Analiză The Economist: Atacurile de tip ransomware ar putea paraliza țările, nu doar companiile

Share

În octombrie, infractori cibernetici au pătruns în Biblioteca Britanică, o instituție de renume din inima Londrei, i-au criptat datele și au cerut bani în schimbul cheii. Câteva luni mai târziu, biblioteca și catalogul său de 14 milioane de cărți au rămas offline, fără a se întrevedea un final, scrie The Economist.

Atacurile similare de tip ransomware – în care infractorii criptează sau fură date și cer o răscumpărare pentru a le decripta sau pentru a nu le divulga – nu doar că subminează afacerile și afectează prosperitatea în America de Nord și Europa. Atacurile motivate financiar asupra infrastructurii, cum ar fi școlile, spitalele și utilitățile de energie electrică, reprezintă, de asemenea, o amenințare mare și în creștere la adresa securității naționale. Țările occidentale se confruntă acum cu ceea ce o comisie parlamentară britanică a descris la 13 decembrie ca fiind „un risc ridicat [de] atac catastrofal de ransomware în orice moment”.

Dimensiunea problemei nu este ușor de măsurat. Companiile care sunt piratate sau care plătesc o răscumpărare sunt reticente să recunoască acest lucru. Cifrele în creștere reflectă mai degrabă o mai bună detectare decât mai multe atacuri. Dar ceea ce este clar este că, după o acalmie în 2022, cauzată în parte de o divizare între hackerii ruși și ucraineni, atacurile ransomware sunt din nou la apogeu. Oficialii se așteaptă ca 2023 să se dovedească a fi cel mai rău an înregistrat vreodată.

Numărul victimelor este îngrijorător. În cele patru luni până în octombrie, numărul celor care figurează pe „site-urile de scurgere”, unde atacatorii dau numele victimelor care refuză să plătească, a fost cel mai mare înregistrat vreodată, potrivit Secureworks, o firmă de securitate cibernetică. Sophos, o altă astfel de firmă, estimează că, în medie, plățile individuale de răscumpărare s-au dublat, de la aproximativ 800.000 de dolari în 2022 la peste 1,5 milioane de dolari în primele trei luni din 2023. Iar Chainalysis, o companie de date, estimează că plățile de răscumpărare între ianuarie și iunie 2023 au însumat 449 de milioane de dolari, comparativ cu aproximativ 559 de milioane de dolari pentru întregul an 2022. Aceste cifre ar putea reflecta doar vârful aisbergului.

Amenințarea din ce în ce mai mare reprezentată de ransomware are loc pe fondul unei schimbări în natura afacerilor. O activitate dominată cândva de câteva grupuri criminale mari face acum loc unui mozaic de atacatori mai mici, mulți dintre ei cu sediul în Rusia sau în alte state ex-sovietice, care pot cumpăra instrumentele de hacking necesare. Țările occidentale ripostează cu sancțiuni și cu propriile atacuri cibernetice. Cu toate acestea, acest lucru nu pare să fi oprit valul de plăți de răscumpărare, care îmbogățește grupurile criminale – și, astfel, poate exacerba problema pentru anii următori.

Ransomware a fost în principal o problemă occidentală, dar se răspândește la nivel global. America, Australia, Marea Britanie, Canada și Germania sunt cele mai afectate țări, dar Brazilia și India nu sunt la mare distanță. Victimele provin din sectorul public și din cel privat – în ultimele săptămâni, atacurile au lovit, printre altele, un furnizor italian de servicii cloud care găzduiește date guvernamentale, agenția energetică din Germania și o bancă chineză din New York. Un atac în ajunul Crăciunului a perturbat asistența medicală de urgență la o rețea de spitale germane, iar atacurile asupra sectorului educației sunt în creștere. Toate acestea se adaugă la o criză de securitate națională gravă, dar care arde la foc mic. „Este singurul tip de crimă organizată care ar putea bloca țara”, a avertizat recent Graeme Biggar, directorul National Crime Agency (NCA) din Marea Britanie.

Acest risc este relativ nou. Ransomware, spune Will Lyne, șeful serviciului de informații cibernetice al NCA, a fost cândva o „problemă de nișă a criminalității cibernetice”, care a atras puțină atenție în cadrul guvernului. Acest lucru a început să se schimbe în urmă cu cinci-zece ani, odată cu ascensiunea criptomonedelor, precum Bitcoin. Cea mai grea parte a unui atac ransomware era cândva încasarea și spălarea răscumpărării. Atacatorii trebuiau să cumpere bunuri de lux folosind credențiale bancare furate și să le vândă pe piața neagră din Rusia, pierzând probabil 60-70% din profit pe parcurs. Criptomoneda le-a permis să încaseze imediat banii cu un risc redus.

