilka godzin. Jest to osiągalne dzięki wykorzystaniu mocy obliczeniowej rozproszonych botnetów składających się z tysięcy, jeżeli nie dziesiątków tysięcy maszyn. Badania i Rozwój Jak w przypadku wielu rozwijających się przedsiębiorstw, zaplecze technologiczne usług przestępczych jest złożone i zróżnicowane. Przygotowanie ataków wymaga rozległych struktur R&D, które produkują prywatne botnety, fałszywe programy antywirusowe, oprogramowanie wymuszające okupy, exploity (programy wykorzystujące błędy programistyczne w celu przejęcia kontroli nad oprogramowaniem) i wszystko, czego organizacja potrzebuje aby realizować ataki i zakażać systemy. Przed wypuszczeniem, tak samo jak w przypadku każdej legalnej produkcji, Blackhat Search Engine Optimization (SEO) $80 za 20 000 linków Wymiana pieniędzy i usługi tzw. Mułów 25% prowizji Łamanie zabezpieczeń CAPTCHA $1/1000 złamanych kodów wykonywane przez zatrudnionych ludzi Uaktualnienie modułu groźnego oprogramowania Wsparcie techniczne i komunikacja dotycząca tych usług są zazwyczaj realizowane przez komunikatory ICQ lub podobne. Szeroki zakres dostępnych usług obejmuje również wysoko wyspecjalizowane usługi Cloud Cracking, które umożliwiają wydajne łamanie haseł przy niskich kosztach i znacznie skracają czas potrzebny do wykrycia silnych haseł. 300 milionów prób, które trwają około 20 minut, kosztuje około 17 dolarów. Cracking w Chmurze istnieje już od kilku lat, ale FortiGuard Labs zaobserwowały znaczący wzrost wydajności tych usług przy obniżonych kosztach. : Rys. 4 Przykład oferty współpracy dla podwykonawców w zakresie łamania kodów CAPTCHA Rys.5 Cloud Cracking umożliwia łamanie setek tysięcy haseł w ciągu zaledwie minut 4 www.fortinet. pl

kod przechodzi przez procesy zapewnienia jakości, które sprawdzają czy wszystko działa jak należy i testują go pod kątem omijania systemów bezpieczeństwa. Dostawcy usług hostingowych Dostawcy usług hostingowych są kluczowym elementem sukcesu cyberprzestępców, ponieważ potrzebują oni miejsc do gromadzenia zasobów, takich jak exploity, malware i wreszcie ukradzione dane. Mogą to być oficjalni dostawcy usług hostingowych, lub usługi przestępcze podszywające się pod nich, polegające na udostępnianiu przejętych systemów w celu gromadzenia danych. Z reguły usługi hostingowe są zlokalizowane za granicą (często w takich politycznie bezpiecznych miejscach jak Rosja czy Chiny), a ich właściciele przymykają oko na fakt, że klienci wykorzystują je do składowania nielegalnych materiałów. Były jednak w przeszłości przypadki dostawców usług hostingowych w Stanach Zjednoczonych, którzy byli powiązani ze złośliwym oprogramowaniem, np. zlokalizowany w Kaliforni serwis McColo, który ostatecznie został wyłączony. Zamykanie nielegalnie działających serwerów nie jest łatwym zadaniem, ponieważ w wielu przypadkach złośliwe oprogramowanie jest kierowane na legalne serwery, które zostały wykorzystane bez wiedzy ich właścicieli. Po wykryciu takiego serwera, śledczy na ogół kontaktują się z ISP prosząc o informację, czy na serwerze przechowywana są nielegalna zawartość, jednak w większości przypadków prośby te są ignorowane. Ograniczone zasoby rządowe nie są w stanie zajmować się wszystkimi przypadkami, skupiają się tylko na największych operacjach. Domeny Cyberprzestępcy ciągle tworzą nowe domeny, ponieważ poprzednie są usuwane aby uniknąć wykrycia oraz w celu utrzymania ciągłego strumienia przychodów. Po wykryciu złośliwej domeny, nie zawsze łatwo jest ją zamknąć czasem rejestratorzy domen nie reagują na takie żądania. Cykl zamykania domen i otwierania nowych to niekończąca się gra za każdą zamkniętą domenę pojawiają się dwie nowe. Rejestracja domen często jest zautomatyzowana i