Infractorii informatici lansează atacuri, dar trebuie să își și asigure rapid resurse pe urma acestora. Pentru asta e nevoie de colaborare, de un adevărat ecosistem.
Firma de securitate CrowdStrike a dat publicității, cu ceva timp în urmă, un infografic extrem de interesant, în care grupează elementele corespondente ecosistemului de criminalitate informatică, ceea ce demonstrează că în realitate infractorii cibernetici sunt mult mai interconectați decât ne-am putea imagina.
Practic, aceste grupări care comit infracțiuni prin intermediul internetului își asigură în prealabil lanțuri de aprovizionare complexe, cum ar fi chiar cazul unor companii de software. Mai mult, ei dezvoltă constant relații în cadrul acestui ecosistem infracțional, pentru a dobândi acces la tehnologia esențială care le permite lansarea operațiunilor dorite sau le maximizează profiturile, notează specialiștii de la CERT-RO, într-o postare în pagina instituției.
Potrivit CrowdStrike, aceste tehnologii terțe pot fi clasificate în trei categorii: servicii, distribuire și monetizare.
- Servicii
- Access brokers – atacatori care penetrează rețelele organizațiilor și vând accesul la rețelele interne ale companiilor către alte grupări.
- Kit-uri de phishing – atacatori care creează și mențin kit-uri de phishing, instrumente web-based folosite la automatizarea atacurilor de phishing și colectarea datelor furate.
- Servicii de testare card de debit/credit – instrumente pe care hackerii le utilizează pentru a testa dacă numerele cardului de plată obținute sunt într-un format valid și dacă acel card este (încă) valid.
- Servicii de împachetare malware – instrumente web-based sau desktop-based pe care dezvoltatorii de malware le folosesc pentru a „amesteca” codul tipului lor de malware și pentru a îngreuna detectarea de către un software antivirus.
- Kit-uri webinject – instrumente specializate, de obicei folosite împreună cu troieni bancari, ce permit grupării ce a lansat troianul bancar să insereze cod malițios în browser-ul unei vicitme, în timp ce vizitează un site de e-banking (sau orice alt site).
- Hardware de vânzare – atacatori care vând hardware făcut la comadă, precum ATM skimmers, dispozitive pentru sniffing-ul rețelelor și altele.
- Ransomware – cunoscut și ca Ransomware-ca-Serviciu, aceste grupări vând accesul la tipuri de ransomware sau un panou web-based unde alte grupări își pot construi ransomware-ul personalizat.
- Loaderi – cunoscuți și ca „bot installs”, aceștia sunt atacatori care deja au infectat calcultoare, smartphone-uri și servere cu propriul malware și se oferă să „încarce/instaleze” malware-ul unui alt grup pe același ssitem, astfel încât celălalt grup să-l poată monetiza prin ransomware, troieni bancari, info-stealers, etc.
- Hosting & infrastructură – cunoscute și ca furnizori de hosting bulletproof, numele lor este sugestiv întrucâ furnizează o infrastructură de private web hosting, creată special pentru grupările de criminalitate cibernetică.
- Instrumente de atac DdoS – cunoscute și ca DDoS boosters sau DDoS-de-închiriat, aceste grupuri oferă acces la panouri web-based de unde oricine poate lansa un atac DDoS împotriva unei ținte.
- Anonimizare și criptare – atacatori care vând accesul la proxy-uri private și rețele VPN, astfel încât hackerii să poată ascunde locația lor și originea atacurilor lor.
- Infracționalitate ca serviciu – similar Ransomware-as-aService, dar aceste grupări furnizează acces la troieni bancari sau alte forme de malware.
- Servicii contracarare antivirus – portaluri web private unde dezvoltatorii de malware pot încărca mostre și le pot testa împotriva motoarelor moderne ale sistemelor de antivirus fără teama că malware-ul detectat să fie împărtășit cu creatorul antivirusului.
- Recrutare pentru grupări de infracționalitate cibernetică – grupuri specializate ce recrutează, mituiesc sau păcălesc cetățenii obișnuiți, pentru a participa la operații de infracționalitate cibernetică (ex. cineva care călătorește în SUA în încercarea de a mitui un angajat Tesla să ruleze un instrument malițios în cadrul rețelei interne a companiei).
- Distribuire
- SPAM pe social media și servicii de mesagerie
- Dezvoltarea kit-rilor de exploatare
- Distribuire SPAM pe e-mail
- Achiziționarea de trafic și/sau sisteme de distribuție a traficului
- Monetizare
- ‘Săgeți’ sau servicii pentru încasarea banilor – grupuri care se oferă să se prezinte fizic și să ia bani de la ATM-uri compromise, primesc bani în conturile lor bancare, și apoi îi redirecționează către hackeri, metodă preferată de spălare a banilor sau relocare a serviciului de fraudă.
- Relocarea rețelelor de fraudă – grupuri care iau fondurile furate, achiziționează produse reale și livrează produsul în alte țară. Produsele, de obicei bunuri de lux precum mașini, electronice sau bijuterii, sunt apoi revândute și convertite în bani, care sunt apoi transferați către hackerii care le-au contractat serviciile.
- Piețe de date furate – grupuri care vând date ale companiilor compromise prin intermediul unor site-uri specializate și a canalelor de social media.
- Colectare și vânzare a datelor de card furate – cunoscute și sub denumirea de „carding shops”, sunt de obicei forum-uri unde grupurile de infracționalitate cibernetică merg pentru a vinde datele furate ale cardurilor de plată.
- Spălare de bani – grupuri care operează rețele de companii inactive, folosite ca vehicule pentru activități financiare (shell) prin intermediul cărora mută fondurile din conturi bancare compromise, încasări de la ATM sau jafuri de crypto monede. Anumite servicii de spălare a banilor operează și pe dark web ca „Bitcoin mixing services”.
- Plăți pentru răscumpărări – grupuri specializate în extorcarea vicimelor și care pot fi contractate de alte grupări aflat în posesia unor date furate.
- Fraude online – grupuri specializate în fraude online, precum înșelătorii cu email-uri de business compromise.
- Servicii de criptomonedă – o formă de spălare a banilor, aceste servicii se oferă să „amestece” fonduri furate și să ajute hackerii să piardă urma fondurilor furate.