Dar cea mai mare schimbare a fost creșterea ransomware-as-a-service, sau RAAS. Grupurile mari de crimă organizată, cum ar fi Evil Corp din Rusia, își dezvoltau cândva propriile instrumente și infrastructuri, cum ar fi malware și servere, așa cum ar face o corporație integrată pe verticală. Unii continuă să facă acest lucru. Câteva dintre aceste mari bestii sunt încă active: LockBit, grupul fruntaș, probabil cu sediul în Rusia, a fost implicat în peste un sfert din atacurile ransomware și de extorcare aferente între ianuarie 2022 și septembrie 2023, potrivit ZeroFox, o companie de securitate cibernetică.

Ceea ce s-a schimbat este faptul că „afiliații” mai mici pot cumpăra acum servicii avansate de la furnizori specializați: totul, de la malware până la redactarea profesională a mesajelor de tip „copywriting” pentru e-mailurile de phishing care îi ajută pe hackeri să se impună într-o afacere. Acest comerț este lubrifiat de piețe online care nu existau în urmă cu cinci ani. Unul dintre acestea, Genesis Market, care a fost închis în aprilie, oferea ilicit spre vânzare 80 de milioane de credențiale, furate de la 2 milioane de persoane. Costul cumpărării unui credențial, cum ar fi datele de conectare ale unui angajat la rețeaua unei companii, era de obicei mai mic de 100 de dolari, unele dintre ele fiind vândute pentru doar un dolar. A devenit mai ușor și mai ieftin ca niciodată să organizezi un atac ransomware.

O consecință a acestei diviziuni crescânde a muncii este trecerea la grupuri mai mici. Multe dintre cele noi sunt formate din doar patru-cinci persoane. O altă consecință este că amenințarea se schimbă în permanență. „Când am început să analizăm problema ransomware, urmăream poate o duzină de variante diferite de ransomware în același timp”, spune Lyne, referindu-se la diferitele tipuri de coduri malițioase folosite în atacuri. În prezent, cifra este aproape de 100, spune el.

În plus, „dwell time” median – timpul dintre momentul în care un atacator obține acces la o rețea și își execută ransomware-ul – a scăzut de la 5,5 zile în 2021, la 4,5 zile în 2022 și la puțin sub 24 de ore în 2023, potrivit Secureworks. În 10% din cazuri, ransomware-ul a fost implementat în mai puțin de cinci ore de la intruziunea inițială. Majoritatea atacurilor nu sunt sofisticate – „Nu am văzut un atac ransomware interesant de mulți ani”, spune un oficial -, dar sunt rapide. Acest lucru le oferă sistemelor de apărare mai puțin timp pentru a detecta atacurile în desfășurare.

În același timp, modelul de afaceri al ransomware-ului se schimbă și el. În trecut, hackerii cereau o răscumpărare în schimbul decriptării datelor victimei. Dar criptarea datelor este, de obicei, partea cea mai solicitantă din punct de vedere tehnic a unui atac și cea mai susceptibilă de a alerta o victimă. În prezent, atacatorii filtrează aproape întotdeauna datele și amenință că le vor publica online; într-o minoritate tot mai mare de atacuri, aceștia nici măcar nu se obosesc să le cripteze. Unele cazuri implică, de asemenea, o „triplă extorcare”, infractorii identificând pentru extorcare persoane importante din cadrul unei companii, cum ar fi un director general.

Căutarea vulnerabilităților

Este extrem de greu să oprești toate acestea. Majoritatea atacurilor nu vizează o anumită întreprindere. Atacatorii, la fel ca hoții de mașini care testează portierele deblocate, tind să pulverizeze e-mailuri de phishing către o gamă largă de organizații dintr-un anumit sector sau să vâneze vulnerabilități cibernetice în produse de întreprindere, cum ar fi rețelele vpn, care permit angajaților accesul de la distanță la locul de muncă. O igienă cibernetică de bază, inclusiv realizarea de copii de rezervă a datelor, schimbarea parolelor și aplicarea de patch-uri software, ar rezolva o mare parte din problemă. Totuși, natura umană fiind ceea ce este, scutul va avea întotdeauna găuri.