wykorzystywane są kradzione numery kart kredytowych. Zasady nazewnictwa są czasem wstępnie określone przez algorytmy generowania domen (DGAs),podczas gdy złośliwe domeny są rejestrowane każdego dnia. W takich przypadkach musi istnieć powiązanie z instytucją rejestrującą domeny, inaczej organizacja trafiłaby na czarne listy. Rozwój biznesu Aby organizacja mogła rosnąć, musi współpracować z innymi organizacjami lub dystrybutorami. Fortinet odkrył dowody, że grupa przestępcza Virut próbowała rozwijać własny botnet wykorzystując botnety innych organizacji. Ze względu na konkurencję zdarzają się też połączenia i przejęcia. Najbardziej aktualny przykład to Zeus i SpyEye. Pranie brudnych pieniędzy Aby wspomóc rozwój organizacji, przywódcy zatrudniają Muły, czyli ludzi którzy świadomie bądź nieświadomie są używani do prania nieuczciwie pozyskanych zysków dla organizacji. Muły są często rekrutowane poprzez ogłoszenia i są wykorzystywane do anonimowego przemieszczania pieniędzy z jednego kraju lub banku do innego. Przetasowania pieniędzy są zazwyczaj realizowane przez usługi anonimowych przelewów, jak Western Union, Liberty Reserve, U Kash czy WebMoney. Realizowane przez pośredników lub anonimowe przelewy są często dzielone na mniejsze transze żeby uniknąć zaalarmowania władz. Używanie wielu Mułów, anonimowych serwisów i wielu kont bankowych utrudnia władzom śledzenie funduszy i przenosi odpowiedzialność prawną na Muły. Eksperci FortiGuard Labs widzieli materiały dotyczące ukierunkowanych kampanii rekrutacyjnych dla konkretnych regionów i lokalnych banków. Są to kampanie rekrutacji Mułów, udające listy należności publikowane na różnych stronach. Koncepcja zatrudniania Mułów jest analogiczna do innych technik wykorzystywanych przez grupy przestępcze. Często w ich działalność wpisana jest infrastruktura komunikacji wielopoziomowej. Na przykład zakażone maszyny nie komunikują się bezpośrednio z operatorami z grupy Rys. 6 Przykład programu dzielenia zysków za zakażanie urządzeń 5 www.fortinet. pl

przestępczej. Komunikacja jest kierowana przez urządzenia pośredniczące, które przekazują ją do kolejnych. Jest to na ogół realizowane przez kontrolowane przez grupę komputery połączone w sieć VPN. Podobnie jak w przypadku transferu pieniędzy przez Muły, celem jest skomplikowanie procesu i utrudnienie jego śledzenia. W przypadku botnetów, główny serwer na ogół otrzymuje polecenia od pośredniczących anonimowych serwerów. Rozwój modelu biznesowego Cyberprzestępcze syndykaty aby przetrwać muszą mieć kompleksowy model biznesowy i strategię utrzymania płynności finansowej, bo nawet nielegalna firma musi płacić rachunki, aby móc funkcjonować. Jednym z przykładów jest model płacenia za kliknięcie ( pay-perclick ), w którym Szeregowiec otrzymuje wynagrodzenie za ruch wygenerowany na stronie reklamowej. Jest to na ogół realizowane przez złośliwe oprogramowanie zainstalowane na komputerach, do których kierowane są komendy, które strony mają odwiedzać i które reklamy otwierać. Zysk z reklam wraca do autora nielegalnego programu. Istnieje również model pay-perinstall, w którym Szeregowiec otrzymuje wynagrodzenie za zakażone urządzenia, na ogół liczone za każdy tysiąc sztuk. Inny model, znany jako pay-per-purchase, polega na tym, że Szeregowiec otrzymuje wynagrodzenie, kiedy użytkownik zakupi fałszywe oprogramowanie (np. program antywirusowy), lub fałszywe produkty (np. leki). Fałszywy program antywirusowy informuje ofiarę, że jej komputer jest zakażony i musi być oczyszczony za pomocą produktu oferowanego przez kryminalistów. Ofiara na ogół płaci za ten przywilej od 50 do 100 dolarów. Rys. 7 Przykład wykorzystania Mułów przez operatorów botnetu Zeus Były także przypadki szantażu