Multinacionalni provider cyber-sigurnosti i antivirusnih programa Kaspersky Lab, održao je godišnju PR konferenciju koja nosi naziv Kaspersky NEXT. Konferencija je prethodne dvije godine bila održavana u elektronskoj formi, a ove godine je održana u fizičkom obliku, i to u Zurichu u Švicarskoj.
Medijska grupacija Oslobođenje imala je priliku učestvovati na konferenciji, te između ostalog, čuti najnovije nalaze vezane za darkweb i aktivnosti cyber-kriminalaca.
Yulija Novikova, šefica inteligencije digitalnog otiska u Kasperskom, kroz primjere je navela ko su najčešće žrtve cyber-kriminala, kakvi podaci su na najvećem udaru, te kako Kaspersky reaguje na ove izazove.
Istakla je da Kaspersky pomaže svojim klijentima da ostanu informisani o bilo kakvim eksternim prijetnjama koje mogu doći sa dark weba, deep weba ili “površinskog” weba.
Navela je i zanimljiv primjera pokušaja cyber-kriminalca da putem foruma ukrade podatke pojedinih uposlenika određenih. kompanija.
– Jedne prilike, radeći naš svakodnevni posao, došli smo do jedne zanimljive ponude na dark webu – poruke cyber-kriminalca, člana jednog foruma. Zamolio je zajednicu na forumu da mu pomogne, trebao mu je račun za određene kompanije. On je dostavio spisak zaposlenih u ovih kompanija čije je račune tražio. Jednostavnim riječima, planirao je napad na određene kompanije i znao je da ti zaposleni imaju potrebni pristup. Ako dobije ove račune, kao što su validna propusnica, login podaci i lozinke, uspjet će dobiti željeni pristup. Bio je to zanimljiv slučaj, ne tako čest. Napadači ne objavljuju imena određenih zaposlenika koje žele kompromitirati. Odlučili smo da o prijetnji obavijestimo ove kompanije. Ispostavilo se da oni nisu naši klijenti. A naši prodavači nisu imali kontakt s njima. Dali smo sve od sebe i pronašli prave kontakte. Razgovarali smo, objasnili smo im rizike, objasnili zašto smo otkrili ove informacije iako ih nismo ciljano tražili, priča Novikova.
Pravila angažmana
Dodaje kako je Kaspersky imao oko 300 takvih incidenata prošle godine – žrtve cyber-kriminala nisu bile njihovi klijenti.
– Pošto smo shvatili da prvi slučaj nije jedini, odlučili smo da napravimo neka pravila angažmana. Htjeli smo obavijestiti kompanije koje nisu naši klijenti. Stoga smo morali slijediti neka vještačka pravila. Prvo – odlučili smo da podijelimo informacije samo o kritičnim incidentima – onima koje naši analitičari i stručnjaci smatraju pravim prijetnjama, informacijama koje nisu lažne, te koje mogu na kritičan način uticati na određenu kompaniju. Drugo – ovo su incidenti za koje je bilo potrebno hitno djelovanje kompanije u kojoj je žrtva uposlena. Nešto što bi trebali učiniti upravo ovdje i sada – da uhvate napad ili ga spriječe, naglasila je.
Napominje kako je prvo pravilo definisano zbog lažnog curenja podataka. Dark web je prepun takvih primjera i informacija koje su samo naličje nekog curenja informacija, ali su zapravo “lažne uzbune”.
– Kada kažemo lažne, mislimo i da su stare informacije, nešto što se dogodilo u prošlosti. Recimo, kompanije su se već suočile sa nekim problemima, sigurnosnim incidentima, ali prije mnogo godina. Riješili su to, te sada ti podaci više nisu svježi. Ali neki cyber-kriminalci to pokušavaju prodati kao nešto novo i dižu hype oko određene kompanije. Cyber-kriminalci prikupljaju informacije iz javnih izvora, naših društvenih profila, pakuju ih u jednu strukturu i pokušavaju ubijediti da je to curenje podataka. Ali u stvari, takva baza podataka ne sadrži nikakve osjetljive informacije – nikakve lozinke ili privatne informacije koje sami nismo podijelili sa zajednicama, objašnjava Novikova, te dodaje kako su gotovo sve darkweb ponude vezane za društvene mreže lažne.
