Cum ataca hackerii firmele din Romania si fura sute de mii de euro - interviu Kaspersky

Luni, 30 Septembrie 2019, ora 10:29
5184 citiri
Cum ataca hackerii firmele din Romania si fura sute de mii de euro - interviu Kaspersky
Foto: Pixabay

Atacurile cibernetice, de orice tip, sunt, fara doar si poate, catalogate ca fiind distructive, indiferent de intensitate, este de parere Costin Raiu, directorul Global Research & Analysis Team (GreaT) din cadrul Kaspersky.

Expertul a vorbit, intr-un interviu acordat AGERPRES, despre provocarile pe care le ofera rezolvarea unui caz de atac cibernetic, precum si despre tendintele la nivel global pe acest segment. In plus, Raiu a facut referire la modul in care trebuie sa stim cum sa ne protejam identitatea, datele si viata privata in mediul online, apeland la parole complexe, autentificare in doi pasi si, de ce nu, la un manager de parole.

In ultima vreme se vorbeste foarte mult in spatiul media de atacurile cibernetice, fie ca este vorba despre ransomware, phishing, adware, malware... Concret, cum ar suna o definitie a atacului cibernetic, pe intelesul marii majoritati a publicului?

In general, cand se vorbeste despre un atac cibernetic, opinia expertilor este ca acesta produce pagube. Ce ar insemna pagube? S-a oprit productia la o fabrica sau a fost un atac, cum a fost cazul NotPetya, in urma caruia firme mari de transport au pierdut milioane de dolari fiindca li s-a oprit infrastructura.

Cand vorbim despre un atac, vorbim despre pagube materiale, financiare, chestiuni care au un impact. Daca, de exemplu, a fost vorba despre un atac de phishing in care nimeni nu a pierdut bani, nu putem spune ca a fost vorba neaparat de un atac, ci mai degraba de o incercare de furt de informatii.

In general, atacurile sunt distructive si le putem sparge in doua mari categorii: distructive si care provoaca pagube, si atacuri care implica direct furt de bani sau de informatii.

Aceste atacuri cibernetice afecteaza mai mult zona de companii. Cum stau lucrurile pe partea de persoane fizice, utilizatorii casnici?

Acum 4-5 ani, intr-adevar, erau populare si atacurile prin care se furau bani direct de la utilizatorii de acasa, insa in ultima vreme acestea au devenit din ce in ce mai putin populare, probabil din mai multe motive. Unul dintre acestea este ca si bancile si-au imbunatatit sistemele de protectie online banking.

Cand faci o tranzactie, trebuie sa confirmi cu token-ul. Pe vremuri erau conturi in online banking in care utilizatorul si parola erau suficiente. Eventual, te mai intrebau un numar dintr-o foita pe care erau scrise vreo zece numere si tu spuneai numarul 5, si asta era tot.

Cu toate acestea, mai exista persoane naive care dau reply la niste e-mailuri, completand date personale...

Se intampla, intr-adevar si ulterior informatiile respective pot fi folosite pentru a facilita alt gen de intruziuni. Odata ce ai CNP-ul cuiva, serie de buletin si toate informatiile importante, poti suna la o banca si sa pretinzi ca esti persoana respectiva. Spui ca ti-ai pierdut cardul si ceri un altul nou, dupa care urmaresti cand vine cardul respectiv si il interceptezi.

Putem vorbi aici despre o lipsa de educatie in materie de protectie in fata amenintarilor cibernetice? Cum sta Romania la capitolul acesta?

Fenomenul acesta pe care noi il vedem de foarte multi ani la nivel global, ne arata in general ca oamenii nu invata din avertizari, ci doar atunci cand patesc ei ceva. Acesta este lucru tragic, si anume ca pana nu se intampla ceva rau, nimeni nu se gandeste.

Cele mai grave cazuri se intampla la firme mici, medii, unde vorbim despre furt de bani direct din cont cu malware sau emiterea si ulterior plata de facturi false, destul de populare si la noi. Te trezesti intr-o zi cu o factura de la un partener de afaceri cu un alt cont. Am vorbit cu victime care au trecut prin asta si au pierdut sute de mii de euro... Important e sa mai pui o intrebare inainte de a face o plata...

La utilizatorii de acasa, majoritatea atacurilor pe care le observam noi sunt de tip ransomware, in care se cripteaza informatia, se cere o rascumparare de obicei in criptomoneda. Din pacate, multi dintre oameni platesc, indiferent ca noi le spunem sa nu faca asta, fiindca mentin economia subterana. Urmarind adresele de rascumparare, de criptomonede, poti vedea ca sunt sute de mii de euro care sunt platiti. Au pierdut proiectul de diploma, toate pozele cu copilul, documente din ultimii zece ani...