Răspunsul normal al organelor de aplicare a legii – investigarea, arestarea și urmărirea penală – rareori funcționează. Deși unii atacatori se află în jurisdicții, precum România și Ucraina, unde cooperarea sau extrădarea sunt fezabile, majoritatea se află în locuri precum China, Iran, Coreea de Nord și Rusia, dincolo de raza de acțiune a instanțelor occidentale. Există, spune Biggar, un „spectru de complicitate statală”, unele grupuri cu sediul în Rusia fiind strâns legate de serviciile de informații ale țării, iar altele fiind pur și simplu tolerate.

Relația este probabil simbiotică. Hackerii de stat ruși, a căror prioritate este să fure secrete străine, pot folosi programe malware care seamănă cu ransomware pentru a-și deghiza spionajul în activitate criminală. De asemenea, ei pot apela direct la talentul ransomware. Maksim Iakubeț, un membru al Evil Corp, a lucrat pentru FSB, serviciul de securitate internă al Rusiei, și a fost „însărcinat să lucreze la proiecte pentru statul rus”, potrivit unui act de acuzare american.

Iar ransomware-ul poate fi implementat, sau cel puțin încurajat, în conformitate cu obiectivele de politică externă. O lucrare recentă realizată de Karen Nershi și Shelby Grossman de la Universitatea Stanford, care a analizat peste 4.000 de victime între 2019 și 2022, a constatat că mai multe grupuri cu sediul în Rusia au avut tendința de a crește numărul de atacuri în săptămânile dinaintea alegerilor din marile democrații. În plus, companiile care se retrăseseră din Rusia în urma invaziei acesteia în Ucraina erau mai susceptibile de a fi vizate.

Reversul medaliei este că aceste conexiuni obscure între statul rus și infractorii cibernetici oferă o deschidere diplomației. În iunie 2021, la scurt timp după ce un grup cu sediul în Rusia a atacat Colonial Pipeline, o firmă americană care transportă 45% din benzina și motorina folosite pe coasta de est, Joe Biden, președintele american, l-a avertizat pe Vladimir Putin, omologul său rus, împotriva atacurilor asupra infrastructurilor critice. Ulterior, Rusia a arestat hackeri asociați cu grupul Revil, inclusiv unul legat de atacul asupra conductei. Dar nenumărați alții au fost lăsați neatinși și continuă să opereze nestingheriți.

Din ce în ce mai mult, guvernele occidentale recurg la atacarea directă a hackerilor. Primul atac public a avut loc în 2021, când Comandamentul cibernetic al Pentagonului a piratat serverele Revil și i-a blocat site-ul, determinând grupul să intre în panică și să se desființeze. Numai în acest an, America și aliații săi au atacat Hive, care a extorcat peste 100 de milioane de dolari de la victime, Qakbot, un malware prolific folosit pentru a fura acreditări, și, pe 19 decembrie, grupul de ransomware Blackcat, care a atacat peste 1.000 de organizații, colectând 300 de milioane de dolari din cele aproximativ 500 de milioane de dolari în cereri de răscumpărare. Între timp, activitățile secrete împotriva grupurilor de ransomware au ca scop să semene neîncredere în rândul membrilor acestora, așa cum s-a întâmplat în 2022 la Conti, cel mai profitabil grup de ransomware din ultima vreme. Membrii săi ruși și ucraineni au început să se dușmănească, grăbind declinul său.

Rachel Noble, directorul general al Direcției de semnale australiene, care este responsabilă de acțiunile cibernetice ofensive, a declarat în octombrie în Senat că agenția sa a efectuat „evaluări oficiale ale daunelor de luptă” pentru a judeca dacă operațiunile au avut un efect real prin degradarea unui sindicat criminal sau prin afectarea reputației acestuia. Ea a precizat că au avut loc între 30 și 50 de activități individuale împotriva infractorilor cibernetici în anul precedent. Concluzia a fost că acestea au fost „foarte eficiente”. Alți oficiali occidentali sunt de acord, deși spun că dovezile în acest sens sunt clasificate.

Există unele indicii că operațiunile occidentale au avut, de asemenea, un efect de descurajare mai larg. De la episodul Colonial Pipeline din 2021, grupurile de ransomware au avut tendința de a evita țintele de profil înalt care ar putea să le pună în vizorul agențiilor de informații occidentale. O consecință a acestui fapt, potrivit lui Joseph Jarnecki și Jamie MacColl, ambii de la Royal United Services Institute, un think-tank din Londra, a fost un număr tot mai mare de atacuri asupra unor ținte mai blânde din țările cu venituri mici și medii, care au o apărare mai slabă și sunt mai puțin susceptibile de a riposta.