podobnego do ransomware, jednak zamiast otrzymania oferty odzyskania danych, ofiara jest straszona, że jej dane zostaną upublicznione jeżeli nie zapłaci prowizji. W zależności od celu i rodzaju danych, opłaty wahają się od setek do setek tysięcy dolarów. Wynająć, kupić czy wydzierżawić? Cyberprzestępcy czerpią również zyski z wynajmowania I dzierżawy narzędzi hakerskich osobom trzecim, często za określoną cenę, będącą jednak przedmiotem negocjacji. Ransomware, czyli oprogramowanie, które szyfruje dane na dysku użytkownika, to nowy trend, który popularnością wśród cyberprzestępców przerasta już fałszywe antywirusy. Ten rodzaj złośliwego oprogramowania wykorzystuje model biznesowy pay-per-purchase pobierając od ofiary opłatę za odzyskanie jej danych (na ogół to jest 100 dolarów). Jest to generalnie bardziej efektywne, bo w przypadku dobrze skonstruowanego ransomware użytkownik musi zapłacić jeśli chce mieć z powrotem swoje dane to jedyny sposób aby odwrócić szyfrację. Rys. 8 Przykład zakażenia Ransomware 6 www.fortinet. pl

Jak wcześniej wspomniano, narzędzia oferujące najbardziej wyszukane funkcje o większych zdolnościach omijania systemów bezpieczeństwa, mają najwyższe ceny: Botnety: ich funkcje to między innymi broadcast command & control, keylogging, pobieranie i spam. Przykłady: Zeus/ZBot ($700 za starą wersję, $3,000 za nową) i Butterfly ($900) Uproszczone botnety: ich funkcje to pobieranie i uruchamianie złośliwego oprogramowania. Używane głównie do wynajmu w modelu crime-as-a-service. Przykład: Bredolab (zaczyna się od $50) Zdalne Trojany (Remote Access Trojans - RATs: ich funkcje to ataki celowane z możliwością robienia zrzutów z ekranu i kamer internetowych. Przykłady: Gh0st Rat, Poison Ivy i Turkojan ($250) Zestawy exploitów: umożliwiają atak na użytkownika poprzez stronę internetową. Przykłady: GPack, MPack, IcePack i Eleonor ($1 000-$2 000) Cryptery, Packery i Bindery: maskują kod binarny i pomagają uniknąć wykrycia ($10-$100) Kod źródłowy: na ogół bezpłatne i dostępne dla wszystkich dobrze znane zestawy publikowane na podziemnych forach. Może być pozyskany przez wyciek z prywatnych i kontrolowanych wersji w sytuacjach kiedy hakerzy atakują innych hakerów. Kod źródłowy stanowi korzeń każdego złośliwego kodu który jest obecnie dostępny i powód dla którego ciągle pojawiają się nowe zagrożenia może być kopiowany, modyfikowany i formowany w nowe zagrożenia ze względną łatwością. Jednym z przykładów jest Zeus, który przechodził wielorakie zmiany od czasu swojej premiery (i ciągle pojawiają się kolejne wersje) z powodu łatwego dostępu do kodu źródłowego i dużej ilości dokumentacji opisującej jak go modyfikować. Zarządzanie finansami Tak samo jak legalne firmy, syndykaty muszą śledzić podstawowe wskaźniki, takich jak liczba kontrolowanych przez nie zainfekowanych urządzeń, liczba przechwyconych kont bankowych i ilość środków z nich wyprowadzonych itd. Używają komercyjnych narzędzi do zarządzania procesami biznesowymi, systemów finansowych, baz danych i portali internetowych do zarządzania wszystkimi procesami, począwszy od tworzenia oprogramowania do płatności. Jak to zatrzymać Głównym wyzwaniem w zakresie powstrzymania cyberprzestępczości jest dzisiaj niemożność zapobiegania ich produkcji. Próby zatrzymania procesu rozwoju produktu staje się niekończącą zabawą w kotka i myszkę. Raz udostępniony publicznie, złośliwy kod staje się niezwykle trudny do zlikwidowania. Instytucje rządowe są właściwie bezsilne, ponieważ liczba zagrożeń znacznie przewyższa ilość zasobów rządowych przeznaczonych do ich ścigania i unieszkodliwiania. Eksperci z FortiGuard Labs zauważają coraz więcej osób i organizacji zaangażowanych w tworzenie i udoskonalanie