Acele persoane afectate pot veni catre dvs., de exemplu, sa le ajutati?

Am avut astfel de cazuri si, uneori, putem ajuta. Cel mai important, din punctul meu de vedere, e sa nu plateasca rascumpararea si sa se intereseze ce s-ar putea face.

Noi am lansat o initiativa care se numeste "No more ransom" impreuna cu Europol si peste 50 de organizatii prin care incercam sa-i ajutam pe oameni obtinand si producand unelte care decripteaza hard-disk-ul pentru cele mai populare tipuri de ransomware.

Intr-adevar, nu e posibil in orice caz, dar e important de verificat. Poate ca pentru acel ransomware care te-a lovit exista o solutie. Pentru oricine a fost lovit de ransomware, eu spun sa site-ul No more ransom e prima etapa, deoarece e gratuit si e foarte usor de verificat.

Daca, din pacate, nu exista o solutie, se pot incerca alt gen de actiuni, cum ar fi recuperari de date.

In tot acest amalgam de pericole, e foarte importanta parola, desi ar parea ceva banal la prima vedere ...

In toata galaxia asta de malware si atacuri, parola reprezinta un factor central. Daca ai aceeasi parola pe toate conturile, exista riscul ca acestea sa fie sparte mai usor.

Hackerii sparg site-urile si distribuie apoi toate parolele, iar daca exista aceeasi parola asociata cu contul de Yahoo merge peste tot, atunci pot face foarte multe lucruri.

Parerea mea este ca cel mai bine sa aveti un manager de parole care te ajuta in sensul sa nu trebuie sa tii minte parola neaparat si poti genera parole unice pentru fiecare site care sa fie, de asemenea, si complexe.

Pentru managerul de parole e nevoie de o parola suficient de solida si s-ar cam rezolva multe. Exista multe manager de parole, inclusiv gratuite. Avem si noi Kaspersky Password Manager, dar mai exista LastPass, OnePass, si care sunt foarte bune.

Care este atacul care v-a dat cel mai mult de furca?

Cel mai rau a fost Duqu 2, dar acum vorbim exclusiv din punctul nostru de vedere, pentru ca Duqu 2 l-am descoperit ca malware in firma noastra.

Cineva care sa aiba curajul sa atace o firma de antivirusi cu un malware, e un lucru surprinzator in sine. Mi-amintesc ca totul a inceput in 2015, in aprilie, cu cateva zile inainte de ziua mea.

Tin minte ca mi-a distrus ziua. Noaptea tarziu am primit un mesaj de la unul dintre colegii mei ca e o situatie foarte periculoasa si ca avem o infectie in firma.

Cum colegul respectiv uneori mai face glume, m-am gandit ca despre asta ar fi vorba.

A doua zi, pe la 6:30, am deschis computerul si colegul meu era online, ceea ce nu se intampla de obicei la acea ora.

L-am intrebat ce a patit si el a raspuns ca in firma a fost descoperita o infectie informatica... La inceput, dupa ce ne-am uitat pe date, am crezut ca, din greseala, cineva a lansat un virus si i-a scapat de sub control. Nu mi-am imaginat ca cineva ne-ar tinti pe noi direct.

Ulterior, am vazut cat de sofisticat este... Era vorba despre un atac directionat impotriva firmei. Modul in care s-a intamplat a fost foarte interesant: au folosit trei Zero-Day, exploituri pentru care nu exista patch de la Microsoft.

Un exploit de genul acesta costa sute de mii de dolari, iar cine a lansat atacul a investit usor jumatate de milion de dolari pentru a obtine acces in firma. Ne-a luat aproximativ o luna sa analizam tot ce s-a intamplat, si am publicat tot in raportul nostru. Nu am fost singura victima. Au mai fost hoteluri din Geneva, Lagarul Auschwitz Birkenau, precum si alte firme.

A fost vorba despre un atac foarte, foarte sofisticat pentru care am pierdut multe zile si nopti.

Pe o scara de la 1 la 10, unde s-ar afla Romania in momentul de fata din punct de vedere al numarului de atacuri cibernetice?

Numarul de atacuri depinde de foarte multe chestiuni, iar una dintre acestea ar fi conectivitatea la Internet. Cu cat ai mai multe conexiuni si mai bune la Internet, cu atat poti sa ai si mai multe atacuri si in interior, dar si din interior catre exterior. Din punctul acesta de vedere, Romania sta foarte bine - oricine are fibra optica la 100 de metri de casa, in Bucuresti cel putin. Avem, de asemenea, Internet de mare viteza foarte ieftin. Ca urmare, automat, numarul de atacuri e un pic mai ridicat.