Zatim je ispričala i jedan slučaj od prije dvije godine. Neko je na darkwebu objavio bazu podataka sa vrlo velikom skriptom. Tu nisu bili izloženi osjetljivi podaci, pa se nije moglo smatrati incidentom.
– Ali je ipak izazvao veliku pompu u zajednici. Vidjeli smo prvu objavu, a zatim i stalni repost ovih istih podataka. Tako su cyber-kriminalci došli do ove baze podataka i pokušali je prodati drugim članovima foruma kao nešto novo, svježe i vrlo kritično, objašnjava Novikova.
Kada je riječ o reakcijama Kasperskog, sve informacije kojima su obavijestili klijente, pokupljene su sa darkweb foruma ili “ransom blogova”.
– Sve podatke smo sa klijentima podijelili besplatno. Nismo tražili ništa od žrtava cyber-kriminala. Jedina stvar koju smo tražili bila je povratna informacija. Bez marketinga, bez novca, samo dijeljenje naše ekspertize, naših podataka, uz traženje feedbacka, naglašava.
Novikova je podsjetila da je prošle godine otkriveno oko 300 slučajeva cyber-kriminala, čije žrtve nisu bili klijenti Kasperskog.
Najviše incidenata dolazilo je iz evropskih zemalja.
Priroda incidenata – postoje informacije o kompromitiranim podacima zaposlenih, to su akreditivi koje daju cyber-kriminalci sa neposrednim pristupom infrastrukturi žrtve. Recimo, curenje bankovnih kartica, kao i potpune informacije sa kartice, uključujući kodove. Cyber-kriminalac može samo uzeti karticu i koristiti je za kupovinu. Bilo je to curenje baze podataka, kompromitiranje infrastrukture i prodaja inicijalnog pristupa. Kompromitirani podaci su rasprostranjen problem. Glavni izvor ovih podataka su kradljivci podataka, koji ih zatim nude na prodaju na dark webu. Jednom kada uhvatimo informaciju koju je neko prodavao, a tiče se akreditiva za pristup infrastrukturi, odmah informišemo naše klijente, organizacije, žrtve incidenata.
Ransomware napad – cyber-kriminalci danas ne žele samo novac od kompanije, već rade i neku vrstu marketinga za svoje aktivnosti, kako bi svoju aktivnost iznijeli na javnu raspravu. Tako, primjerice, objavljuju prikupljene podatke o svojim žrtvama, vrše pritisak na njih da, u slučaju da ne žele platiti otkup ukradenih podataka, ponudiće sve kompromitovano na prodaju nekom drugim, pa čak i besplatno u nekim situacijama.
Curenje podataka kompanije – prva stvar koja nam pada na pamet je u suštini curenje baze podataka vezano za klijente ili zaposlene. Šta se može smatrati curenjem podataka?
– Curenje izvornih kodova i detalja ključnih projekata, dizajna i planova OT infrastrukture, video snimci postavljeni na YouTube na kojima se vide i čuju povjerljivi konferencijski pozivi, baza podataka klijenata i kupaca, prodajne narudžbe i pošiljke, pojašnjava Novikova.
Početna ponuda za pristup – Kaspersky je otkrio dva oglasa za prodaju RCE (daljinsko izvršavanje koda) ranjivosti u najvećoj evropskoj banci. Nakon što su kompanije kontaktirane, njihove uprave su odmah reagovale. To je značilo da su zaista shvatili rizik.
Reakcije žrtava
Novikova je zatim na konferenciji objasnila i kako su reagovale kompanije i organizacije nakon što ih je Kaspersky kontaktirao o incidentima sa cyber-kriminalcima.
