()

Wstęp

W ostatnim artykule sporo poświęciliśmy na przedstawieniu rodzajów zagrożeń w świecie cyber. Od początku cyklu o cyberbezpieczeństwie wskazujemy na problem coraz większej ilości ataków. Tak naprawdę warto zastanowić się, kto za nimi stoi i jakie są cele osób atakujących zasoby informatyczne. Często w informacjach nt. kompromitacji albo włamań mówi się o tym, co zostało naruszone, wykradzione, albo jakie szkody dany atak wyrządził. Dużo mniej czasu poświęca się na przedstawienie informacji o tym, kto stoi za danym atakiem, czyli kim są cyberprzestępcy. Aczkolwiek patrząc lokalnie, to doniesienia medialne w Polsce często wskazują na ataki za wschodniej granicy.

Zatem kim są cyberprzestępcy i dlaczego atakują organizacje?

Cyberprzestępcy w języku potocznym nazywani są hakerami. Często to podmioty stwarzające zagrożenie dla organizacji, gdzie zamierzają zaszkodzić danej firmie poprzez wykorzystanie jej infrastruktury IT do postawionych sobie celi. Cyberprzestępcą może być zarówno osoba z zewnątrz, jak i z wewnątrz organizacji. Coraz częściej i więcej za wyrafinowanymi atakami cybernetycznymi stoją całe grupy.

Celowo nie określono precyzyjnie terminu cyberprzestępcy, ponieważ zazwyczaj nie da się łatwo określić, kto odpowiada za dany atak cybernetyczny. Sieć nie jest anonimowa, ale dużo trudniej w wirtualny sposób zidentyfikować osobę chcącą wyrządzić szkodę naszej organizacji.

Najpopularniejszy rodzaj cyberprzestępców:

Klasyczni cyberprzestępcy – to podstawowy rodzaj przestępców. Ich celem jest osiągnięcie korzyści finansowych, dzięki uzyskaniu dostępu do poufnych danych lub odcięcia organizacji od ważnych zasobów. Coraz częściej można zauważyć, iż dołączają oni do zorganizowanych grup. Ich umiejętności oraz rodzaje ataków są bardzo zróżnicowane. Tacy cyberprzestępcy nie mają konkretnego targetu co do wielkości organizacji. Czasami kierują się motywami personalnymi, ale najczęściej liczy się szybki i duży zysk.

Cyberprzestępcy z państw terrorystycznych — coraz popularniejsi stają się cyberprzestępcy z państw terrorystycznych. Terroryzm z klasycznych działań zbrojnych coraz częściej przenosi się do sieci. Wysoko wykwalifikowani pracownicy państw terrorystycznych atakują głównie organizacje rządowe oraz firmy powiązane z rządami danych krajów. Celem ataków cybernetycznych, prowadzonych przez cyberprzestępców powiązanych z państwami terrorystycznymi jest uzyskanie danych wywiadowczych, które mogą posłużyć do dalszego szerzenia się terroryzmu. Z tego powodu naturalnymi celami tej grupy przestępczej są organizacje finansowe oraz technologiczne. Państwa terrorystyczne bardzo często współpracują z gangami przestępczymi. Dzięki outsourcingowi części działań państwa terrorystyczne mogą łatwo wyprzeć się, że przeprowadziły dany atak. Ze względu na wysokie nakłady finansowe oraz dostęp do najnowszej wiedzy technologicznej, cyberprzestępcy pracujący dla państw terrorystycznych wykorzystują najbardziej wyrafinowane techniki ataku.

Cyberprzestępcy z wewnątrz organizacji – zdarzą się tak, że cyberprzestępcą zostaje pracownik danej organizacji. Osoby takie działają indywidualnie, jak i również mogą współpracować z gangami, lub na zlecenie w celu uzyskania korzyści materialnych. Przed takimi cyberprzestępcami bardzo trudno jest się zabezpieczyć. Najczęściej do ataków dochodzi w dużych organizacjach lub organizacjach, które posiadają innowacyjną wiedzę technologiczną, której nie da się pozyskać na rynku. Takich przestępców bardzo trudno wykryć. Często są to osoby na wysokich stanowiskach. Mają one dokładną wiedzę na temat działania systemów informatycznych, a przede wszystkim o zabezpieczeniach stosowanych w organizacji.

Cyberprzestępcy aktywiści – są to przestępcy, którzy działają w ramach aktywizmu społecznego. Nie są nastawieni na osiągnięcie własnych korzyści finansowych czy materialnych. Głownie chcą skłonić firmy albo rządy do zmian politycznych czy społecznych. Aktywiści są w stanie wykraść poufne dane z infrastruktury IT danej organizacji w celu osiągnięcia swoich korzyści. Problematyczny może być fakt, że po kradzieży danych, zamiast żądania okupu, wykradzione informacje najczęściej trafiają na strony internetowe, gdzie docierają do wielu odbiorców. Cyberprzestępcy aktywiści działają zarówno indywidualnie, jak i w zorganizowanych grupach.