In al doilea rand, daca oamenii folosesc software piratat, vor fi si mai multe atacuri. Nu-si instaleaza update-uri si atunci un ransomware ca Wannacry sau NotPetya poate avea efecte mai grave.

Automat, cand descarci sofware de pe site-urile de Torrente exista sanse foarte mari sa prinzi si un malware. Multe dintre pachetele respective au si un generator de chei care, de multe ori, e plin cu malware.

Romania nu sta nici foarte rau, nici foarte bine, undeva la mijlocul ratei, adica pe la 5, din punct de vedere al incidentei atacurilor cibernetice. In tari precum Norvegia sau Danemarca lucrurile stau foarte bine, pentru ca filtreaza internetul, iar daca te prinde cu Windows-ul piratat poti sa faci si puscarie.

Sunt institutiile sau autoritatile din Romania mai expuse la atacuri cibernetice decat cele din alte state?

Costin Raiu: Pana acum cativa ani, majoritatea atacurilor semnificative erau lansate de actori statali. Scopul nu era neaparat de a distruge sau de a obtine profit financiar, ci furtul de informatii confidentiale sau clasificate. La un anumit moment, lucrurile s-au schimbat si in ultima vreme citim mai mult de atacuri de tip ransomware.

Realitatea e ca atacurile de tip ransomware, la nivelul institutiilor guvernamentale sau de stat, sunt oarecum raspandite in toata lumea. In fiecare luna mai citim ca la americani o primarie sau un spital a mai platit 300.000 sau 500.000 de dolari pentru a-si recupera informatiile.

Atacatorii din spatele ransomware sunt destul de persistenti si isi dau seama ca pentru ei e vorba despre bani. Realitatea este ca, in momentul in care nu ai backup-uri, situatia devine foarte grava.

Legat de Romania, sa spunem ca in ultimii cinci ani a fost un shift, o tranzitie de la atacuri lansate de actori statali la cele catre zona de ransomware.

De cele mai multe ori, zona de ransomware ataca cele mai slabe puncte si anume acele institutii care nu au foarte multi bani sa investeasca in protectie, care nu au antivirus sau au doar pe cinci computere din zece.

Deci, nu au avut buget sa cumpere pentru zece si au pus doar pe jumatate, dar acest lucru nu ajuta foarte mult, pentru ca in momentul in care un computer s-a infectat si exista o singura parola de retea, virusul se imprastie peste tot.

La nivel de institutii, o tinta foarte usoara sunt spitalele, deoarece scopul acestora este sa-i vindece pe oameni, nu neaparat sa aiba o infrastructura informatica.

Cum il caracterizati pe Bad Rabbit 4, virusul care a pus probleme in spitalele din Romania, in acest an?

Costin Raiu: A fost un atac interesant. I s-a zis gresit Bad Rabbit. Bad Rabbit a fost, de asemenea, un atac lansat de un actor statal, in urma cu cativa ani si scopul a fost unul distructiv.

In cazul de fata a existat o coincidenta si anume ca malware-ul respectiv se numea Rabbit 4-4-4-4, dar exista si variante in care Rabbit se cheama Lion, Giraffe, Sheap, Pig... Deci, Rabbit 4-4-4-4 era numele fisierului, insa in realitate el se numeste Golden Imposter.

Golden Imposter este interesant, deoarece functioneaza ca o retea de afiliere. Exista o minte "criminala" care produce acest Golden Imposter si ulterior il vinde pe forumuri catre o retea de afiliere.

Din reteaua de afiliere fac parte multi membri. Noi am numarat in jur de vreo 12, care fiecare isi lanseaza atacurile independent de ceilalti catre tintele care i-ar interesa.

La randul lor, fiecare dintre afiliati incearca sa scoata cat mai multi bani de la victime si, interesant, mintea "criminala" are o parte din profituri.

In Romania, am observat cateva victime, nu foarte multe. Ideea este ca atacurile nu se calmeaza niciodata, ci se intampla constant si din cand in cand un atac e mai mare decat altele. Principalii factori pe care i-am observat ar fi ca apare o vulnerabilitate in Windows, de exemplu. Microsoft lanseaza un patch pentru aceasta, dar intotdeauna va exista o fereastra de o luna, doua, pana cand toata lumea instaleaza acel patch.

