Pregled spletnih groženj v tretji četrtini leta 2016 (1. del)

Razmah spletnega kriminala se kot kaže ne namerava kaj kmalu upočasniti. V tretji četrtini letošnjega leta so bili spletni kriminalci pri svojih dejanjih še bolj iznajdljivi in inovativni kot kadarkoli prej. Posluževali so se domiselnih načinov uporabe tehnologije in orodij za širjenje svojih škodljivih algoritmov. PandaLabs, anti-malware laboratorij podjetja Panda Security je v Q3 zaznal več kot 18 milijonov novih vzorcev zlonamerne kode, kar v povprečju znese kar 200.000 vzorcev vsak dan. To nam kaže jasno sliko, da se trend iz začetka leta 2016 nadaljuje in celo stopnjuje tudi v drugi polovici leta.

V VODSTVU ŠE VEDNO PRILJUBLJENE PREVARE Z VIRUSI RANSOMWARE

graphs_hacker
(Slika: napadi z izsiljevalskimi virusi ne pojenjajo.)

Še vedno so po priljubljenosti krepko v vodstvu trojanski konji, pri čimer večino napadov s trojanskim konjem predstavljajo sedaj že vsem dobro znani izsiljevalski virusi. V tretji četrtini je izplen izsiljevalskih virusov zopet poletel v višave in spletni kriminalci še naprej služijo milijone dolarjev. Čedalje bolj priljubljena tarča postajajo terminali POS, ki jih hekerji najpogosteje okužijo v hotelih in restavracijah, pri čemer ukradejo podatke o kreditni kartici in se z njimi okoristijo s prodajo na črnem trgu.

V zadnjem času smo zasledili kar nekaj pojavitev napadov DDos (Distributed Denial of Service) zelo velikih razsežnosti, ki za ustvarjanje svojih omrežij botnet uporabijo pametne naprave in IP kamere. Tovrstnim napadom bomo še naprej na sledi, prav tako bomo preučili nedavne napade, ki ciljajo IoT (Internet of Things), npr. vdori v ugledne znamke avtomobilov Jeep in Tesla, o katerih je javnost že poročala.

IZSILJEVALSKI VIRUSI “AS A SERVICE”

Izsiljevalski virusi so v kratkem času postali neverjetno dobičkonosen posel, ki tvorcem prevare prinašajo visoke zaslužke. Bolj ko to področje zori in postaja dovršeno, višjih nagrad so kriminalci deležni. Načinov, kako okužiti čimveč računalnikov, je vse več. Julija letos so ustvarjalci izsiljevalskega virusa Petya in Mischa začeli razvijati platformo, ki skrbi za generiranje zlonamerne kode in obdelavo prejetih odkupnin. Platforma je zasnovana tako, da lahko zlonamerno kodo razširja kdorkoli, čeravno sam ni najbolj vešč v razvoju izsiljevalskih virusov. Na ta način ustvarjalci virusov distribucijo prepustijo tretjim osebam, v zameno za distribucijo pa jim ponudijo določen odstotek izplena. S pomočjo tretjih oseb lahko izsiljevalski virusi dosežejo še večji domet in tak način širjenja škodljive kode je v svetu znan kot nov model, ki se imenuje Ransomware as a Service (Raas).

Z RAAS se odpirajo novi trgi in okuženih žrtev je še več. Razvijalci nenehno izdelujejo nove modele izsiljevalskih virusov, distributerji pa jih nezadržno širijo. Več žrtev kot distributer okuži, večji je njegov izplen. V povprečju se delež distributerja začne pri 25% celotne odkupnine, vendar se njihov zaslužek povzpne tudi na 85% odkupnine, v kolikor distributerju uspe od skupnega števila svojih žrtev izsiliti več kot 125 bitcoinov (približno 75.000 ameriških dolarjev) na teden.

raas-600
(Slika: pojavila se je storitev Ransomware as a Service (Raas).)