Cyberprzestępcy – hobbiści. Są to osoby, które hakują w celach edukacyjnych i nie mają zamiaru wyrządzić szkody organizacji. Po złamaniu zabezpieczeń bardzo często informują firmy o tym fakcie, dając również wskazówki pozwalające zwiększyć poziom ochrony. Hakowanie jest dla nich formą rozrywki lub hobby.

kim są cyberprzestępcy - motywy ataków
źródło: https://www.nixu.com/blog/cyber-attack-motives-part-1-why-hackers-hack-who-are-they

Jakie są motywacje cyberprzestępców?

Korzyści finansowe – najczęstszym motywatorem są finanse. Ataki cybernetyczne na wielkie organizacje często skutkują wielomilionowymi okupami. Większość cyberprzestępców wykonuje to jako swoją pracę, ponieważ jest ona niezwykle intratna. Jeden udany atak pozwala im zabezpieczyć się finansowo do końca życia. Nie byliby w stanie tego osiągnąć pracując, jako specjalista do spraw cyberbezpieczeństwa.

Motywy polityczne – kolejnym motywatorem jest chęć wywołania zmian w społeczeństwie. Motyw ten nie jest tak często spotykany, jak ataki w celu osiągnięcia korzyści finansowych, ale nadal jest niezwykle popularny. Najczęściej motywami politycznymi kierują się cyberprzestępcy finansowani przez państwa terrorystyczne.

Motywy osobiste — niektórzy cyberprzestępcy próbują celowo zaszkodzić danej organizacji np. za zwolnienie z pracy. Tacy cyberprzestępcy, którzy działają z powodów osobistych, bardzo często wybierają jako cel ataków organizacje, które działają w sposób nieetyczny lub przyczyniają się do niszczenia środowiska naturalnego, bądź bogacą się krzywdą innych ludzi.

Dla zabawy — ostatnim z popularnych motywów, który wykorzystywany jest przez cyberprzestępców, hobbystów jest zabawa. Niektórzy chcą udowodnić, że są mądrzejsi i inteligentniejsi od wieloosobowych działów bezpieczeństwa, które wymyślają systemy zabezpieczeń w organizacjach.

Zorganizowane grupy przestępcze:

W niniejszym artykule skupimy się na zorganizowanych grupach przestępczych (Advanced Persistent Threat – APT), których powstaje coraz więcej. Są to organizacje, które często prowadzą ataki na zasoby informatyczne wymierzone w konkretne państwa, bądź organizację. Działają długo. Są nieuchwytni, wybitni i skuteczni w tym, co robią. Sieją duże spustoszenie w celach.

Wobec powyższego firmy do zwalczania cyberprzestępczości zaczęły śledzić poczynania takich grup. Jest kilka organizacji, które zajmują się obroną i badaniem cyberbezpieczeństwa — np. Mitre[1], Mandiant (FireEye)[2], Crowdstrike[3] — śledzą i monitorują cyberprzestępców na całym świecie. Grupy APT są numerycznie nazywane przez Mandiant, a w zależności od kraju Crowdstrike nazywa grupy APT według zwierząt. Na przykład chińska grupa APT byłaby oznaczona jako „Panda”, grupy rosyjskie jako „Niedźwiedź”, a Iran jako „Kitten”.

Crowdstrike wprowadził konwencje nazwania grup, dla lepszego monitorowania tych organizacji. W celu kategoryzowania przestępców według ich przynależności do państwa narodowego lub motywacji. Poniżej znajduje się rysunek z nazewnictwem tych grup.

Źródło: Crowdstrike[3]

Konwencje nazewnictwa stosowane przez różne podmioty:

kim są cyberprzestępcy - nazewnictwo stosowane przez różne podmioty

Grupy APT atakują nie tylko narody. Duże korporacje są również głównymi celami niektórych grup APT i bezwzględnie konieczne jest wyłapanie działań APT, zanim zdążą przedrzeć się do danej organizacji. Po wejściu do środka wykorzystują szeroką gamę metod kradzieży cennych informacji dla wewnętrznego wywiadu. W celu otrzymania okupu lub ogólnego sabotażu (np . zamykanie wrogich sieci energetycznych ). Działania te zostały sklasyfikowane przez MITER ATT&CK, który ma 94 różne grupy zarejestrowane jako operacje APT. Grupy te rozciągają się na całym świecie i obejmują w dużej mierze finansowane grupy wspierane przez rząd, a także zespoły łotrów, którzy robią ogromne spustoszenie w świecie cyberbezpieczeństwa. Stąd też dla ułatwienia klasyfikacji danej grupy APT, została wprowadzona tablica Mitre ATT&CK.