În ciuda acestui efect de deplasare, operațiunile ofensive nu reprezintă un glonț de argint. Marile eliminări, precum cele împotriva Hive și Qakbot, sunt rare, spune un oficial familiarizat cu această problemă, deoarece procesul este „lung, minuțios și incredibil de intensiv în resurse”, cu multe fundături pe parcurs. În plus, efectele pot fi dramatice, dar de scurtă durată, asemănătoare consecințelor uciderii liderilor grupurilor teroriste.

Contraatac prin intermediul instanțelor

Un al doilea aspect al luptei a implicat măsuri legale. America și Marea Britanie au impus sancțiuni împotriva a zeci de infractori cibernetici, cel mai recent în septembrie împotriva a 11 membri ai Trickbot, un grup de infractori cibernetici, și Conti. Sancțiunile funcționează în parte prin faptul că îi vizează pe capii ransomware și îi împiedică să călătorească sau să-și cheltuiască banii în străinătate. Dar ele exploatează, de asemenea, un aspect unic al modelului de afaceri al infractorilor.

Paradoxul ransomware-ului, spune Max Smeets de la Centrul pentru Studii de Securitate al Universității ETH Zurich, este că funcționează numai dacă victimele au încredere în atacatori, o dinamică care distinge ransomware-ul de spionajul cibernetic sau chiar de alte tipuri de criminalitate cibernetică, cum ar fi frauda directă. Victimele trebuie să aibă încredere în faptul că șantajiștii lor vor decripta datele sau se vor abține de la publicarea acestora dacă se plătește o răscumpărare. Așadar, atacatorii au nevoie de o reputație de onestitate și competență. Ei urmăresc să construiască mărci care să întruchipeze aceste virtuți. Deși hackerii de stat doresc, în general, să treacă neobservați, atacatorii de ransomware vor publicitate. LockBit, de exemplu, a oferit 1.000 de dolari persoanelor care își tatuează logo-ul grupului pe corp.

Acest lucru dă naștere unei dinamici curioase. Unii atacatori creează mai multe branduri, spune Smeets, pentru a extorca bani de la victimele anterioare sub un nou logo fără a păta reputația originalului. Așa cum gențile de designer de înaltă clasă generează o industrie de imitații, la fel și grupurile mai mici au încercat să profite de reputația firmelor mai mari. Atunci când Conti a făcut implozie anul trecut, un nou grup, Monti, a reprodus imediat codul și a încercat să facă comerț cu numele său.

Sancțiunile – interdicții de călătorie, înghețarea activelor și alte restricții financiare – au potențialul de a perturba acest model, deoarece fac ilegal ca victimele să plătească răscumpărări grupurilor aflate pe lista neagră. Rezultatul este că astfel de grupuri ar putea fi nevoite să renunțe la o marcă pe care au petrecut ani de zile construind-o. Allan Liska de la Recorded Future, o companie de securitate cibernetică, observă că, după ce Evil Corp a fost supus sancțiunilor americane în 2019, a început să își ascundă urma în atacuri prin utilizarea variantelor de ransomware ale altor grupuri. Efectul pe termen lung al sancțiunilor ar putea fi acela de a îngreuna sarcina atacatorilor în a construi mărcile și încrederea pe care se bazează modelul lor de afaceri.

Mulți ar dori să interzică complet plata răscumpărărilor. „Am normalizat plățile de răscumpărare, mari și mici”, deplânge Ciaran Martin, fost șef al Centrului Național de Securitate Cibernetică din Marea Britanie (NCSC). În iunie 2021, JBS, un procesator de carne, a plătit 11 milioane de dolari către Revil pur și simplu pentru a împiedica exfiltrația datelor sale, deși activitatea sa nu a fost în mare parte afectată. „Dacă ceea ce s-a întâmplat la JBS se întâmplă la scară largă, continuu”, spune dl Martin, „atunci suntem terminați”. Guvernele s-au ferit de o interdicție din două motive. Unul este teama că firmele ar înceta să mai raporteze atacurile și ar plăti în secret. Celălalt este că plata răscumpărării este adesea ultima soluție pentru a menține o afacere sau un serviciu vital pe linia de plutire.