złośliwego oprogramowania. Pojawia się coraz więcej graczy z powodu konsumeryzacji nielegalnego oprogramowania i usług przestępczych każdy może sobie dorobić na tym rynku, nawet bez przygotowania technicznego. Jest coraz gorzej Fortinet co miesiąc pracuje nad milionami próbek złośliwego oprogramowania, ich ilość jest aktualnie trzy razy większa nić w grudniu 2008. Wzrost ten wymaga od dostawców i badaczy z branży bezpieczeństwa IT bycia na bieżąco z najnowszymi zagrożeniami. Mimo tej ponurej perspektywy, mieliśmy do czynienia z kilkoma sukcesami w walce przeciwko znaczącym zagrożeniom. Na przykład botnety Conficker i Mariposa były tak duże, że powstały specjalne grupy zadaniowe do walki z nimi (grupy roboczne Conficker i Mariposa). Jednym z sukcesów było unieszkodliwienie botnetu Butterfly/ Mariposa w marcu 2010. Botnet zainfekował w sumie ponad 12 milionów komputerów, z czego ponad połowa należała do firm z listy Fortune 1000 i ponad 40 głównych banków. Twórca i pięciu jego współpracowników zostało aresztowanych. 7 p

Prominentna sieć Zeus/Zbot została również oficjalnie zamknięta we wrześniu 2010. Podczas akcji oskarżonych zostało 11 obywateli Europy Wschodniej, zarzuty postawiono również 73 Mułom, z których 37 było podejrzanych o przetransferowanie ponad 3 milionów dolarów, a 36 o tranfer 860 000 dolarów należących do 34 ofiar korporacyjnych i prywatnych, oraz odkryto, że Muły przyjechały do USA na legalnych wizach pracowniczych. Holenderska Jednostka ds. Przestępczości Wysokotechnicznej unieszkodliwiła botnet Bredolab, w czasie akcji został aresztowany jeden Armeńczyk. Mężczyzna kontrolował 143 serwery, które z kolei miały pod kontrolą 29 milionów zakażonych komputerów. Holenderscy prokuratorzy podejrzewali, że zarabiał 139 tys. dolarów na samym spamie. W listopadzie 2010 wciąż istniał inny botnet Bredolab. Koobface był zamykany kilka razy, w tym raz w listopadzie 2010, kiedy brytyjski ISP Coreix odłączył dostęp jego do serwerów zarządzających. Był to częściowy sukces, bo botnet pojawił się ponownie cztery dni po jego zamknięciu. Było to spowodowane przez technologię, którą wykorzystuje Koobface, a która umożliwia operatorom szybkie jego odbudowanie. W tej sytuacji wyłączony został tylko serwer środkowej warstwy, podczas gdy główny serwer pozostał online, umożliwiając operatorom ponowne przejęcie kontroli. Nie było również aresztowań, przejęta została jedynie infrastruktura. Operatorzy pozostali na wolności, ponieważ nie rozpoczęto pełnego śledztwa od razu. Jest bardzo ważne aby w pełni rozumieć wszystkie składniki botnetu przed rozpoczęciem jakichkolwiek działań. Z pomocą Jednostki ds. Przestępczości Cyfrowej firmy Microsoft we wrześniu 2011 został wyłączony botnet Kelihos, który podobno składał się z 40 000 botów. Wspólnym wysiłkiem Microsoftu i rządu USA operatorzy Kelihosa zostali oskarżeni. Niestety czynności trwały zbyt długo i kilka dni po wstępnym unieszkodliwieniu botnetu pojawiła się nowa wersja działająca i powiększająca od nowa swoją bazę zakażonych urządzeń. Zatrzymać rejestrację domen Oprócz demontażu centrów dowodzenia i kontroli botnetów istnieje inny sposób na powstrzymanie cyberprzestępców: nie pozwolić na rejestrację ich domen. Kiedy Chiny zostały upomniane za swoją zbyt luźną politykę w zakresie cyberprzestępczości, kraj ten poczynił kilka pozytywnych posunięć w kierunku kontroli rejestrowania swoich domen (.CN), w tym wprowadzono papierowe formularze rejestracyjne w celu zwiększenia monitoringu osób rejestrujących domeny. Ponadto grupa robocza Conficker pomogła we wstępnym filtrowaniu domen przed ich zarejestrowaniem w celu powstrzymania rozwoju tego konkretnego botnetu. Jednak maksymalna efektywność zarządzania