22 września 2023

Jakie taktyki cyberprzestępcze zdominują ostatni kwartał 2023?

Cyberprzestępcy na usługach państw, coraz bardziej wyrafinowane formy phishingu i zarażanie umysłów młodych ludzi  to tylko niektóre z zagrożeń, jakie narastać będą w najbliższym czasie w sieci – prognozują eksperci ds. cyberbezpieczeństwa.

Cyberprzestępcy to niezwykle aktywnie działająca grupa agresorów. Wciąż poszukują nowych możliwości ataków, sięgając po najnowsze narzędzia technologiczne, konteksty społeczne czy polityczne. Eksperci ds. cyberbezpieczeństwa ESET, bazując na danych m.in. służb brytyjskich i Europolu przygotowali zestawienie trendów cyberprzestepczych, jakie mogą zdominować ostatni kwartał 2023 roku.

Zmiany prawne i instytucjonalne to tylko jeden z elementów tej trudnej układanki, jaką jest walka z cyberprzestępczością. Drugim, niezwykle ważnym aspektem, jest edukacja, ciągłe zwiększanie świadomości i czujności użytkowników, zarówno prywatnych jak i firmowych. Wszyscy możemy stać się celem ataków, a agresorzy są coraz sprawniejsi i dysponują coraz lepszymi zasobami. Wpływa na to nie tylko rozwój nowych narzędzi takich jak AI, ale także coraz ściślejsza relacja między cyberprzestępcami i rządami niektórych państw

Kamil Sadkowski,
analityk laboratorium antywirusowego ESET

1. Coraz ściślejsza relacja między cyberprzestępstwami i niektórymi państwami

Działalność w sieci, inspirowana przez rządy poszczególnych państw oraz działalność cyberprzestępców przez lata stanowiły dwa zupełnie odrębne obszary. Pierwszy obejmował cyberszpiegostwo, czy też szkodliwe ataki dla celów geopolitycznych i militarnych. Drugi – koncentrował się na przynoszeniu atakującym korzyści finansowych. Obecnie niektóre służby dostrzegają jednak coraz ściślejsze i coraz bardziej niepokojące powiązania między państwami i hakerami. Niektórzy atakujący nie tylko wykorzystują techniki cyberprzestępcze do kradzieży pieniędzy na rzecz państwa. Dostrzec można również, że wybrane rządy konsekwentnie przymykają oczy na działalność grup m.in. ransomware. Przedstawiciele brytyjskiej NCA (Narodowa Agencja ds. Przestępczości) przyznają także, że w ciągu ostatniego roku zauważyli, iż niektóre wrogie państwa wykorzystują zorganizowane grupy cyberprzestępców – niekoniecznie tej samej narodowości – do działań pośrednich.  Nie po raz pierwszy eksperci sygnalizują rosnące powiązanie między zorganizowaną przestępczością w sieci, a rządami państw. Kilka miesięcy temu eksperci ESET zdemaskowali m.in. grupę o nazwie Asylum Ambuscade, balansującą w swoich działaniach na granicy przestępczości i szpiegostwa. Jeśli strategie tego typu staną się bardziej powszechne, trudniej będzie identyfikować bezpośrednich inicjatorów ataków, a cyberprzestępcy potencjalnie zyskają dostęp do bardziej wyrafinowanej wiedzy specjalistycznej.

2. Kradzież danych napędza epidemię oszustw

W Wielkiej Brytanii oszustwa i wyłudzenia stanowią już 40% wszystkich przestępstw, a w 2022 r. trzy czwarte dorosłych użytkowników zostało zaatakowanych w ten sposób przez telefon, internet lub bezpośrednio – wynika z danych NCA. Jednym z powodów takiego stanu rzeczy jest ciągły przepływ danych zgromadzonych w tzw. darknecie (ukrytej części internetu). Europol twierdzi, że dane są „głównym towarem” gospodarki cyberprzestępczej, napędzającym wymuszenia (np. działania grup ransomware), inżynierię społeczną (np. phishing) i wiele innych.