Mitre ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), to pierwsza baza wiedzy, która tak szczegółowo prezentuje anatomię ataku oraz wyróżnia taktyki i techniki wykorzystywane przez napastników w rzeczywistych atakach (ten temat zostanie opisany szerzej w kolejnych artykułach). To dostępna na całym świecie baza wiedzy na temat taktyk i technik stosowanych przez hakerów. Oparta jest na rzeczywistych obserwacjach, wykorzystywana jako podstawa do opracowywania konkretnych modeli zagrożeń. Mitre ATT&CK została stworzona przez organizację Mitre wspierającą amerykańskie agencje rządowe. Model Mitre składa się z 14 taktyk oraz przypisanych im technik ataku. Kolumny (taktyki) od lewej do prawej stanowią kolejne fazy ataku. Daną taktykę można realizować za pomocą różnych technik, ale w zależności od zamiarów napastnika nie wszystkie opisane w modelu taktyki muszą zostać wykorzystane. Zbiór technik stosowanych podczas ataku nazywany jest profilem zachowania – procedurą, którą napastnik wykonywał, aby osiągnąć swój ostateczny cel, atakując system.

kim są cyberprzestępcy i dlaczego atakują organizacje?
Źródło: Mitre [4]

Poniżej lista innych źródeł informacji o grupach przestępczych (APT):

  1. Malpedia [5]
kim są cyberprzestępcy - Malpedia

2. Secureworks [6]

kim są cyberprzestępcy? - Secureworks

3.APT Groups and Operations – Google Drive [7]

kim są cyberprzestępcy? - APT Groups and Operations

4.Threat Activity Groups – Dragons [8]

kim są cyberprzestępcy? - Threat Groups We're Tracking

5.Alien Vault Open Threat Exchange [9]

10 najniebezpieczniejszych cyberprzestępców

kim są cyberprzestępcy - lazarus

Lazarus (alias Hidden Cobra, Guardians of Peace, APT38, Whois Team, Zinc)

Powiązana z Koreą Północną grupa Lazarus jest znana z prawdopodobnie największego cybernapadu wszech czasów. Ataku na Bank Bangladeszu, który doprowadził do kradzieży ponad 100 milionów dolarów w lutym 2016 roku. Lazarus stał za wieloma operacjami w ciągu ostatniej dekady. Począwszy od ataków DDoS na południowokoreańskie strony internetowe, poprzez ataki na organizacje finansowe i infrastrukturę w tym kraju. Atak na firmę Sony Pictures w 2014 r. oraz uruchomienie ransomware WannaCry w 2017 roku.

W ostatnich latach Lazarus zaczął działać z ransomware i kryptowalutami. Grupę cechują nieograniczone zasoby i bardzo dobre umiejętności socjotechniczne. Umiejętności inżynierii społecznej zostały wykorzystane podczas kryzysu zdrowotnego związanego z COVID-19. Firmy farmaceutyczne, w tym producenci szczepionek, stały się jednymi z najpilniejszych celów Lazarusa. Według Microsoftu hakerzy wysłali e-maile typu spear phishing, które zawierały „sfabrykowane opisy stanowisk”, wabiąc swoje cele do kliknięcia złośliwych linków.

Lazarus korzysta z różnych niestandardowych rodzin złośliwego oprogramowania, w tym backdoorów, tuneli, eksploratorów danych i destrukcyjnego złośliwego oprogramowania, czasami opracowanego wewnętrznie. Nie szczędzi wysiłków w swoich nieustających kampaniach.

kim są cyberprzestępcy?

UNC2452 (alias Dark Halo, Nobelium, SilverFish, StellarParticle)

W 2020 roku tysiące organizacji pobrało zainfekowaną aktualizację oprogramowania SolarWinds  Orion, dając atakującemu punkt wejścia do ich systemów. Pentagon, rząd Wielkiej Brytanii, Parlament Europejski oraz kilka agencji rządowych i firm na całym świecie padło ofiarą ataku supply chain attack.

Operacja cyberszpiegowska pozostawała niezauważona przez co najmniej dziewięć miesięcy, zanim została wykryta 8 grudnia 2020 r. Firma ochroniarska FireEye ogłosiła, że ​​padła ofiarą sponsorowanego przez państwo atakującego, który ukradł kilka narzędzi jej Red Teamu. To włamanie okazało się bardziej rozległe niż początkowo sądzono . Atak łańcucha dostaw na oprogramowanie SolarWinds Orion był tylko jednym kanałem wejściowym wykorzystanym przez atakującego. Badacze wykryli kolejny atak na łańcuch dostaw, tym razem na usługi chmurowe firmy Microsoft. Zauważyli również, że wykorzystano kilka luk w produktach Microsoft i VMware.

Grupa UNC2452 okazał się najbardziej zaawansowaną, zdyscyplinowaną i nieuchwytną grupą cyberprzestępców. Ich warsztat był wyjątkowy. Pokazali bardzo dobre umiejętności ofensywne i defensywne i wykorzystali tę wiedzę do wtargnięcia, aby ukryć się na tzw. widoku. Grupa wykazała się rzadko spotykanym poziomem bezpieczeństwa operacyjnego, będąc w stanie spędzić tyle czasu w agencjach rządowych i firmach, nie dając się złapać.