In acea perioada, infractorii cibernetici pot incerca sa exploateze acea vulnerabilitate. Cum s-a intamplat in cazul lui Golden Imposter? Dupa parerea mea, a fost vorba despre o vulnerabilitate Remote Desktop pe care Microsoft a inchis-o, dar in fereastra de cateva saptamani dupa ce a inchis-o au aparut exploit-uri pentru acea vulnerabilitate care le permite infractorilor sa acceseze retelele unde nu a fost instalat patch-ul.

Care vi s-a parut cel mai grav atac cibernetic petrecut in Romania, in ultimii ani?

Oscilez intre Wannacry si NotPetya... Si NotPetya a fost destul de semnificativ si s-a intamplat la un an diferenta fata de Wannacry, in 2017. Wannacry era cam pentru oricine si se inmultea prin Internet, in timp ce NotPetya a fost axat mai mult pe firme si s-a raspandit in special la firmele mari care foloseau un software ucrainean, numit Midoc.

De unde vin infractorii cibernetici?

Cred ca vin din toata lumea, din Romania, Rusia, China, Brazilia, Statele Unite. Probabil ca e o combinatie de factori: usurinta de acces la informatie in tara respectiva, nivelul somajului etc. In momentul in care nivelul somajului e mare si oamenii nu au de munca, incearca orice practic, pornind de la metoda spalarii de bani. Foarte multi oameni primesc acasa anunturi de munca la domiciliu, pentru 2.000 de euro pe luna. E foarte simplu, iti deschizi un cont la banca si tot ce trebuie sa faci e sa primesti bani si sa ii dai mai departe.

Majoritatea infractorilor cibernetici sunt autodidacti, dar conteaza si norocul. Va dau un exemplu aleatoriu: intr-o cafenea de internet e un infractor care tot ce face e sa sparga conturi si se lauda cu asta. Automat, oamenii din jurul lui il vor lua ca model.

Exista o canibalizare intre infractorii cibernetici?

Fara indoiala, da. Exista lupta intre grupuri care incearca sa-si fure unul altuia infrastructura sau victimele. De exemplu, exista malware care, in momentul in care te infectezi cu el, verifica daca exista alt malware in sistem si il elimina ca sa ramana singur. De asemenea, mai e un malware care intra printr-o vulnerabilitate de Office si dupa ce a intrat inchide acea vulnerabilitate, pentru a fi exclusiv.

Companiile care lupta cu aceste atacuri au posibilitati de a momi infractorii cibernetici sa se dea de gol?

Companiile de profil pun capcane, inclusiv noi. Uneori, infractorii cibernetici cad in astfel de capcane, dar sunt unii care nu fac greseli.

Majoritatea firmelor de securitate pe care le stiu au astfel de "honey pot"-uri si echipe care analizeaza atacurile si incearca sa-si dea seama cine este in spatele acestora. De foarte multe ori, se pot identifica persoanele din spatele atacurilor, din greselile pe care acestea le-au facut.

Vorbeati la un moment dat de atacuri statale. Cazul Huawei se poate incadra in aceasta categorie?

Nu cred neaparat asta. Din cate stiu eu, de exemplu, in Romania toata infrastructura actuala ruleaza pe echipamente Huawei.

Din punctul meu de vedere, mi se pare ca e vorba despre un conflict geopolitic, in esenta de natura economica. Huawei au luat-o foarte mult in fata tuturor si au produse care nu sunt neaparat foarte bune tehnic, dar sunt ieftine.

Din punct de vedere economic, se pare ca piata de 5G va fi dominata de Huawei in urmatorii cinci ani, inevitabil. Probabil sa sunt si presiuni din partea altor firme care sunt nemultumite de acest lucru.

Cum se prezinta Kaspersky in Romania la momentul actual, din punct de vedere tehnic si de cercetare?

Pentru noi, 2019 a fost un an bun din mai multe puncte de vedere. O data ca a fost un pic mai liniste fata de anii precedenti si am putut sa ne concentram mai mult pe niste eforturi de dezvoltare si de planificare pe urmatorii ani.

In particular, am instalat o retea destul de mare de Honey Pot-uri care identifica un numar foarte mare de atacuri si colecteaza date despre malware care ataca dispozitive de tipul IoT - Internet of Things.

E un trend si foarte multi atacatori se muta cumva in directia aceasta, pentru ca uneori e mai usor sa intri intr-o retea in felul acesta decat prin spearphishing.

In acelasi timp, foarte multe firme au dispozitive IoT conectate la Internet, multe dintre acestea fara parole: senzori de temperatura, camere de luat vederi, imprimante cu Wi-Fi, aer conditionat wireless, routere.

#hackeri Internet, #securitate cibernetica, #inteviu Kaspersky hackeri , #Internet hacking