Kaspersky konferencija u Zurichu: Saznali smo više o dark webu i aktivnostima cyber-kriminalaca

12 min. ─Źitanja

Multinacionalni provider cyber-sigurnosti i antivirusnih programa Kaspersky Lab, odr┼żao je godi┼ínju PR konferenciju koja nosi naziv Kaspersky NEXT.┬áKonferencija je prethodne dvije godine bila odr┼żavana u elektronskoj formi, a ove godine je odr┼żana u fizi─Źkom obliku, i to u Zurichu u ┼ávicarskoj.

Medijska grupacija Oslobo─Ĺenje imala je priliku u─Źestvovati na konferenciji, te izme─Ĺu ostalog, ─Źuti najnovije nalaze vezane za darkweb i aktivnosti cyber-kriminalaca.

Yulija Novikova, ┼íefica inteligencije digitalnog otiska u Kasperskom, kroz primjere je navela ko su naj─Źe┼í─çe ┼żrtve cyber-kriminala, kakvi podaci su na najve─çem udaru, te kako Kaspersky reaguje na ove izazove.

Istakla je da Kaspersky poma┼że svojim klijentima da ostanu informisani o bilo kakvim eksternim prijetnjama koje mogu do─çi sa dark weba, deep weba ili “povr┼íinskog” weba.

Navela je i zanimljiv primjera poku┼íaja cyber-kriminalca da putem foruma ukrade podatke pojedinih uposlenika odre─Ĺenih.┬ákompanija.

– Jedne prilike, rade─çi na┼í svakodnevni posao, do┼íli smo do jedne zanimljive ponude na dark webu – poruke cyber-kriminalca, ─Źlana jednog foruma.┬áZamolio je zajednicu na forumu da mu pomogne, trebao mu je ra─Źun za odre─Ĺene kompanije. On je dostavio spisak zaposlenih u┬áovih┬ákompanija┬á─Źije je ra─Źune tra┼żio. Jednostavnim rije─Źima, planirao je napad na odre─Ĺene kompanije i znao je da ti┬ázaposleni┬áimaju potrebni pristup. Ako dobije ove ra─Źune, kao ┼íto su validna propusnica, login podaci┬ái lozinke, uspjet ─çe dobiti ┼żeljeni pristup. Bio je to zanimljiv slu─Źaj, ne tako ─Źest. Napada─Źi ne objavljuju imena odre─Ĺenih zaposlenika koje ┼żele kompromitirati. Odlu─Źili smo da o prijetnji obavijestimo ove kompanije. Ispostavilo se da oni nisu na┼íi klijenti. A┬ána┼íi prodava─Źi nisu imali kontakt s njima. Dali smo sve od sebe i prona┼íli prave kontakte. Razgovarali smo, objasnili smo im rizike, objasnili za┼íto smo otkrili ove informacije iako ih nismo ciljano tra┼żili, pri─Źa Novikova.

Pravila anga┼żmana

Dodaje kako je Kaspersky imao oko 300 takvih incidenata pro┼íle godine – ┼żrtve cyber-kriminala nisu bile njihovi klijenti.

– Po┼íto smo shvatili da prvi slu─Źaj nije jedini, odlu─Źili smo da napravimo neka pravila anga┼żmana. Htjeli smo obavijestiti kompanije koje nisu na┼íi klijenti. Stoga smo morali slijediti neka vje┼íta─Źka pravila. Prvo –┬áodlu─Źili smo da podijelimo informacije samo o kriti─Źnim incidentima ÔÇô onima koje na┼íi analiti─Źari i stru─Źnjaci smatraju pravim prijetnjama, informacijama koje nisu la┼żne, te koje┬ámogu na kriti─Źan na─Źin uticati na odre─Ĺenu kompaniju.┬áDrugo –┬áovo su incidenti za koje je bilo potrebno hitno djelovanje kompanije u kojoj je ┼żrtva uposlena. Ne┼íto ┼íto bi trebali u─Źiniti upravo ovdje i sada – da uhvate napad ili ga sprije─Źe, naglasila je.

Napominje kako je prvo pravilo definisano zbog la┼żnog curenja podataka. Dark web je prepun takvih primjera i informacija koje su samo nali─Źje nekog curenja informacija, ali su zapravo “la┼żne uzbune”.

