Как войната ще се пренесе частично или напълно в киберпространството. Как може да се парализира напълно една държава, без да бъде изстрелян един снаряд, ракета или да стъпи един войник на нейна територия. Тезата, че информацията и интернет ще се развият до такива мащаби, че ще заменят конвенционалната армия с дигитална.

Революционни и дори налудничави мисли са били това през 1997 г., когато глобалната мрежа и компютрите още не са били масово разпространени. Идеята се харесва страшно много на сценаристите на четвъртата част от поредицата „Умирай трудно“, която излиза десет години по-късно – в момент, в който информационната революция се пренася в нашите мобилни телефони. Филмът разказва точно това – хакерска група, превзима всички ключови и инфраструктурни системи, сее хаос, а целта е да се отмъкнат милиарди долари инвестиции от Уолстрийт и да се начеше егото уволнен киберспециалист.

Хаосът в реалния свят

Цели 24 години след публикацията на Карлин ставаме свидетели на неговото предупреждение. Колони от автомобили достигащи километри се редят на бензиностанции. Хората зареждат гориво не само в самите коли, но и във варели и туби, като за последно. Описаната ситуация е от последната седмица и тя не идва от бивша Югославия поставена под ембарго през 90-те години на миналия век или от България в месеците веднага след прехода. Тези картини се оказаха временно ежедневие за милиони американци в източната част на САЩ.

От другата страна на Атлантическия океан ирландските здравни служби изключват своите компютърни системи, за да предотвратят атака. Блокирането им поставя под заплаха местното население, поради факта, че все още коронавирус пандемията не е напълно утихнала. Ако хакерите бяха успели да я блокират напълно, властите в Дъблин щяха да бъдат принудени да платят откуп, за да си върнат контрола върху нея.

Двата случая се оказват свързани с едно – недостигът на преработено гориво в Източните Щати е причинено от кибератака. Вследствие на нея, хакерите са изнудвали един от крайните доставчици – Colonial Pipeline, че ако не платят дадена сума пари, няма да им върнат достъп до системата, която пък блокира цялата верига от доставки. Описаната по-горе картина от САЩ не дава голям избор на компанията и тя им превежда 5 млн. долара. Така, Colonial Pipeline си връща контрола над своята мрежа. Пораженията са нанесени, като дори ден след възстановяването на доставките, столицата Вашингтон все още е изправена пред остър дефицит на гориво.

Дигитално отвличане

Случката при Colonial Pipeline е класическа ransomware ситуация. При нея хакерите проникват в системата и „заключват“ достъпа до нея на нейните собственици. След което искат определена сума пари, за да върнат контрола. Това е модерния прочит на отвличане с цел откуп, само че в случая не става дума за човек или вещ, а за дигитална система.

Тя е идентична с положението в Ирландия. Разликата е, че там екипите по сигурност са предотвратили атаката, като са изключили системата навреме. Рискувайки всички вероятни последствия от нейното не функциониране. По този начин те са избегнали сценария при който попадат в ролята на „заложници“ на хакерите.

Аналогови предпазители

Зависимостта ни от компютрите и автоматизираните системи винаги се е разглеждала като нож с две остриета. Затова, някои критични компоненти, било то в отбраната или в инфраструктурата обикновено не са свързани с глобалната мрежа и разчитат на ръчно управление. По този аналогов начин например работят ядрените оръжия на САЩ и Русия, атомните електроцентрали и др, което и предотвратява някой нежелан апокалипсис.

Това се променя с времето. Все по-големи елементи от критична инфраструктура обаче преминават постепенно към дигитализация. Коронавирус пандемията дори насърчи този процес, който се пренася с все по-големи темпове сред крайните потребители, малкия, среден и голям бизнес, както и всякакви институции – образователни, финансови и др.

Дигитализирането води със себе си множество ползи – следене в реално време, по-висока ефективност, по-малко грешки, възможност за реакция от дистанция на момента. Недостатъците са два – при разпадане на връзката или при кибератака, ако няма резервен вариант за ръчно или аналогово управление, всички процеси ще бъдат замразени.

Капанът с плащането

Плащането на „откупа“ от Colonial Pipeline почти сигурно е насърчила атаката в Ирландия. Когато даден престъпник вижда, че определен подход работи и носи пари, то шансът той да се мултиплицира се засилва. Пет милиона долара може да се разглеждат като малка сума за сигурността на транспортната система на Източното крайбрежие на САЩ. Но днес ще са пет, утре ще са десет, след седмица може да достигнем милиарди, а залогът да са хиляди и дори милиони човешки животи.

Според различни експерти в областта на киберсигурността, самите Colonial Pipeline не са имали друг избор, освен да платят. Защото ако не го направят, компанията просто загива на място, поради критичната ѝ роля в обществото. Други са на мнение, че дружеството е допуснала фатална грешка да неглижира своята защита от подобни атаки, както и да няма резервни копия на данните. Ако е разполагала с последните, тя на теория ще може да пусне в работа дублираща система.

Факт е, че хакерската атака над Colonial Pipeline е най-голямата подобна над институция с критично важна инфраструктура. Досега подобни са били насочвани към големи корпорации, а целите са били потребителски данни в повечето случаи. Ransomware атаките бяха ориентирани към богати частни лица или уязвими компании, за които се знае, че може да платят без проблеми дадени суми. Компании, които седят зад критична инфраструктура или услуги досега не са били обект на подобни зловреди действия.

Последиците

Заподозрени в хакерската атака срещу Colonial Pipeline е групата DarkSide. Тя е специализирана в подобен тип ransomware пробиви и „отвличания“. Според ФБР, те са базирани в Русия или Източна Европа. Което повдига поне малко конспиративната теория, че атаката може да има и политически подтекст. Това е предвид обтегната отношения между САЩ и Русия след влизането в длъжност на президента Джо Байдън. Засега, дори Вашингтон се ограничава от подобни коментари, затова няма да задълбаваме в тази хипотеза.

Две са тревожните тенденции, които може да изведем от развитията през последната седмица. Първата е, че хакерите изпробваха ransomware атаки срещу критично важни системи. При това успешно. Втората е, че засегната компания е била принудена да плати, което може да отпуши още подобни опити за пробиване на жизненоважни системи.

The post Когато хакерските атаки загрубеят appeared first on TechTrends България.

Точно такава е интернет платформата NetWalker. Тя предоставя инструменти за незаконно блокиране на данни и изнудването на техните собственици, които трябва да преведат „откуп“, за да си ги върнат. Самата система също така предоставя и пространство, в което да се публикува уличаваща информация за жертви, които не са платили или когато са пробиви важни големи бази с данни. Процесът и инстурментите са популярни и под термина ransomware.

Дейността на NetWalker е била преустановена след съвместна акция на щатските и български власти през тази седмица. Това обяви на своята страница Министерството на правосъдието на САЩ. Те допълват, че платформата е действала насочено срещу различни здравни институции в разгара на коронавирус пандемията и затова нейното сваляне е голям успех в сферата на киберсигурността.

Дейността на NetWalker

Онлайн изнудването и атаките с подобна цел са една от големите заплахи за потребителите онлайн, както и за различни фирми и публични институции. NetWalker правеше този тип незаконна дейност по-лесна, като предоставя цялостна платформа. За ползването ѝ, тя прибира процент от „откупите“.

Ползвателите на NetWalker се делят на две групи – разработчици и филиали. Първите са отговорни за софтуерните инструменти, като се опитват да ги подобрят, за да максимално ефективни и да не се засичат от системите за киберсигурност. Втората група има за цел да подбира „жертвите“ за атаките, като се търсят такива, от които да извлекат възможно най-много информация и съответно пари.

Цялата платформа и нейните елементи са неутрализирани – системата за разплащания и инструментите за криптирана връзка между „похитителите“ и „жертвите“.

По данни на министерство на правосъдието на САЩ, платформата за онлайн изнудване е отговорна за атаки, при които са платени над 27 млн. долара. При акцията на щатските власти е задържан канадски гражданин в щата Флорида, както и са иззети около 454 хил. долара в криптовалута – любимо средство за сенчести трансакции в интернет. Според щатските власти, последната сума е събрана от поне три различни кибератаки с цел откуп.

Българската роля

Българските власти също имат принос за свалянето на NetWalker. Националната следствена служба заедно с Генерална дирекция за борба с организираната престъпност са неутрализирали единия от онлайн елементите. Това е системата за разплащания и комуникация, която се е ползвала от злонамерените филиали, за да се свързват с жертвите.

Ударът срещу NetWalker е доста важен според САЩ, за което те благодарят на българските органи. Причината е, че според разследващите във Вашингтон, кибератаките, които са осъществени чрез платформата за онлайн изнудвания са били специално насочени срещу здравни институции по време на коронавирус пандемията и така са се възползвали от тежката ситуация. През годините, NetWalker се е фокусирал върху редица жертви, сред които са компании, корпорации, болници, полицейски и здравни институции, училища, общини, колежи и университети.

The post Властите в САЩ и България спряха платформа за онлайн изнудвания appeared first on TechTrends България.

Дълго време авторите на криптовирусите разчитаха на обема заразени, тоест колкото повече жертви платят откуп от 100-200 долара, толкова повече приходи. Всъщност обаче повечето хора не плащат. Те са склонни да загубят данните си, но не и да плащат, особено след като няма гаранция, че вирусът няма отново да криптира всичко след няколко дни или часа и отново да поиска пари.

Големият удар

Затова напоследък хакерите насочват криптовирусите към бизнеса. Това им позволява да изградят по-специфична атака, която да насочат към конкретна цел – например голяма компания с много компютри. Веднъж пробита, мрежата на мишената става идеална за разпространение на вируса в нея и едновременно заключване и блокиране на голям брой машини в нея. След това хакерите изискват откуп с размерите на пет- и дори шестцифрена сума, за да върнат достъпа до компютрите.

Компанията за киберсигурност Symantec съобщава, че в момента има нова вълна от атаки с криптовируси към корпорации. Тя е засегнала поне 31 големи компании, включително осем от Fortune 500. Атаката е от хакерската група Evil Group е била прекъсната от експерти за киберсигуност. В противен случай тя е щяла да наруши дистрибуторски вериги и да нанесе щети за милиони долари докато всичко се възстанови.

Атаката WastedLocker е нова, като за пръв път се е появила през май 2020 г. Evil Group е имала по-различен подход от другите подобни групи. Тя не е заплашвала компаниите да публикува корпоративни данни в интернет или да ги предаде на конкуренти. Анализаторите на NCC Group смятат, че това е направено с цел да не привлича нежелано внимание към хакерите от страна на полицията.

Дори и това да е наистина така, разследванията на подобни атаки и без това са много трудни. Нужни са профилирани специалисти, специална техника и много бързо сътрудничество в международен план. Много често атакуващите са в далечна страна и дори и да бъдат локализирани през множеството им прикрития, ангажирането на международни институции и след това на местните сили за сигурност, отнема време, което дава допълнителна възможност на хакерите да се покрият.

Ако през цялото това време компанията-жертва трябва да чака, то тя ще понесе много сериозни загуби. Затова повечето жертви предпочитат или да платят, или възможно най-бързо да възстановят резервните копия и да си върнат системите.

Неприятното неизбежно бъдеще

В същото време хакерите стават все по-добри в атаките си. Те вече не се насочват само към фирмени компютри, но и към други устройства от Интернета на нещата (IOT), сензори, файлови сървъри дори виртуални машини и облачни системи. Всичко това означава много вектори на атака, които компаниите трябва да съобразяват и да защитават.

Друг риск е, че криптовирусите могат да се превърнат и в оръжие. Те могат да бъдат направени така, че да не позволяват декриптиране и да няма начин за „отключването“ им. Резултатът от такива атаки ще е с неприятни последици за жертвите, които може да останат без никакви данни. Затова създаването на резервни копия и тяхната защита от криптовируси ще бъде от критично значение.

Възможностите пред хакерите и криптовирусите действително са много големи. А компаниите отново са в догонващата роля, което означава, че ако не действат бързо и не възпремат този тип атаки като реална опасност, може да се окажат доста неприятно изненадани. Това обаче ще е сложно предизвикателство за тях, защото ще изисква още инвестиции както в технологии, така и в създаването на достатъчно специалисти. Последните все още са в сериозен недостиг за индустрията и това няма да се промени скоро.

The post Криптовирусите се превръщат във все по-голям риск за сигурността appeared first on TechTrends България.