Astăzi am participat pentru a treia oară la evenimentul anual Eset privind amenințările informatice și evoluția industriei de securitate IT. Au început ca de obicei, cu o scurtă istorie a companiei, apoi au trecut la descoperiri și studii de caz.
Eset protejează astăzi în mod direct 600 de milioane de utilizatori la nivel mondial, iar datorită soluției implementate de Google Chrome sunt probabil peste 1 miliard în total. Tehnologia Eset a fost premiată de instituțiile independente precum AV-Test sau Virus Bulletin, în fiecare an. Compania a fost înființată în 1992, în primii 10 ani ajunsese la 100 de angajați, iar acum sunt 1600 în 23 de centre de cercetare în lume.
Ignacio Sanchez, European Commission Joint Research Center, a povestit despre amenințările care sunt la adresa statelor și companiilor. Atacurile informatice și pierderile de date sunt considerate pericole majore de World Economic Forum, alaturi de evenimente meteo extreme și dezastre naturale. Problema europeană este să stabilească practici comune, standarde și regulamente care să permită acțiuni similare în cazul unor atacuri informatice sau incidente de securitate IT, metode de investigare și pedepse pentru activitățile ilegale.
Au fost mai multe prezentări care urmează să fie făcute publice zilele următoare și am să revin cu informații pe parcurs. Ondrej Kubovic a explorat un subiect care afectează adolescenții în special, dar nu numai, șantajul bazat pe mesaje, filmări sau alte lucruri accesate pe internet.
Cele mai multe mesaje de genul acesta sunt simple mesaje înșelătoare care încearcă să obțină bani sau alte acțiuni din partea celui vizat. In multe cazuri sunt mesaje care vin din partea „poliției” sau „anchetatorilor” care au filme sau date despre tine. Unii susțin că sunt agenți FBI sau CIA, că au dovezi privind implicarea ta. Există și varianta in care atacatorul spune că ești pe lista unui asasin plătit, vei deveni victima lui dacă nu plătești.
Conform analizei Eset, 59% dintre cazurile analizate s-au soldat cu plata către autorii mesajelor. Pentru că oamenii se sperie și tine sa acționeze sub impulsul de moment.
Mesajele sunt relativ similare cu ransomware doar că în majoritatea cazurilor nu au în spate nici o amenințare reală. Par credibile pentru că trimit aparent mesajuk de pe adresa victimei, pretind că au acces la parole, la camera web, la este personale și mai ales spun că au filmări cu victima. Cer în general putini bani pentru că se așteaptă să sperie oamenii și să îi facă să plătească rapid.
Evident, există și variante malware care chiar obțin accesul la computerul utilizatorului și se transmite mai departe către contacte. Dacă descoperă ceva ilegal sau vizionarea de pornografie, chiar permite atacatorului sa înregistreze ce se întâmplă pe ecran. Se transmite prin span, care spune că ai o factură neachitată, pentru ani accesa trebuie sa accepți un macro care de fapt descarcă virusul pe computer. Este un malware ascuns, dar care se actualizează și care obține informații sensibile precum parole utilizatorilor. Acest gen de malware chiar ar putea face amenințările și șantajul de mai sus reale.
Matias Potoli a vorbit despre atacurile informatice asupra instituțiilor de stat și are un exemplu despre Venezuela. Un malware special a fost descoperit, Machete, a infectat computere ale armatei, poliției și asupra altor autorități locale. Computerelor au fost infectate folosind spear-phishing, targetarea directă a victimelor.
Mesajele email conțineau documente reale ale guvernului, care fuseseră interceptate și furate de atacatori, apoi erau trimise în aceeași zi către autoritățile locale, astfel adresa atacatorilor fiind considerate legitimă de către cei care primeau mesajele. Apoi trimiteau documente arhivate (zip), care trebuiau dezarhivate. Atunci când aceste documente erau dezarhivate, instalează malware de asemenea. Încearcă să afle date sensibile, accesează clipboard, face capturi de ecran și are keylogger. Iar din 10 in 10 minute trimite datele spre serverul atacatorilor.
Zuzana Hromcova, malware analyst Eset, a prezentat rezultatele studiilor privind grupul Ke3chang, care pare să fie localizat in China. Au campanii de spionaj împotriva unor ambasade, instituții guvernamentale, companii energetice. Au prezentat cazul Okrum, un backdoor lansat de Ke3chang , care este transmis prin fișiere PNG, folosind metadata pentru a ascunde acest backdoor în mod criptat. De asemenea, traficul realizat între backdoor si serverele atacatorilor este ascuns sub june care amintesc de traficul web normal, fie imită domenii reale (siscosupport.com) , fie Google maps sau altele (slovakmaps.com). Pentru a evita detecția.
Winnti Group, o familie de malware folosită de mai multe grupuri de infractori cibernetici. Mathieu Tartare spune că au folosit acest malware pentru a ataca industria de software și hardware, dar și industria de jocuri video. Două jocuri video au fost infectate , unul chiar numit Infestation, plus o platformă care distribuie jocuri video.
Acționează în mai multe etape, după infecție analizează dotările computerului și serverele la care este conectat , va încerca să stabilească ce sisteme de operare sunt, pe care drive sunt instalate, hostname si IP-urile. Dr exemplu, dacă detectează limba rusă sau chineză, aplicația nu mai rulează.
Dacă este un utilizator interesant, va declanșa faza doi a atacului, va încerca să instaleze alte aplicații malware. Aplicația în final instala o aplicație care mina pentru monede virtuale.
Amenințări pe Android
Noi tipuri de malware au fost descoperite în Google Play, aplicații care imitau unele reale, de radio, muzică sau altele. Aplicația funcționa aparent așa cum promitea, dar ascundea în spate și activități specifice malware. Au găsit apoi și editoare foto infectate. Aplicațiile au fost descoperite după luni în care au existat pe Google Play.
A fost descoperit de asemenea ransomware pentru Android. Aplicația accesa contactele și se transmitea de asemenea tuturor celor din contacte prin mesaje SMS automate. Există și un troian bancar pentru Android, Cerberus. Nu a fost identificat până acum de niciun alt furnizor de aplicații de securitate IT. Ataca practic aplicații de banking, finanțe, cripto-monede. De asemenea interceptează SMS-uri, telefoane, pentru a afla parole, codurile de acces.
Se transmite printr-o serie de mesaje spam care promit acces la un video, dar când accederii link-ul spune că trebuie să instalezi Adobe Flash Player, de fapt descarcă virusul. Se transmite apoi link-ul prin mail, SMS ,chat, WhatsApp, Messenger, Telegram și altele asemenea, dar și direct din social media. Rulând „Flash” cere toate permisiunile pentru a putea face ce doresc pe telefon. Chair apare că aplicație separată Flash Player. Când accesezi aplicația banking, PayPal, Revolut sau altele asemenea, se deschide automat și malware care copiază datele.
O aplicație de securitate IT pentru Android devine tot mai necesară, mai ales daca folosiți telefonul pentru plăți și tranzacții financiare.
1 comentariu