NSA, FBI i kilka innych agencji amerykańskich stwierdziło, że operacja była sponsorowana przez Rosję, a Stany Zjednoczone nałożyły sankcje. Argumentowali, że włamanie było prawdopodobnie dziełem Służby Wywiadu Zagranicznego Federacji Rosyjskiej (SVR). Inne wskazówki wskazują na grupę Cosy Bear/APT29. Wydaje się jednak, że historia jest bardziej zagmatwana. Badacze firmy Kaspersky zauważyli kilka fragmentów kodu, które łączą ten atak z rosyjskojęzycznym gangiem Turla (Snake , Uroburos). Jego celem były rządy i dyplomaci w całej Europie i Stanach Zjednoczonych . Spiral, również celował w klientów SolarWinds podczas osobnej operacji.

Equation Group (alias EQGRP, Housefly, Remsec)

Kolejny cyberprzestępca dysponujący wyjątkowymi umiejętnościami i zasobami, Equation Group, zaczął działać na początku XXI wieku, a może nawet wcześniej. Jednak trafił na pierwsze strony gazet dopiero w 2015 r. Po tym, jak badacze bezpieczeństwa z firmy Kaspersky opublikowali raport, w którym wyszczególniono niektóre najnowocześniejsze narzędzia grupy.

Equation Group ma swoją nazwę, ponieważ wykorzystuje silne szyfrowanie i zaawansowane metody zaciemniania (obfuskacji). Narzędzia są bardzo wyrafinowane i zostały powiązane z jednostką NSA Tailored Access Operations (TAO).

Grupa atakowała organizacje rządowe, wojskowe i dyplomatyczne. Instytucje finansowe oraz firmy działające w telekomunikacji, lotnictwie, energetyce, ropie naftowej i gazie, mediach i transporcie. Wiele ofiar pochodziło z Iranu, Rosji, Pakistanu, Afganistanu, Indii, Syrii i Mali. 

Jednym z najpotężniejszych narzędzi Equation Group jest moduł, który może przeprogramować oprogramowanie układowe dysku twardego różnych producentów. W tym Seagate, Western Digital, Toshiba i IBM, w celu utworzenia miejsca w pamięci masowej, który przetrwa czyszczenie i ponowne formatowanie. Grupa stworzyła również oparty na USB mechanizm dowodzenia i kontroli, który umożliwił mapowanie sieci. Zrobił to, zanim podobna funkcja została zintegrowana ze Stuxnetem .

Te najnowocześniejsze technologie trafiły w ręce innych cyberprzestępców. Według firmy Symantec narzędzia firmy Equation Group zostały nabyte i ponownie wykorzystane przez chińskiego cyberszpiega Buckeye (Gothic Panda, APT3, UPS Team). Wykorzystał je w 2016 roku do ataków na firmy w Europie i Azji. Badacze z CheckPoint odkryli, że Zirconium (APT31), inna grupa sponsorowana przez Chiny, sklonowała exploita EpMe firmy Equation Group w celu eskalacji uprawnień systemu Windows, tworząc narzędzie o nazwie Jian. Wszystko to wydarzyło się przed wyciekiem Shadow Brokers w 2017 r. W sieci pojawiło się kilka narzędzi hakerskich stworzonych przez Equation Group, w tym cieszący się złą sławą exploit EternalBlue wykorzystany w ataku WannaCry.

Rozmieszczenie grup APT[10].

Grupy cyberprzestępcze na świecie[10].

Carbanak (alias Anunak, Cobalt – pokrywa się z FIN7)

W 2013 roku w ten sam sposób dokonano włamań na kilka instytucji finansowych. Atakujący wysyłał e-maile typu spear phishing, próbując przeniknąć do organizacji. Następnie używał różnych narzędzi, aby dostać się do komputerów osobistych lub serwerów, które mogłyby posłużyć do wydobycia danych lub pieniędzy. Odpowiedzialny za te ataki cyberprzestępczy gang Carbanak prowadził swoje kampanie skrupulatnie, podobnie jak ataki APT. Często spędzając miesiące w systemach ofiar, będąc niezauważony.

Grupa Carbanak ma prawdopodobnie siedzibę na Ukrainie, a wśród jej celów znajdują się firmy finansowe głównie z Rosji, USA, Niemiec i Chin. Jedna ofiara straciła 7,3 miliona dolarów w wyniku oszustwa przy użyciu bankomat. Podczas gdy innej zabrano 10 milionów dolarów po ataku na jej platformę bankowości internetowej. Czasami grupa nakazywała bankomatom wypłacanie gotówki w określonym czasie bez interakcji człowieka na miejscu.

Kilka firm Security zbadało Carbanak w 2014 roku i wszystkie wyciągnęły inne wnioski. Wydawało się, że Carbanak są to dwie różne grupy korzystające z tego samego szkodliwego oprogramowania. Jedna grupa koncentrowała się głównie na instytucjach finansowych (ta grupa była szczegółowo badana przez firmę Kaspersky). Podczas gdy druga grupa koncentrowała się bardziej na organizacjach detalicznych. Chociaż można sądzić, że była to jedna początkowa grupa, która później wpadła w kilka podgrup”.

