În mintea infractorilor cibernetici și pe urma firimiturilor lăsate în cod

Cristina Vatamanu este Manager Cyber Threat Intelligence Lab din cadrul Bitdefender. Ce face ea? Analizează malware-ul, investighează organizațiile de crime cibernetice și descoperă ce și cine se află în spatele atacurilor. Fără munca ei și a echipei ei, nu ar putea fi identificate amenințări informatice care apoi să poată fi apărate de către produsele de securitate.

Am discutat cu ea și cu Bogdan Botezatu (Director of Threat Research and Reporting) la Bitdefender după prezentarea Cristinei despre modul în care sunt identificate atacurile, dar și ce tendințe putem vedea acum în ceea ce privește securitatea cibernetică.

Unul dintre trendurile cele mai periculoase identificate în laboratoarele Bitdefender este practic un „transfer tehnologic” de la grupările mari de atacatori, care au ca țintă instituții, la atacatorii comerciali. Practic, în lumea infractorilor cibernetici există așa-numite corporații de crime informatice, dar și grupări care sunt susținute de către state, finanțate de guverne.

„Atacurile targetate devin parte a unui research și apoi informațiile ajung pe mâna infractorilor informatici din zona comercială. Aceștia se inspiră din lucrurile făcute de guverne sau de grupări de spionaj industrial și fac malware comercial. Astfel, vedem atacuri din ce în ce mai sofisticate”, explică Botezatu.

Iar dificultatea vine din faptul că o firmă de securitate nu poate identifica atacurile atunci când se întâmplă dacă nu sunt pe acel sistem.

„Există o suprapunere între ceea ce noi numim crimeware și targeted attacks. Tocmai pentru că se inspiră unii de la alții. Iar dacă nu ești pe sistem, e greu să vezi, e greu să afli”, explică și Cristina Vatamanu.

Când vine vorba de atacurile complexe, acestea durează foarte mult, dar au și parte de multă execuție manuală. Hackerii așteaptă mult, iar comenzile sunt date manual pentru a nu lăsa urme în spate.

„Modul în care operează cei care sunt în spatele atacurilor targetate e unul foarte discret. Atacurile ca medie sunt pe sisteme de la jumătate an până la 3 ani până când sunt descoperite. Dacă au un task recurent pe care vor să-l execute, nu-l execută o dată pe oră, ci o dată pe lună, pentru a nu atrage atenție și să nu declanșeze detecții de comportament care pot sări la astfel de acțiuni”, explică și Cristina Vatamanu.

Așa cum am povestit anterior pe start-up.ro, pandemia a fost un factor care a înmulțit atacurile cibernetice. De cele mai multe ori, grupările de criminalitate informatică se folosesc de momente „la modă”, de evenimente curente, pentru a ne păcăli și a impersona instituții normale. Fie că vorbim de atacuri de Crăciun, fie că vorbim despre informații despre războiul din Ucraina sau informații despre pandemie.

„În martie 2020 campaniile agresive au început în Italia, locul unde a fost și prima mare explozie de cazuri în pandemie. Pe măsură ce coronavirusul s-a răspândit pe glob, atacurile informatice au urmat. În Statele Unite am putut vedea faptul că atacurile s-au concentrat pe statele unde au fost cele mai multe cazuri - New York, Florida și California”, a explicat Cristina Vatamanu în cadrul prezentării.

Astfel, în acea perioadă atacatorii au profitat de disperarea oamenilor și de nevoia lor de informație, iar instituțiile publice au fost țintite cu precădere, pentru că focusul lor nu era siguranța cibernetică, ci tratarea pacienților.

„Au fost și câteva spitale lovite în pandemie chiar în București. Am lucrat cu CERT România la remedierea atacurilor cu ransomware la spitale din București”, a explicat Bogdan Botezatu.

În timpul pandemiei, dincolo de înmulțirea atacurilor de tip ransomware care blochează calculatoare prin criptare, s-au înmulțit și momentele când atacatorii chiar primeau banii, pentru că nevoia era de a ține sistemele funcționale.

„Șansele ca banii să fie plătiți erau mari, pentru că aveau nevoie să funcționeze și să deblocheze sisteme pentru a trata pacienți. Numărul de atacuri ransomware a crescut în prima parte a pandemiei cu 530%”, a explicat Cristina Vatamanu.

Trendurile de pandemie au continuat ulterior și mai periculos în 2021, prin apariția unor rețele de ransomware care au atacat furnizori de servicii integrate sau rețeaua de transport de combustibil de la Colonial Pipeline în Statele Unite.

„Au fost printre cele mai mari ransomuri (răscumpărări - n.red.) plătite, undeva la 45 de milioane de dolari, iar la Colonial Pipeline a fost de 4,5 milioane de dolari. Banii au venit înapoi, pentru că FBI a operat arestări și au reușit să securizeze portofelul în care s-a făcut plata crypto pentru ransom. Dar contorizăm acele venituri ca parte din economia subterană”, a explicat și Bogdan Botezatu.

Echipele de cercetători de la Bitdefender sunt mereu în alertă. Odată văzut un atac cibernetic acesta este deconstruit pentru a înțelege caracteristicile sale, de unde vine și, în cel mai bun caz, cine sunt atacatorii. În colaborare cu poliția din toată lumea se pot opri astfel grupări mari de hackeri.

În cadrul prezentării de la Virus Bulletin, Cristina Vatamanu a vorbit foarte mult despre importanța contextului în threat intelligence (dobândirea de informații utile privind factorii ostili din mediul online - n.red.) și amănunte care pot identifica atacatorii. Dar și cum să intri în mintea acestora.

„Creatorii de malware sunt și ei programatori. Și dacă scriu cod pentru diferite amenințări informatice, de cele mai multe ori vor folosi o bucată de cod comun între două proiecte diferite. Și noi vrem să identificăm aceste funcții care sunt relevante pentru o anumită amenințare”, explică Vatamanu.

Practic, în laboratoarele Bitdefender, a explicat Cristina la Virus Bulletin, se identifică funcțiile utilizate în codul sursă al unui atac, se elimină cele care sunt folosite în mod comun sau cele care nu sunt o amenințare și se creează o serie de funcții care reprezintă practic amprenta acelui fișier.

„Împreună cu folosirea algoritmilor, folosim acele amprente pentru a obține informații despre atacatori. Putem să identificăm dacă anumite unelte au fost împărțite între aceștia, practic Ransomware as a Service, în care mai multe amenințări au același dezvoltator, dar sunt folosite de grupări diferite, dar ne oferă și o listă de atribute probabile”, a explicat aceasta.

Din punctul ei de vedere, contextul poate ajuta companiile de securitate, dar și posibilele victime să se apere mai bine. Astfel, rolul echipelor de threat intelligence este să contribuie la reziliența în fața atacurilor, iar contextul poate oferi informații esențiale care să poată fi folosite ulterior în apărare, dar și identificare.

Cu toate că atacatorii informatici nu iau pauză și profită de pe urma tuturor evenimentelor, specialiștii Bitdefender văd și lucruri pozitive în urma pandemiei. Practic, nevoia oamenilor de produse de securitate a crescut, așa că sunt un pic mai bine protejați, mai ales că mulți lucrează de acasă, iar organizațiile au trebuit să aibă grijă de datele lor într-o lume complicată. În plus, multe persoane sau firme au fost forțate să cumpere echipamente noi.

Dar cea mai bună protecție rămâne tot rațiunea. „Oricât de bună ar fi soluția de securitate, dacă ai angajați care mereu deschid atașamente venite întâmplător, atacurile vor avea succes la un moment dat”, a încheiat Cristina Vatamanu.