Pentru Martin, sarcina cea mai urgentă este de a sparge ideea că plata unei răscumpărări este singura cale de ieșire din problemă. Cheile de decriptare, subliniază el, funcționează adesea în mod imperfect (și în 5% din cazuri nu funcționează deloc). Unele cercetări arată că 80% dintre organizațiile care plătesc sunt din nou lovite și că 29% dintre victimele extorcării de date sfârșesc prin a-și vedea oricum datele divulgate. El îndeamnă să se acorde mai multă atenție cazurilor în care victimele refuză să plătească, cum a fost cazul atacului asupra sistemului irlandez de sănătate din mai 2021, în care atacatorii au renunțat în cele din urmă și au predat cheia de decriptare fără plată, poate că s-au descurajat din cauza consecințelor politice ale faptelor lor.

De asemenea, este important să păstrăm scurgerile de date în perspectivă. Atunci când atacatorii au furat date de la casa de asigurări de sănătate Medibank din Australia în noiembrie 2022 și au cerut o răscumpărare de 10 milioane de dolari pentru a nu le divulga, firma a refuzat să plătească. Decizia sa a fost ajutată de două lucruri. Unul a fost faptul că spionii australieni au depus eforturi asidue pentru a elimina datele scurse de pe dark web și pentru a urmări cine le cumpăra. Celălalt a fost decizia presei australiene de a evita publicarea acestora, ceea ce a diminuat impactul scurgerii de informații. Experiența Australiei „a fost un masterclass despre cum să neutralizezi valoarea unui set de date”, a concluzionat Martin.

De asemenea, un număr tot mai mare de firme apelează la polițe de asigurare împotriva atacurilor de tip ransomware. Piața globală a asigurărilor cibernetice a avut o valoare de 12 miliarde de dolari în 2022 și se preconizează că va crește la 23 de miliarde de dolari până în 2025. În teorie, se aplică problemele obișnuite ale hazardului moral: dacă un atacator știe că o firmă are o asigurare care acoperă plățile de răscumpărare – sau, mai rău, a furat detalii despre poliță – este probabil să crească cererea sa. În practică, însă, asigurarea poate avea un efect benefic. Asigurătorii sunt stimulați să încurajeze deținătorii de polițe să își îmbunătățească standardele de securitate cibernetică. De asemenea, aceștia acoperă alternative la plata răscumpărării, cum ar fi recuperarea datelor, care pot fi mai puțin costisitoare. Poate cel mai important este faptul că asigură accesul la consultanță specializată în domeniul securității cibernetice, ceea ce reduce presiunea asupra victimelor, le oferă timp și le ajută să negocieze mai eficient. Asta poate duce la scăderea plăților.

În prezent, lupta împotriva ransomware-ului este împiedicată de incertitudine. Adevărata amploare a amenințării este prost înțeleasă, susține Megan Stifel de la Ransomware Task Force, o coaliție de experți. Îmbunătățirea datelor este o prioritate. Firmele britanice sunt obligate să raporteze încălcările de date, dar legea este plină de lacune – de exemplu, dacă datele sunt criptate, dar nu sunt furate, avocații pot susține că nu au fost compromise date. O nouă lege americană, Circia, va impune în curând firmelor să raporteze incidentele cibernetice majore și plățile de ransomware către agenția de securitate cibernetică a țării în termen de 72 de ore, dar se aplică doar organizațiilor cu infrastructuri critice, cum ar fi firmele din sectoarele energetic, alimentar și transporturi.

În general, impactul cumulativ al sancțiunilor, al retragerilor și al altor activități a fost destul de limitat. Tehnologia le dă un nou impuls atacatorilor. Instrumentele de inteligență artificială (IA) generativă, precum Chatgpt, ajută la îmbunătățirea tuturor aspectelor, de la calitatea limbii engleze din e-mailurile de phishing până la potența programelor malware, spune Lyne. El subliniază că forumurile online folosite de infractorii cibernetici au deja secțiuni dedicate de IA. În ciuda tuturor eforturilor de perturbare din ultimii trei ani, sindicatele de ransomware rămân „bine dotate cu resurse, adaptabile și [sunt] din ce în ce mai îndrăznețe”, spune MacColl.

The post Analiză The Economist: Atacurile de tip ransomware ar putea paraliza țările, nu doar companiile appeared first on tvrinfo.ro.

  

Ultimile Stiri

Alte Stiri