W marcu 2018 r. Europol ogłosił, że po skomplikowanym śledztwie aresztował szefa grupy Carbanak. Jednak dzisiaj wielu cyberprzestępców, którzy byli częścią gangu, nadal jest aktywnych, być może należą do różnych grup. Gang cyberprzestępczy FIN7 interesuje się głównie handlem detalicznym i hotelarstwem, podczas gdy Cobalt koncentruje się na instytucjach finansowych.

kim są cyberprzestępcy - sandworm

Sandworm (alias Telebots, Electrum, Voodoo Bear, Iron Viking)

Rosyjska grupa cyberszpiegowska Sandworm została powiązana z niektórymi z najbardziej destrukcyjnych incydentów ostatniej dekady, w tym przerwami w dostawie prądu na Ukrainie w 2015 i 2016 r., supply chain attack NotPetya w 2017 r. Atak w 2018 na Zimowe Igrzyska Olimpijskie w Pjongczangu po zakazie udziału rosyjskich sportowców za doping. Ponadto działanie związane z wyborami w kilku krajach, w tym w USA w 2016 r., Francji w 2017 r. i Gruzji w 2019 r.

W ostatnich latach taktyka, techniki i procedury grupy uległy zmianie w celu zintegrowania oprogramowania ransomware. Oprogramowanie ransomware oparte na szyfrowaniu, powszechnie kojarzone z szeroko zakrojonymi kampaniami cyberprzestępczymi, było łatwo wykorzystane przez cyberprzestępców do pewnego rodzaju destrukcyjnego ataku.

kim są cyberprzestępcy - evil corp

Evil Corp (alias Indrik Spider)

Evil Corp ma swoją nazwę od serialu „Mr. Robot”, ale jego członkowie i ich wyczyny są starsze niż serial. Ta rosyjskojęzyczna grupa jest twórcą jednego z najniebezpieczniejszych trojanów bankowych, jakie kiedykolwiek powstały, Dridex, znanego również jako Cridex lub Bugat. Grupa zaatakowała Garmina w 2020 roku i dziesiątki innych firm.

​​Evil Corp stosuje franczyzowy model biznesowy, dawał dostęp do Dridex w zamian za 100 000 dolarów i 50% przychodów. FBI szacuje, że grupa ukradła co najmniej 100 milionów dolarów w ciągu ostatniej dekady.

Badacze bezpieczeństwa twierdzą, że oprócz Dridex, Evil Corp stworzył także rodzinę oprogramowania ransomware WastedLocker i oprogramowanie ransomware Hades. Firma ESET poinformowała również, że ransomware BitPaymer jest prawdopodobnie dziełem tej samej grupy. To, co wyróżnia tę grupę, to ich skuteczność w atakach, przy czym wiele organizacji bezpieczeństwa porównuje operacje Evil Corp do tego, co widzimy od sponsorowanych przez państwo, dobrze wyposażonych i wyszkolonych hakerów.

W 2019 roku Departament Sprawiedliwości Stanów Zjednoczonych oskarżył dwóch prominentnych członków grupy, Maksima Yakubetsa i Igora Turasheva , o kilka zarzutów karnych, w tym spisek w celu popełnienia oszustwa i oszustwa telegraficznego, ale to nie powstrzymało gangu przed kontynuowaniem działalności. W ciągu ostatnich lat grupa ta opracowała nowe narzędzia i zmieniła markę kilku już narzędzi, aby uniknąć sankcji wprowadzonych przez Departament Skarbu USA, które uniemożliwiłyby ofiarom zapłacenie żądań okupu. Grupa ta nadal się rozwija pomimo aktywnych aktów oskarżenia przeciwko osobom związanym z grupą i sankcji przeciwko ich działalności.

kim są cyberprzestępcy - fancy bear

Fancy Bear (alias APT28, Sofacy, Sednit, Strontium)

Ta rosyjskojęzyczna grupa istnieje od połowy 2000 roku i atakuje organizacje rządowe i wojskowe, a także firmy energetyczne i medialne w USA, Europie Zachodniej i na Kaukazie Południowym. Jego ofiarami prawdopodobnie są niemiecki i norweski parlament, Biały Dom, NATO i francuska stacja telewizyjna TV5.

Fancy Bear jest najbardziej znany z włamania się do Demokratycznego Komitetu Narodowego i kampanii Hillary Clinton w 2016 roku, rzekomo wpływając na wynik wyborów prezydenckich. Uważa się, że za personą Guccifer 2.0 stał Fancy Bear. Według CrowdStrike , inna rosyjskojęzyczna grupa, Cosy Bear, również znajdowała się w sieciach komputerowych Partii Demokratycznej, niezależnie kradnąc hasła. Jednak najwyraźniej oba niedźwiedzie nie były świadome siebie nawzajem.