– Samo šest posto organizacija prijavilo je da su već upoznate sa incidentom. To znači da oni ne samo da istražuju incident, već imaju pravi pristup praćenju i otkrivanju. Ali šta je sa ostatkom?
Njih 42 posto kompanija žrtava nema jedinstvenu kontaktnu tačku. Kaspersky ih nije mogao kontaktirati u vezi incidenta.
– Podsjećamo, oni nisu naši klijenti, već kompanije koje su žrtve cyber-kriminalaca. Mi sa njima nemamo odnose. Čak i kada smo uspjeli pronaći neke kontakte, sa Linkedina, Facebooka itd., zaposleni u ovim kompanijama nisu bili svjesni kome treba interno prijaviti ove stvari. Nisu pratili nikakvu internu proceduru kako trebaju reagovati u slučaju da se njihova kompanija suoči sa incidentima u oblasti cyber-sigurnosti. Nisu znali da li njihova kompanija ima posvećen tim koji se bavi takvim stvarima, navodi Novikova.
2 posto organizacija je jednostavno negiralo incident, u smislu – “ako ga ne vidim, problem ne postoji”.
– Ali, oni to ne mogu samo ignorisati i praviti se da je sve u redu. To može uticati na vaš poslovni proces. Možete zanemariti neki dark web post ili poruku, ali sljedećeg dana možete se suočiti sa problemima u vašem poslovnom procesu – sve je šifrovano i neko traži otkupninu. To će već biti teško ignorisati. Ne možete to samo sakriti, to će uticati na sve – vašu reputaciju, uposlenike i klijente. I uz sve to, izgubićete novac, upozorava Novikova na posljedice ignorisanja ovih problema.
Dodaje i da je 28 posto organizacija koje nisu odgovorile na poziv, ili su odgovorile ali rekle da ih ne zanimaju te stvari.
– Razlozi – neke kompanije nisu imale budžet za cyber-sigurnost. Opravdano, ali iz ugla gledišta generalnih menadžera tih kompanija – trebali bi zaista posvetiti pažnju ovim stvarima u budućnosti. S druge strane, neke od kompanija su već imale partnerstvo sa nekim drugim dobavljačima, odnosno provajderima. A neki su jednostavno ignorisali incident. Interesantno, bilo je i onih koji su bili sumnjičavi prema našim pozivima. U smislu: “Zašto me uhodite, ko ste vi da pretražujete naše podatke ili tražite nešto o nama na dark webu.” Ipak, objasnili smo im da je to naš svakodnevni posao, ističe Novikova.
A dobre vijesti su da je 22 posto organizacija potvrdilo incident ili nekako prihvatilo informaciju koju im je Kaspersky dostavio.
Novikova je zatim i nabrojala neka od najčeščih pitanja koja su dolazila od oštećenih kompanija.
– Pitali su nas da li možemo prikriti ovaj incident. U smislu: “Okej, super, našli ste to, ali nemojte nikome govoriti.” Nije moguće sakriti ove incidente, iako se, naravno, informacije o njima ne šire i ne plasiraju u javnost. Također, česta pitanja su bila da li žrtve trebaju platiti otkupninu koju cyber-kriminalci traže. Nipošto. Time zapravo i investirate u aktivnosti cyber-kriminalaca, sponzorirate ih i uz taj novac, oni se dodatno razvijaju. I plaćanje vam ne garantuje da vas neće nastaviti ucjenjivati, navodi Novikova, te nastavlja:
– Pitali su nas i trebaju li otkupiti komprimitirane podatke koje cyber-kriminalci imaju o njima. Ne. Zapravo ne postoje opipljivi ili vjerodostojni dokazi da vas cyber-kriminalci neće namamiti ili naplatiti podatke a zatim ih prodati drugim kompanijama ili na drugim forumima, ili ih čak i objaviti. Nikako ne trebate vjerovati cyber-kriminalcima. Pitali su i da li su bezbijedni ako nisu spomenuti na dark webu. Ako do sada niste bili žrtva, ne znači da nećete biti sutra, zaključila je Novikova svoje predavanje na konferenciji NEXT.