Cybercrime as a Service

Az iparosodó kiberbűnözés minden eddiginél gyorsabban és hatékonyabban profitál az informatikai infrastruktúrákat érő támadásokból. A virtuális fizetőeszközök használatával a támadók olyan üzleti modelleket hoztak létre, amelyek sok hasonlóságot mutatnak a törvényesen működő vállalkozásokkal. Bevételi forrásokkal, tervezett költségvetéssel, piackutatókkal, fejlesztőkkel és tesztelőkkel rendelkeznek, sőt garanciát is vállalnak a szolgáltatásként megrendelt támadások sikerességére. Egyúttal eltűnik a határvonal az etikus és a rosszindulatú hackerek között.

Ma már bárki viszonylag könnyen vásárolhat kártevőt és indíthat el egy támadást.  Ez az üzleti modell áll az exploit kitek növekedése és a hazai intézményeket is egyre több alkalommal megbénító zsarolóvírusok elterjedése mögött, illetve ez teszi lehetővé a bűnözők számára a gyors innovációt, és a folyamatosan változó, ismeretlen támadások alkalmazását. A Cisco éves biztonsági jelentésében is láthattuk, hogy a kiberbűnözők akciói igen jövedelmezőnek bizonyulnak: egyetlen, a zsarolóvírusok használatával elkövetett közvetlen támadássorozat (Angler exploit kit) átlagosan 34 millió dolláros bevételt hozott éves szinten.

Az Angler Exploit kit a kiberbűnözés mint szolgáltatás egyik kitűnő példája. A rendkívül jövedelmező Blackhole Exploit kit eltávolítása után a bűnözők olyan sebezhetőséget kihasználó kódokat fejlesztettek, amelyek képesek elkerülni a felderítést. A támadók rájöttek, hogy ha folyamatosan módosítják a kódokat, akkor a hatóságok figyelmét az első számú kártevőre irányíthatják, miközben kevésbé feltűnően tevékenykedhetnek az átalakított programokkal. Az Angler Exploit kit is ebbe a sorba illik. A korábbi kódokhoz képest fejlettebb, mert képes új sebezhetőséget kihasználó parancssorozatokat integrálni, beleértve a nulladik napi támadásokat is, valamint egy új, domain árnyékolás nevű technikát is használ. A módszer lényege, hogy a bűnözők ellopják a domain adminisztrátorok belépési adatait, majd aldomaineket hoznak létre a felhasználó tudta nélkül, amelyeket folyamatosan váltogatnak, hogy elrejtsék a szerverük IP címét. Így például az Anglert sem képesek észlelni a hagyományos felderítési eszközök, mivel a nagyszámú aldomainek segítségével a bűnözők megkerülik a hagyományos web alapú biztonsági technológiákat.

A zsarolóvírusok alkalmazása ma már önálló üzletággá vált. Ennek során a kártevő titkosítja az áldozatok számítógépén lévő adatokat - beleértve a fotókat, videókat, szöveges dokumentumokat -, és a titkosítás feloldásáért váltságdíjat kér a felhasználótól. Ennek összegét általában a célponthoz igazodva határozzák meg. Egy felhasználótól maximum néhány száz dollárt, egy vállalattól vagy kormányzati szervtől akár ezreket is kérhetnek. Az összeget általában valamilyen nehezen követhető digitális fizetőeszközben kérik a zsarolók (pl. bitcoin).

A Cryptolocker volt az első zsarolóvírus, amely sikeresen használta a titkosítást, de ma már más kártevők (Cryptowall, Teslacrypt) is részesülni szeretnének ebből a rendkívül jövedelmező üzletágból. Az FBI szerint 2014 áprilisa és 2015 júniusa között a Cryptowall támadások mintegy 18 millió dollárnyi kárt okoztak az áldozatoknak.

Kérdés, hogy mit tehetünk mindezek ellen? Számos példát találhatunk a bűnüldöző szervek és IT biztonsági szakemberek együttműködésére, amelynek során hasznos információkat osztanak meg egymással. A vállalatok digitális értékeinek megvédésén dolgozó szakembereknek is hasonló hozzáállásra van szükségük, azonban nekik a biztonsági technológiák és a rendelkezésre álló információk együttműködését kell elősegíteniük.

A legtöbb szervezet biztonsági rendszere a hálózati, végponti, webes, mobil vagy felhőalapú megoldások kombinációján alapul. A Cisco egy korábbi felmérése szerint a nagyvállalatok akár 40-60 különböző gyártóktól származó biztonsági megoldást is használnak egyszerre, amelyek kevéssé vagy egyáltalán nem működnek együtt. Emellett sok biztonsági részlegnek nincsenek meg a megfelelő anyagi forrásai az olyan alapvető biztonsági lépésekre sem, mint például a hibák rendszeres foltozása, a konfigurációk napi szintű karbantartása, valamint a biztonsági mentési szabályok kialakítása és betartása.

A kiberbűnözés mint szolgáltatás által jelentett kihívásokra válaszul átláthatóságra és ellenőrzésre van szükség mindig és mindenhol: a támadások előtt, alatt és után egyaránt. Ez a telemetrikus adatok folyamatos gyűjtésével és vizsgálatával érhető el, valamint a fájlok szignatúráján túltekintve azonosítani kell az ismert támadásokat is. Továbbá meg kell vizsgálni a fájlok viselkedését, hogy a felszínre kerüljenek olyan veszélyek, amelyek más esetben észrevétlenek maradtak volna, illetve ötvözni kell a helyi adatokat a globális forrásokból származó információkkal, így felgyorsíthatjuk a támadások észlelését és csökkenthetjük a reakcióidőt.

Miután feltérképeztük a rosszindulatú fájlok működését és a támadás hatásait, retrospektív biztonságra van szükség a károk csökkentéséhez: visszamenőleg azonosítani kell a bejutási pontot és meg kell határozni a kártevő lehetséges célpontjainak körét, így kizárhatjuk az újra-fertőződés kockázatát, és megkezdhetjük a helyreállítást.

A kiberbűnözés mint szolgáltatás révén a támadások kifinomultabbá, gyorsabbá és átfogóbbá válnak, ezért olyan védelmi megközelítésre van szükség, amely egyszerre biztosít átláthatóságot és ellenőrzést, mindig és mindenhol.

A Cisco, mint a hálózati piac vezetője, komoly fejlesztéseket és felvásárlásokat hajtott végre és teljesen megújította IT-biztonsági portfólióját. A Cisco informatikai biztonsággal foglalkozó weboldalán felveheti a kapcsolatot a cég szakembereivel, illetve információt kaphat az egyre komplexebb támadásokról és a hatékony védelmi eszközökről is.

[A Cisco megbízásából készített anyag.]