domenami wymaga zaangażowania globalnego. Międzynarodowa instytucja grająca rolę mediatora w sporach dotyczących rejestrowania domen, rozprowadzająca materiały do odpowiednich regionów i informacje o nowych trendach byłaby najlepszym rozwiązaniem. Na najwyższym poziomie potrzebny jest centralny kanał raportowania, gdzie sektor prywatny, w tym zweryfikowani dostawcy z branży bezpieczeństwa IT, mogliby wysyłać wyniki swoich badań na temat złośliwych domen i byliby wysłuchani. Aktualnie nie ma centralnej struktury raportowania (chociaż jest kilka projektów w toku) incydentów związanych z zagrożeniami cyfrowymi. Istnieje wiele indywidualnych zespołów szybkiego reagowania (CERT) i odpowiadają one na zdarzenia tak szybko, jak mogą. Problem polega na tym, że dyspozytorzy odpowiadają tylko na zdarzenia w ich jurysdykcji. Kiedy zdarzenie ma miejsce w regionie za który odpowiada umocowana prawnie agencja rządowa, często okazuje się, że jej oficerowie są słabo wyszkoleni i/lub nie dysponują odpowiednimi środkami do walki z cyberprzestępczością ogólnie, a z nielegalnym oprogramowaniem w szczególności. Organizacje w stylu FIRST próbują połączyć zespoły CERT we wspólnym działaniu dotyczącym każdego zgłoszonego zagrożenia, ale więcej ludzi musi wiedzieć gdzie się udać i co zgłosić, kiedy odkryją zagrożenie. Jak się obronić? Realistycznie najbardziej efektywnym sposobem ochrony biznesu przed przestępczym oprogramowaniem jest ochrona od wewnątrz. Nie ma centralnych agencji rządowych, które zapobiegałyby rozprzestrzenianiu się cyberprzestępczości. Organizacje muszą same podjąć kroki w celu ochrony swoich klientów i użytkowników. Oznacza to stworzenie kompleksowej, wielowarstwowej strategii bezpieczeństwa składającej się z wielu elementów takich jak zapobieganie włamaniom, kontrola aplikacji, filtrowanie treści www, ochrona przed spamem i antywirus. Obowiązkiem organizacji jest również edukowanie swoich użytkowników na temat dobrych praktyk w zakresie bezpieczeństwa przy 8 www.fortinet. pl

Rys. 9 Portal FortiGuard jednoczesnym tworzeniu odpowiednich mechanizmów umożliwiających narzucenie egzekwowania polityki bezpieczeństwa. FortiGuard Labs prowadzą blog na temat bezpieczeństwa IT (http://blog.fortiguard.com) i portal poświęcony najnowszym zagrożeniom (http://www.fortiguard.com). Dobrze jest również śledzić organizacje takie jak ISACA, żeby być na bieżąco z najlepszymi praktykami odpowiadającymi aktualnemu krajobrazowi zagrożeń. Cyberprzestępczość jest dobrze ugruntowana, dobrze wyposażona i dobrze finansowana. Zatrudnia armię pracowników, podwykonawców i partnerów. Ciągle generuje nowe szkodliwe aplikacje zaprojektowane do obchodzenia mechanizmów bezpieczeństwa, a następnie nakłaniania użytkowników do instalowania złośliwego oprogramowania, ujawniania haseł i kradzieży cennych informacji. Na szczęście nie jest niemożliwa do pokonania. Historia pokazuje, że dzięki współpracy udało się obalić najpotężniejsze botnety i kręgi przestępcze. Podczas gdy syndykaty cyberprzestępcze będą wciąż się rozwijać i mnożyć, organizacje uzbrojone w solidne, wielowarstwowe strategie bezpieczeństwa i dobre praktyki będą odgrywać swoją rolę w ograniczeniu efektywności cyberprzestępczości. Centrala światowa Fortinet Autoryzowany Dystrybutor Fortinet Incorporated Oddział w Polsce Rozwiązań Fortinet w Polsce 1090 Kifer Road, Sunnyvale, ul. Złota 59 Veracomp SA CA 94086 USA Złote Tarasy - LUMEN II, 6 piętro ul. Zawiła 61, 30-390 Kraków Tel.: +1-408-235-7700 00-102 Warszawa Tel.: +48-12-25-25-555 Fax: +1-408-235-7737 9 Fax: +48-12-25-25-500 www.fortinet.co m www.fortinet.com/sales www.fortinet.pl www.veracomp.pl/fortinet

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres