Cisco Romania Blog
Share

Analiza unei clase aparte de atacuri informatice: Crimeware  


11/08/2016


Știați că Internetul a fost mai sigur în luna iunie a acestui an? E drept, pentru o scurtă perioadă de timp, de numai trei săptămâni, însă peisajul amenințărilor cibernetice s-a schimbat semnificativ.

http---prod.cdata.app.sprinklr.com-DAM-104-CyberSec-68923e6b-8dad-40fb-954d-4b359bdaf930-2122209749-2016-08-11 12-04-03

Pe de o parte, pentru că a dispărut Angler, o formă de crimeware, și unul dintre cele mai sofisticate și răspândite kit-uri de exploatare, iar pe de altă parte, cercetătorii Talos de la Cisco au descoperit o serie de conexiuni între Angler, troianul bancar Lurk și un cont de e-mail înregistrat pe numele unei persoane fizice și cunoscut pentru activități infracționale anterioare.

Dacă termenul de malware a devenit deja celebru, crimeware este definit ca o clasă de malware al cărei obiectiv e obținerea doar de câștiguri financiare. Crimeware este asociat în mod curent cu unele dintre cele mai răspândite și eficiente amenințări din lume, inclusiv cu deja familiarele programe de tip ransomware și kit-uri de exploatare.

Un tip de crimeware este reprezentat de programele utilizate pentru a înregistra fiecare tastă pe care o apasă un utilizator atunci când introduce PIN-ul sau parola (keylogger). Altă metodă e  realizarea de capturi de ecran atunci când este accesat site-ul unei bănci.

Una din principalele caracteristici ale atacurilor de tip crimeware este că infectează utilizatorii în mod nediscriminatoriu, țintind atât persoane fizice, cât și organizații, dar cel mai frecvent este conceput să-i compromită pe cei care interacționează cu această amenințare prin intermediul e-mail-ului și web-ului.

După cum bine știți tot din rapoartele Cisco recente, amenințările ransomware au explodat în ultimele 12-18 luni, prin urmare și sumele de bani atrase de cei care creează și utilizează programe crimeware. Consecința acestui fapt e sporirea numărului și tipurilor de crimeware pe care cercetătorii de la Talos le analizează zilnic.

Angler s-a dovedit a fi kitul de exploatare cel mai sofisticat și cu cel mai ridicat nivel de eficiență în 2015, în medie, 40% dintre utilizatorii care ajung pe un site infectat cu Angler fiind compromişi.

La începutul lunii iulie, au fost arestate în Rusia mai multe persoane suspectate de activități cibernetice cu malware-ul Lurk. Acest troian bancar a acționat doar pe teritoriul Rusiei, de aceea nu există foarte multe informații publice despre această amenințare. Însă cercetătorii de la Talos au descoperit mai multe asemănări între domeniile C2 (command and control) asociate cu Lurk și Angler. 85% din aceste domenii au fost înregistrate pe o singură adresă de e-mail – john[.]bruggink@yahoo[.]co[.]uk – cunoscută ca una dintre cele trei adrese de e-mail asociate și cu Angler.

În urma arestărilor din Rusia s-a petrecut un lucru spectaculos: după numai o săptămână, Angler a dispărut din peisajul amenințărilor informatice. Angler a fost cel mai prolific, sofisticat și de succes tip de atac crimeware. Conform cercetărilor Cisco, utilizatorii acestuia obțineau aproximativ 60 de milioane de dolari anual numai din infecții de tip ransomware.

Dispariția Angler a mai fost raportată și la începutul acestui an, pentru câteva săptămâni, cu toate acestea există indicii că dispariția de acum nu e deloc temporară. Totodată, în doar câteva săptămâni, cercetătorii Cisco au observat o migrare masivă de la Angler la alte kit-uri de exploatare, cum ar fi Rig și Neutrino. O omisiune importantă din lista migrărilor este Nuclear, care a dispărut la scurt timp după publicarea a două rapoarte de cercetare realizate de Talos și Checkpoint.

Nu se știe cu certitudine dacă toate aceste tipuri de amenințări sunt înrudite, însă un singur cont deținea domenii asociate tuturor. Dacă acest grup a orchestrat toate aceste activități, atunci această arestare poate intra în istoria criminalității informatice, fiind de o importanță capitală.

Să ne bucurăm așadar de această veste bună, dar să nu uităm că atunci când un grup infracțional este eliminat se creează un gol, pe care vor încerca să-l umple alte kit-uri mai puțin cunoscute.

Cert este că am aflat astfel că un grup cu mult mai mic decât am estimat era responsabil pentru o foarte mare parte din activitatea crimeware din spațiul cibernetic mondial. Peisajul amenințărilor informatice asociate fenomenului crimeware s-a schimbat dramatic în ultimele săptămâni și va fi interesant să-i urmărim evoluția în lunile următoare.

Tags:
Lăsați un comentariu