Razvoj izsiljevalskih virusov je v vzponu, vendar so mu pri PandaLabs tesno za petami. Pred kratkim so analizirali, kako napadalci izkoriščajo Windows PowerShell, da na računalniku zaženejo izvajanje ransomware-a brez da bi uporabnik karkoli prenesel iz interneta, se okužil preko priponke v e-pošti ali sam omogočil zagon virusa preko makrojev v Wordovih dokumentih. Ti napadi so prava nočna mora – znan primer tega je, da nekateri virusi iz družine Locky na računalnik implementirajo t.i. ‘offline-mode’, ki zakriptira podatke še preden je virus prisoten na računalniku.

Poleg tradicionalnih tehnik okužb (preko prevar in neželene elektronske pošte) pa se v zadnjem času pojavljajo tudi nekatere druge tehnike, ki ciljajo izključno na podjetja. V mesecu septembru je skupina napadalcev na strežnik francoskega podjetja uspešno namestila škodljivo kodo imenovano Crysis ransomware. Pri preiskavi je bilo ugotovljeno, da je varnostno luknjo na strežniku predstavljal protokol za povezavo z oddaljenim namizjem, ki je bil na strežniku povezan z internetom. Napadalci so to opazili in več mesecev uporabljali metodo brute-force, da bi se dokopali do poverilnic za dostop do strežnika. Po več kot 100.000 poskusih jim je uspelo uganiti prave poverilnice in okužiti strežnik.

JE SPLETNI KRIMINAL RES TAKO NEVAREN?

Nekateri ljudje so prepričani, da so večja podjetja, ki se ukvarjajo z internetno varnostjo (npr. proizvajalci protivirusnih produktov), vpletena v rast spletnega kriminala, saj to povečuje njihov zaslužek. Vendar številke in raziskave govorijo same zase. Vse več neodvisnih subjektov pripravlja raziskave in statistike, ki nam pomagajo razumeti, o kakšnih razsežnostih spletnega kriminala trenutno govorimo. Državna agencija za kriminal v Veliki Britaniji je objavila poročilo, ki kaže, da je spletni kriminal trenutno prisoten v več kot 50% vseh kaznivih dejanj, storjenih v VB.

bitcoin
(Slika: avgusta se je zgodila ena od največjih kraj denarja v Bitcoinih)

Eden največjih ropov v zgodovini spletnega kriminala se je zgodil 2. avgusta 2016, in sicer podjetje Bitfinex, ki je eno izmed večjih podjetij v svetu za digitalno izmenjavo valut, je v prevari izgubilo 60 milijonov dolarjev (denar je bil odtujen v valuti Bitcoin). Spletni nepridipravi so izpraznili njihovo t.i. bitcoin banko, kamor so stranke nalagale in shranjevale svoje bitcoine. Še vedno ni nobenih dokazov, kdo sploh stoji za napadom, podjetje Bitfinex pa ni podalo razlage, kako je do napada prišlo. Oblasti situacijo še vedno preučujejo.

Mesec dni kasneje, septembra 2016, je svetovno znani novinar, ki preučuje področje spletnega kriminala, Brian Krebs, odkril vDOS – donosen posel, ki je ponujal DDos napade ‘as a service’ (kot storitev). Kmalu po njegovem odkritju so bili idejni vodje vDOS-a aretirani (pred tem so sprožili več kot 150.000 napadov in zaslužili 618.000 ameriških dolarjev v dveh letih). Po njihovi aretaciji je bil tarča enakega napada tudi sam Krebs. Njegova spletna stran zaradi napada ni delovala teden dni, nakar mu je na pomoč priskočil Google in preko Project Shield-a omogočil njeno ponovno delovanje. Krebs je podrobnosti opisal  v članku »The Democratization of Censorship«, ki je dostopen na njegovi spletni strani.

(konec 1. dela)

Komentiraj

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

This site uses Akismet to reduce spam. Learn how your comment data is processed.