Fancy Bear atakuje swoje ofiary głównie za pomocą wiadomości typu spear phishing, wysyłanych zwykle w poniedziałki i piątki. Kilkakrotnie rejestrował domeny, które wyglądały podobnie do legalnych, tworząc fałszywe strony internetowe w celu zbierania danych uwierzytelniających.

kim są cyberprzestępcy? - emissary panda

LuckyMouse (aka Emissary Panda, Iron Tiger, APT27)

Ta chińskojęzyczna grupa działa od ponad dekady, atakując zagraniczne ambasady i organizacje z różnych branż, w tym lotniczej, obronnej, technologicznej, energetycznej, zdrowotnej, edukacyjnej i rządowej. Prowadził działalność w Ameryce Północnej i Południowej, Europie, Azji i na Bliskim Wschodzie.

Grupa ma wysokie umiejętności w zakresie testów penetracyjnych , zwykle przy użyciu publicznie dostępnych narzędzi, takich jak framework Metasploit. Oprócz phishingu spear jako metody dostarczania, grupa ta wykorzystuje również SWC (strategic web compromise) w swoich operacjach, aby atakować zestaw ofiar z sukcesem.

Badacze z Trend Micro zauważyli, że grupa może szybko aktualizować i modyfikować swoje narzędzia, co utrudnia badaczom ich wykrycie.

kim są cyberprzetępcy? - REvil

REvil (alias Sodinokibi, Pinchy Spider — spokrewniony z GandCrabem)

Gang REvil , którego nazwa pochodzi od serii filmów i gier wideo Resident Evil, prowadzi jedne z najbardziej skutecznych operacji ransomware-as-a-service (RaaS) i ma swoją siedzibę w rosyjskojęzycznym kraju. Grupę po raz pierwszy widziano w kwietniu 2019 r., wkrótce po zamknięciu osławionego GandCraba , i od tego czasu jej biznes wydaje się kwitnąć. Wśród jego ofiar są Acer, Honda, Travelex i twórcy whisky Jack Daniels, firma Brown-Forman.

REvil zażądali najwyższych okupów w 2021 roku. W celu dystrybucji oprogramowania ransomware REvil współpracuje z podmiotami stowarzyszonymi zatrudnianymi na forach cyberprzestępczych. Partnerzy zarabiają od 60% do 75% okupu.

Deweloperzy regularnie aktualizują ransomware REvil, aby uniknąć wykrycia trwających ataków. Grupa informuje o wszystkich głównych aktualizacjach i nowych dostępnych pozycjach w programie partnerskim w swoich wątkach na forach cyberprzestępczych.

REvil różni się od innych grup ze względu na to, jak bardzo skupieni są na biznesie jego programiści. Mówi się, że w 2020 r. grupa zarobiła ponad 100 milionów dolarów z okupu i groźby ujawnienia danych. W przyszłości planują rozszerzyć swoje możliwości wyłudzeń za pomocą ataków DDoS.

kim są cyberprzestępcy? - wizard spider

Wizard Spider

Rosyjskojęzyczna grupa Wizard Spider została po raz pierwszy zauważona w 2016 roku, ale w ostatnich latach stała się bardziej wyrafinowana, budując kilka narzędzi wykorzystywanych do cyberprzestępczości. Początkowo Wizard Spider był znany ze swojego złośliwego oprogramowania do bankowości towarowej TrickBot , ale później rozszerzył swój zestaw narzędzi o Ryuk , Conti i BazarLoader. Gang nieustannie poprawia swój warsztat, aby być bardziej wyrafinowanym podczas ataków.

Oprogramowania Wizard Spider nie jest otwarcie reklamowany na forach przestępczych, co wskazuje, że prawdopodobnie sprzedają one dostęp lub współpracują tylko z zaufanymi grupami przestępczymi. Grupa prowadziła różne rodzaje operacji, w tym niektóre bardzo specyficzne, często wysokodochodowych kampanii ransomware, znanych jako polowanie na grubą rybę.

Wizard Spider oblicza żądany okup na podstawie wartości swoich celów, a żadna branża nie wydaje się być niedostępna. Podczas kryzysu związanego z COVID-19 wraz z Ryukiem i Contim zaatakował dziesiątki organizacji opieki zdrowotnej w USA. Dotknięte zostały również szpitale z różnych części świata.

kim są cyberprzestępcy? - APT41

Winnti (alias Barium, Double Dragon, Wicked Panda, APT41, Lead, Bronze Atlas)

Winnti to prawdopodobnie zestaw połączonych chińskich podgrup, które przeprowadzały zarówno działania cyberprzestępcze, jak i ataki sponsorowane przez państwo. Jego kampanie cyberszpiegowskie były wymierzone w firmy z branży medycznej i technologiczne, często kradnąc własność intelektualną. W międzyczasie część grupy motywowano wysokimi zarobkami, zaatakowało branżę gier wideo, manipulowało wirtualną walutą i próbowało wdrożyć ransomware.