– Kada ka┼żemo la┼żne, mislimo i da su stare informacije,┬áne┼íto ┼íto se dogodilo u pro┼ílosti. Recimo, kompanije su se ve─ç suo─Źile sa nekim problemima, sigurnosnim incidentima, ali prije mnogo godina. Rije┼íili su to, te sada ti podaci vi┼íe nisu svje┼żi. Ali neki cyber-kriminalci to poku┼íavaju prodati kao ne┼íto novo i di┼żu hype oko odre─Ĺene kompanije. Cyber-kriminalci prikupljaju informacije iz javnih izvora, na┼íih dru┼ítvenih profila, pakuju ih u jednu strukturu i poku┼íavaju ubijediti da je to curenje podataka. Ali u stvari, takva baza podataka ne sadr┼żi nikakve osjetljive informacije – nikakve lozinke ili privatne informacije koje sami nismo podijelili sa zajednicama, obja┼ínjava Novikova, te dodaje kako su gotovo sve darkweb ponude vezane za dru┼ítvene mre┼że la┼żne.

Zatim je ispri─Źala i jedan slu─Źaj od prije dvije godine. Neko je na darkwebu objavio bazu podataka sa vrlo velikom skriptom. Tu nisu bili izlo┼żeni osjetljivi podaci, pa se nije moglo smatrati incidentom.┬á

– Ali je ipak izazvao veliku pompu u zajednici. Vidjeli smo prvu objavu, a zatim i stalni repost ovih istih podataka. Tako su cyber-kriminalci do┼íli do ove baze podataka i poku┼íali je prodati drugim ─Źlanovima foruma kao ne┼íto novo, svje┼że i vrlo kriti─Źno, obja┼ínjava Novikova.

Kada je rije─Ź o reakcijama Kasperskog, sve informacije kojima su obavijestili┬áklijente, pokupljene su sa darkweb foruma ili “ransom blogova”.

– Sve podatke smo sa klijentima podijelili besplatno. Nismo tra┼żili ni┼íta od ┼żrtava cyber-kriminala. Jedina stvar koju smo tra┼żili bila je povratna informacija. Bez marketinga, bez novca, samo dijeljenje na┼íe ekspertize, na┼íih podataka, uz tra┼żenje feedbacka, nagla┼íava.

Novikova je podsjetila da je pro┼íle godine otkriveno oko 300 slu─Źajeva cyber-kriminala, ─Źije ┼żrtve nisu bili klijenti Kasperskog.

Najviše incidenata dolazilo je iz evropskih zemalja.

Priroda incidenata – postoje informacije o kompromitiranim┬ápodacima zaposlenih, to su akreditivi koje daju cyber-kriminalci sa neposrednim pristupom infrastrukturi ┼żrtve. Recimo, curenje bankovnih kartica, kao i potpune informacije sa kartice, uklju─Źuju─çi kodove. Cyber-kriminalac mo┼że samo uzeti karticu i koristiti je za kupovinu. Bilo je to curenje baze podataka, kompromitiranje infrastrukture i prodaja inicijalnog pristupa. Kompromitirani podaci su rasprostranjen problem. Glavni izvor ovih podataka su kradljivci podataka, koji ih zatim nude na prodaju na dark webu. Jednom kada┬áuhvatimo┬áinformaciju koju je neko prodavao, a ti─Źe┬áse akreditiva za pristup infrastrukturi, odmah informi┼íemo na┼íe klijente, organizacije, ┼żrtve incidenata.

Ransomware napad – cyber-kriminalci danas ne ┼żele samo novac od kompanije, ve─ç rade i neku vrstu marketinga za svoje aktivnosti, kako bi svoju aktivnost iznijeli na javnu raspravu. Tako, primjerice, objavljuju prikupljene podatke o svojim ┼żrtvama, vr┼íe pritisak na njih da, u slu─Źaju da ne ┼żele platiti otkup ukradenih podataka, ponudi─çe sve kompromitovano na prodaju nekom drugim, pa ─Źak i besplatno u nekim situacijama.

Curenje podataka kompanije ÔÇô prva stvar koja nam pada na pamet je u su┼ítini curenje baze podataka vezano┬áza klijente ili zaposlene. ┼áta se mo┼że smatrati curenjem podataka?

– Curenje izvornih kodova i detalja klju─Źnih projekata, dizajna i planova OT infrastrukture, video snimci┬ápostavljeni na YouTube na kojima se vide i ─Źuju┬ápovjerljivi┬ákonferencijski┬ápozivi, baza podataka klijenata i kupaca, prodajne narud┼żbe i po┼íiljke, poja┼ínjava Novikova.

Po─Źetna ponuda za pristup – Kaspersky je otkrio dva oglasa za prodaju RCE (daljinsko izvr┼íavanje koda)┬áranjivosti u najve─çoj evropskoj banci. Nakon ┼íto su kompanije kontaktirane, njihove uprave su odmah reagovale. To je zna─Źilo da su zaista shvatili rizik.

Reakcije ┼żrtava

Novikova je zatim na konferenciji objasnila i kako su reagovale kompanije i organizacije nakon što ih je Kaspersky kontaktirao o incidentima sa cyber-kriminalcima.