Dane sprzedawane w zakamarkach internetu to już nie tylko informacje statyczne, takie jak numery kont. Cyberprzestępcy coraz częściej budują profile ofiar, będące zestawieniem wielu informacji – twierdzi Europol. Łańcuch działań cyberprzestępczych, od kradzieży danych po oszustwo, angażuje wiele przeróżnych podmiotów, od tzw. grup IAB (ang. initial access brokers, pol. brokerów pierwszego dostępu, zajmujących się pozyskiwaniem danych dostępowych) po cyberprzestępców atakujących dostawców bezpiecznych usług hostingowych, zabezpieczenia przed złośliwym oprogramowaniem czy usługi szyfrujące. To zaskakująco skuteczny system. Brytyjskie NCA twierdzi jednak, że ta profesjonalizacja może również przysłużyć się organom ścigania, „zapewniając bogaty zakres celów dla służb, które, w przypadku namierzenia i rozbicia konkretnej grupy przestępczej, mają spory wpływ na ekosystem przestępczy”.

3. Te same ofiary bywają atakowane przez cyberprzestepców kilkakrotnie

Sposób, w jaki działa dziś podziemie cyberprzestępcze, pokazuje, że nawet organizacje, które już zostały zaatakowane, nie mogą być pewne, że najgorsze za nimi. Grupy IAB sprzedają dane dostępowe wielu podmiotom, które zagrażać mogą tym samym użytkownikom. Oznacza to, że ten sam zestaw wykradzionych informacji może być wykorzystany przez wielu agresorów.

Cyberprzestępcy coraz lepiej radzą sobie także z maksymalizacją zysków. Oszuści finansowi mogą kontaktować się z ofiarami już po wykradzeniu ich pieniędzy, po raz kolejny, tym razem podając się za prawników lub policję. Podszywając się pod zaufanych urzędników, proponują np. za opłatą fałszywą pomoc firmom, które zostały dotknięte atakiem.

4. Phishing wciąż zaskakująco skuteczny

Phishing, a więc rodzaj cyberprzestępstwa w którym oszuści podszywają się pod inne osoby, od wielu lat stanowi główny wektor zagrożeń i nadal jest najpopularniejszą metodą pozyskiwania danych uwierzytelniających i osobowych, a także infekowania złośliwym oprogramowaniem. To skuteczna forma ataku, bo człowiek wciąż pozostaje najsłabszym ogniwem łańcuchu bezpieczeństwa, argumentują specjaliści. Z danych Europolu wynika, że obok tzw. ataków siłowych na protokoły RDP (protokoły zdalnego pulpitu) i wykorzystywania błędów VPN, e-maile phishingowe zawierające złośliwe oprogramowanie są najczęstszym sposobem uzyskania początkowego dostępu do sieci korporacyjnych. Narastająca automatyzacja ataków phishingowych umożliwia także ich przeprowadzanie nawet mniej sprawnym technicznie cyberprzestępcom. Europol ostrzega również, że narzędzia generatywnej sztucznej inteligencji są już wdrażane w celu tworzenia fałszywych filmów i pisania bardziej realistycznie wyglądających wiadomości phishingowych.

5. Normalizacja zachowań cyberprzestępczych wśród młodych ludzi

Tzw. darknet (ciemna strona internetu) zawsze był miejscem handlu nie tylko skradzionymi danymi i narzędziami hakerskimi, ale także wiedzą. Według Europolu sytuacja ta utrzymuje się również obecnie, a użytkownicy aktywnie poszukują tam m.in. informacji o tym jak zwiększać skuteczność swoich ataków. Znajdują porady, odpowiedzi i kompletne instrukcje na temat przeprowadzania fałszywych kampanii, wyłudzania pieniędzy, phishingu, wykorzystywania seksualnego dzieci i wielu innych szkodliwych działań.

Bardzo niepokojący jest fakt iż – według Europolu – zarówno ciemne zakamarki internetu, jak i niektóre powszechnie dostępne strony czy fora, wykorzystywane są przez cyberprzestępców także do rekrutowania „świeżej krwi”. Szczególnie narażeni i podatni są młodzi ludzie: w raporcie z 2022 r., wskazano, że 69% młodych ludzi w Europie dopuściło się co najmniej jednego cyberprzestępstwa lub wyrządzenia szkody w internecie, w tym prania pieniędzy i piractwa cyfrowego.

Grzegorz Klocek

Grzegorz Klocek
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34