Trudność w zdefiniowaniu tej grupy wynika głównie z nakładania się kampanii przypisywanych Winnti i innym chińskojęzycznym grupom APT, na przykład zestaw narzędzi i złośliwe oprogramowanie współdzielone przez wiele chińskojęzycznych grup.

Zaobserwowano, że Winnti używa dziesiątek różnych rodzin kodów i narzędzi, a do przeniknięcia do organizacji często wykorzystuje e-maile typu spear phishing. Na przykład w trwającej prawie rok kampanii APT41 włamali się do setek systemów i wykorzystali blisko 150 unikatowych elementów złośliwego oprogramowania, w tym backdoorów, narzędzi kradnących dane uwierzytelniające, keyloggerów i rootkitów. APT41 wdrożył również rootkity i bootkity Master Boot Record (MBR) w ograniczonym zakresie, aby ukryć swoje złośliwe oprogramowanie i zachować trwałość w wybranych systemach ofiar.

Na sam koniec należy przedstawić jeszcze grupy Hacktywistów, którzy również posiadają bogatą historię, a o ich działalności można znaleźć dużo wiadomości w internecie.

kim są cyberprzestępc? - syrian electronic army

Syrian Electronic Army (Hacktivist)

AKA: Deadeye Jackal, SEA

Pochodzenie: Syria

Działalność: od 2011

Cele: Facebook, Forbes, Microsoft, Skype, USA, UK

Techniki/Narzędzia: DDoS, Malware, Phishing, Spamming, Website Defacement

Znane ataki: Ataki na serwisy informacyjne takie jak BBC News, Associated Press, National Public Radio, CBC News, The Daily Telegraph, The Washington Post.

kim są cyberprzesępcy? - anonymus

Anonymous (Hacktivist)

Pochodzenie: zdecentralizowane

Działalność: od 2003

Cele: Brazylia, Kazahstan, Rosja, Tajlandia, Turcja

Techniki/Narzędzia: Guy Fawkes masks, niszczenie stron internetowych, DDoS attacks, kompromitacja w mediach społecznościowych

Znane ataki: Usunięcie of SOHH and AllHipHop websites (2008), Irańskie protesty wyborcze (2009), Operacja Facebook (2011), Okupowanie Wall Street (2011), Shakowanie poczty email w Syryjskim rządzie (2012), Atak DDoS na stronę Watykanu (2012), Federal Reserve ECS Hack (2013), Operacja Hong Kong (2014), Operacja KKK (2015), Operacja Rosja (2022)

Podsumowanie

Powyższa lista przedstawia topowe zorganizowane grupy przestępcze. Gdybyśmy mieli opisać wszystkie powstałaby bardzo ciekawa książka na ten temat. Jak również każdą grupę można by opisać jako jeden artykuł. Głównym zamiarem było przedstawienie głównych grup przestępczych, sposobu działania  i powiązań. W tym artykule zakończymy przedstawianie tych grup. Natomiast w ramach newslettera będą wysyłane informacje nt. kolejnych grup APT. Ponadto zachęcam samemu do zagłębiania tematu bądź też śledzenia badaczy firm, które monitorują te grupy. Sposób działania może pokazać w jaki sposób, należy chronić swoją organizację, albo na co zwracać większą uwagę.

Pozdrawiam Mariusz 🙂

Bonus

Na koniec przedstawiam rekomendacje firmy Crowdstrike[11] odnośnie ochrony przed grupami przestępczymi:

01 Chroń wszystkie zasoby

Organizacja jest bezpieczna tylko wtedy, gdy każdy zasób jest chroniony. Musisz zabezpieczyć wszystkie krytyczne obszary ryzyka przedsiębiorstwa: punkty końcowe i obciążenia w chmurze, tożsamość i dane. Szukaj rozwiązań, które zapewniają dokładne wykrywanie,  zautomatyzowaną ochronę i środki zaradcze, elitarne polowanie na zagrożenia i priorytetową obserwację luk w zabezpieczeniach. Zapewnij wysoką higienę IT dzięki inwentaryzacji zasobów i spójnemu zarządzaniu lukami w zabezpieczeniach. Pamiętaj, że nie można bronić systemów, o których istnieniu nie wiesz.

02 Poznaj swojego przeciwnika

Za każdym cyberatakiem stoi człowiek. Jeśli znasz przeciwników atakujących branżę lub geolokalizację, w której znajduje się Twoja organizacja, możesz przygotować się do lepszej ochrony przed stosowanymi przez nich narzędziami i taktykami.

03 Bądź gotowy, gdy liczy się każda sekunda

Szybkość często decyduje o sukcesie lub porażce. Jest to szczególnie prawdziwe w przypadku cyberbezpieczeństwa, gdzie potajemne naruszenia mogą nastąpić w ciągu kilku godzin z druzgocącymi konsekwencjami. Zespoły ds. bezpieczeństwa każdej wielkości muszą inwestować w szybkość i sprawność podejmowania codziennych i taktycznych decyzji poprzez automatyzację przepływów pracy związanych z prewencją, wykrywaniem, dochodzeniem i reagowaniem dzięki zintegrowanej analizie zagrożeń cybernetycznych obserwowanej bezpośrednio z linii frontu.