–┬áSamo ┼íest posto organizacija prijavilo┬áje da su ve─ç upoznate sa incidentom. To zna─Źi da oni ne samo da istra┼żuju incident, ve─ç imaju pravi pristup pra─çenju i otkrivanju. Ali ┼íta je sa ostatkom?

Njih┬á42 posto kompanija ┼żrtava nema jedinstvenu kontaktnu ta─Źku. Kaspersky ih nije mogao kontaktirati u vezi incidenta.

– Podsje─çamo, oni nisu na┼íi klijenti, ve─ç kompanije koje su ┼żrtve cyber-kriminalaca. Mi sa njima nemamo odnose. ─îak i kada smo uspjeli prona─çi neke kontakte, sa Linkedina, Facebooka itd., zaposleni u ovim kompanijama nisu bili svjesni kome treba interno prijaviti ove stvari. Nisu pratili nikakvu internu proceduru kako trebaju reagovati u slu─Źaju da se njihova kompanija suo─Źi sa incidentima u oblasti cyber-sigurnosti. Nisu znali da li njihova kompanija ima posve─çen tim koji se bavi takvim stvarima, navodi Novikova.

2 posto organizacija je jednostavno negiralo incident, u smislu – “ako ga ne vidim, problem ne postoji”.┬á

– Ali, oni to ne mogu samo ignorisati i praviti se da je sve u redu. To mo┼że uticati na va┼í poslovni proces. Mo┼żete zanemariti neki dark web post ili poruku, ali sljede─çeg dana mo┼żete se suo─Źiti sa problemima u va┼íem┬áposlovnom┬áprocesu –┬ásve je ┼íifrovano i┬áneko tra┼żi otkupninu. To ─çe ve─ç biti te┼íko ignorisati.┬áNe mo┼żete to samo sakriti, to ─çe uticati na sve ÔÇô va┼íu reputaciju, uposlenike i klijente. I uz sve to, izgubi─çete novac, upozorava Novikova na posljedice ignorisanja ovih problema.

Dodaje i da je 28 posto organizacija koje nisu odgovorile na poziv, ili su odgovorile ali rekle da ih ne zanimaju te stvari.

– Razlozi – neke kompanije nisu imale bud┼żet za cyber-sigurnost. Opravdano, ali iz ugla gledi┼íta generalnih menad┼żera tih kompanija – trebali bi zaista posvetiti pa┼żnju ovim stvarima u budu─çnosti. S druge strane, neke od kompanija su ve─ç imale partnerstvo sa nekim drugim dobavlja─Źima, odnosno provajderima. A neki su jednostavno ignorisali incident. Interesantno, bilo je i onih koji su bili sumnji─Źavi prema na┼íim pozivima. U smislu: “Za┼íto me uhodite, ko ste vi da pretra┼żujete na┼íe podatke ili tra┼żite ne┼íto o nama na dark webu.” Ipak, objasnili smo im da je to na┼í svakodnevni posao, isti─Źe Novikova.

A dobre vijesti su da je 22 posto organizacija potvrdilo incident ili nekako prihvatilo informaciju koju im je Kaspersky dostavio.

Novikova je zatim i nabrojala neka od naj─Źe┼í─Źih pitanja koja su dolazila od o┼íte─çenih kompanija.

– Pitali su nas da li mo┼żemo prikriti ovaj incident. U smislu: “Okej, super, na┼íli ste to, ali nemojte nikome govoriti.” Nije mogu─çe sakriti ove incidente, iako se, naravno, informacije o njima ne ┼íire i ne plasiraju u javnost. Tako─Ĺer, ─Źesta pitanja su bila da li ┼żrtve trebaju platiti otkupninu koju cyber-kriminalci tra┼że. Nipo┼íto. Time zapravo i investirate u aktivnosti cyber-kriminalaca, sponzorirate ih i uz taj novac, oni se dodatno razvijaju. I pla─çanje vam ne garantuje da vas ne─çe nastaviti ucjenjivati, navodi Novikova, te nastavlja:┬á

– Pitali su nas i trebaju li otkupiti komprimitirane podatke koje cyber-kriminalci imaju o njima. Ne. Zapravo ne postoje opipljivi ili vjerodostojni dokazi da vas cyber-kriminalci ne─çe namamiti ili naplatiti podatke a zatim ih prodati drugim kompanijama ili na drugim forumima, ili ih ─Źak i objaviti. Nikako ne trebate vjerovati cyber-kriminalcima. Pitali su i da li su bezbijedni ako nisu spomenuti na dark webu. Ako do sada niste bili ┼żrtva, ne zna─Źi da ne─çete biti sutra, zaklju─Źila je Novikova svoje predavanje na konferenciji NEXT.

Podijeli ovaj ─Źlanak