04 Powstrzymaj nowoczesne ataki

Prawie 80% cyberataków wykorzystuje ataki oparte na tożsamości w celu złamania legalnych poświadczeń i wykorzystuje techniki, takie jak ruch boczny, aby szybko uniknąć wykrycia. Warto zainwestować w systemy, które umożliwiają bardzo dokładne wykrywanie zagrożeń i zapobieganie atakom opartym o tożsamość w czasie rzeczywistym, łącząc zaawansowaną sztuczną inteligencję, analizę behawioralną i elastycznego mechanizmu polityki do egzekwowania dostępu warunkowemu opartemu na ryzyku.

05 Zaimplementuj Zero Trust

Ponieważ przestępcy chcą zarabiać na swojej działalności, celują w poszukiwanie danych ofiary, szukając korzyści poprzez okup i wymuszenia, a nawet wystawiają dane na aukcję, kto zaoferuje najwyższą cenę. Ponieważ dzisiejsza globalna gospodarka wymaga dostępu do danych w dowolnym miejscu i czasie, niezwykle ważne jest przyjęcie modelu Zero Trust.

06 Monitoruj grupy przestępcze

Przeciwnicy zbierają się, by współpracować, używając różnych ukrytych platform komunikacyjnych i darknetu. Oprócz monitorowania własnego środowiska, zespoły bezpieczeństwa muszą być czujne i monitorować działalność w podziemiu przestępczym. Wykorzystaj cyfrowe narzędzia do monitorowania ryzyka, aby monitorować bezpośrednie zagrożenie swojego przedsiębiorstwa. Otrzymuj wcześniejsze ostrzeżenia o aktywnych zagrożeniach i wykorzystaj tę widoczność, aby zapobiec wyciekom danych i kosztownym atakom ransomware.

07 Usuń błędne konfiguracje

Najczęstszymi przyczynami włamań do chmury nadal są błędy ludzkie, takie jak np. zaniechania wprowadzone w toku zwykłych czynności administracyjnych. Ważne jest, aby ustawić stworzyć nową infrastrukturę z domyślnymi wzorcami, które ułatwiają wdrażanie bezpiecznych operacji. Strategia ta zapewnia zakładanie nowych kont w przewidywalny sposób, eliminowanie powszechnych źródeł błędów ludzkich. Upewnij się również, że skonfigurowałeś role i sieciowe grupy zabezpieczeń, aby programiści i operatorzy nie musieli tworzyć własnych profili bezpieczeństwa i przypadkowo robiąc to źle.

08 Zainwestuj w elitarne polowanie na zagrożenia

Zauważono, że 62% ataków nie jest złośliwym oprogramowaniem i odbywa się za pomocą używania klawiatury. Ponieważ przeciwnicy rozwijają swoje umiejętności w ten sposób, aby ominąć starsze rozwiązania bezpieczeństwa, samo autonomiczne uczenie maszynowe nie wystarczy, aby zatrzymać atakujących. Połączenie technologii z ekspertami threat hunting jest absolutnie obowiązkowe, aby wykryć i powstrzymać najbardziej wyrafinowane zagrożenia.

09 Zbuduj kulturę cyberbezpieczeństwa

Podczas gdy technologia ma kluczowe znaczenie w walce o wykrywanie i powstrzymywanie włamań, użytkownik końcowy pozostaje kluczowym ogniwem w łańcuchu powstrzymywania naruszeń. Należy zainicjować programy uświadamiające użytkowników, w celu zwalczania ciągłego zagrożenia phishingiem i powiązane techniki socjotechniczne. W przypadku zespołów ds. bezpieczeństwa praktyka czyni mistrza. Zachęcaj środowisko, które rutynowo wykonuje ćwiczenia oraz zespoły red team/ blue team, aby zidentyfikować luki i wyeliminować słabe punkty w twoich praktykach i reakcjach na cyberzagrożenia.

[1]https://attack.mitre.org/groups/

[2]https://www.mandiant.com/resources/insights/apt-groups

[3]https://adversary.crowdstrike.com/en-US/

[4]https://attack.mitre.org/matrices/enterprise/

[5]https://malpedia.caad.fkie.fraunhofer.de

[6]https://www.secureworks.com/research/threat-profiles

[7]https://docs.google.com/spreadsheets/u/1/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/pubhtml#

[8]https://www.dragos.com/threat-groups/

[9]https://otx.alienvault.com/browse/global/adversaries

[10]https://andreacristaldi.github.io/APTmap/

[11]The CrowdStrike 2022 Global Threat Report

[*]https://www.fireeye.com/cyber-map/threat-map.html

[**]https://livethreatmap.radware.com/

The form you have selected does not exist.

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić