Ze względu na wzrost kursu bitcoina oraz wzrost zainteresowania kryptowalutami cyberprzestępcy coraz częściej wykorzystują je w swoich oszustwach do zwiększania zysków, jakie czerpią z takich ataków.

Badacze z firmy Barracuda przeanalizowali ostatnio ataki phishingowe z wykorzystaniem podszywania się pod firmę lub markę oraz ataki na pocztę biznesową (business email compromise, BEC) rozsyłane pomiędzy październikiem 2020 r. a majem 2021 r. i odkryli, że liczba ataków związanych z kryptowalutami odzwierciedla rosnącą wycenę bitcoina. Pomiędzy październikiem 2020 r. a kwietniem 2021 r. kurs bitcoina wzrósł o niemal 400 proc., a w tym samym okresie liczba związanych z kryptowalutami ataków wykorzystujących impersonację zwiększyła się o 192 proc.

Przyjrzyjmy się bliżej, jak napastnicy używają kryptowalut do spear phishingu oraz ataków typu BEC i ransomware, a także rozwiązaniom, które pomagają te ataki wykrywać, blokować i odpierać.

Wyróżnione zagrożenie

Kryptowaluty a zagrożenia e-mail — Kryptowaluta to waluta, która jest dostępna tylko w formacie cyfrowym. Ze względu na zdecentralizowaną naturę oraz brak regulacji kryptowaluty stały się ulubionym środkiem płatniczym cyberprzestępców.

Kryptowaluty były chętnie używane w atakach polegających na szantażu i wymuszaniu okupu, ale obecnie hakerzy zaczęli wykorzystywać je także w atakach wykorzystujących spear phishing, podszywanie się oraz w atakach typu BEC (business email compromise).

Do niedawna kryptowalut nie można było używać w rzeczywistym świecie do płacenia za codzienne zakupy. Odkąd jednak niektóre firmy zaczęły ogłaszać, że będą przyjmować płatności w bitcoinie, zainteresowanie kryptowalutami wzrosło, a ich wyceny poszybowały w górę. Tylko pomiędzy październikiem 2020 r. a kwietniem 2021 r. szum medialny wokół bitcoina wywindował jego kurs o niemal 400 proc. Cyberprzestępcy podążyli za tym trendem, a liczba związanych z kryptowalutami ataków wykorzystujących podszywanie się wzrosła w tym okresie o 192 proc.

Szczegóły

Hakerzy domagają się bitcoinów od ofiar szantażu twierdząc, że dysponują kompromitującym filmem wideo lub informacją, którą udostępnią publicznie, jeśli ofiara nie zapłaci za milczenie. Choć metoda ta jest używana już od jakiegoś czasu, odkąd cena bitcoina wzrosła, cyberprzestępcy zaczęli wymyślać bardziej wyrafinowane sposoby wzbogacenia się na kryptowalutowej manii.

W ciągu minionych miesięcy liczba związanych z kryptowalutami ataków phishingowych wykorzystujących impersonację oraz ataków typu BEC była ściśle powiązana z rosnącą wyceną bitcoina. Hakerzy podszywali się pod portfele cyfrowe oraz inne aplikacje związane z kryptowalutami, wykorzystując sfałszowane ostrzeżenia o rzekomym naruszeniu bezpieczeństwa do kradzieży danych do logowania. Kiedyś napastnicy podszywali się pod instytucje finansowe, aby zdobywać dane umożliwiające zalogowanie się do banku. Dziś w ten sposób próbują ukraść cenne bitcoiny.

Cyberprzestępcy wykorzystują również bitcoina w atakach typu BEC, w których podszywają się pod pracowników organizacji. Ukierunkowują i personalizują wiadomości e-mail, aby skłonić ofiary do zakupu bitcoinów, przekazania ich na rzecz fałszywych organizacji charytatywnych, a nawet opłacenia kryptowalutą fałszywych faktur.

Wykorzystaliśmy też możliwości przetwarzania języka naturalnego przez sztuczną inteligencję firmy Barracuda do przeanalizowania języka używanego w atakach BEC związanych z kryptowalutami, a także do ustalenia kluczowych fraz, których hakerzy używają do zwiedzenia swoich ofiar. Podobnie jak w atakach BEC, cyberprzestępcy starają się stworzyć poczucie pilności, używając fraz takich jak ‘urgent today’ („pilnie dzisiaj”) czy ‘before the day runs out’ („przed końcem dnia”). Wezwanie do działania zwykle sugeruje udanie się do ‘nearest bitcoin machine’ („najbliższego bitcomatu”). Grają też na emocjach, prosząc o wpłatę na ‘charity donation’ („cele dobroczynne”), aby ofiara myślała, że robi coś dobrego.

Kryptowaluta a ransomware

Ze względu na szybki wzrost postrzeganej wartości bitcoina, ataki typu ransomware stają się bardziej szkodliwe, niż kiedykolwiek wcześniej. Kryptowaluta wydaje się idealnym środkiem płatniczym do działań przestępczych: jest nieregulowana, trudna do śledzenia i zyskuje na wartości. A to dodatkowo motywuje przestępców do ataków.

W minionym roku transformacja cyfrowa znacznie przyspieszyła, ponadto więcej organizacji zostało zmuszonych do pracy zdalnej. W efekcie coraz więcej danych jest tworzonych i przechowywanych w aplikacjach do współpracy i coraz więcej informacji jest narażonych na ujawnienie. Stwarza to przestępcom coraz więcej celów i coraz więcej potencjalnego zarobku.

Do przeprowadzenia ataku typu ransomware nie trzeba też być technicznym geniuszem. W dark webie kwitnie ransomware-jako-usługa – w ramach której do przeprowadzenia ataku można wynająć grupę przestępczą. Na skutek tego ransomware jest coraz łatwiej dostępny dla przestępców, co prowadzi do coraz większej liczby ataków.

Liczba ataków typu ransomware rośnie z roku na rok, ale rosną też kwoty żądanego okupu. W 2019 r. przestępcy żądali od kilku tysięcy do najwyżej dwóch milionów dolarów. Do połowy 2021 r. większość okupów szła już w miliony, a znaczna część przekraczała nawet dwadzieścia milionów dolarów.

Choć trudno jednoznacznie stwierdzić, dlaczego kwoty okupu wzrosły tak gwałtownie, mogło się do tego przyczynić kilka czynników. Po pierwsze, mniej organizacji faktycznie płaci okup, decydując się raczej podjąć ryzyko. Po drugie, płatności nie są już tak trudne do wyśledzenia, jak kiedyś. Ponieważ w grę wchodzą miliony dolarów, organy ścigania są o wiele bardziej zmotywowane do śledzenia pieniędzy, zwracania ich organizacjom, a czasem nawet aresztowania sprawców. Na przykład firma Colonial Oil Pipeline zdołała odzyskać znaczną część zapłaconego okupu. Nic dziwnego, że ze względu na wzrost ryzyka rosną także kwoty okupu. Na koniec, nawet jeżeli cyberprzestępcy domagają się stałej kwoty w bitcoinach, rosnący kurs wymiany powoduje, że dla ofiar okup staje się coraz bardziej kosztowny.

Przyszłość kryptowalut i cyberprzestępczości

Kryptowaluta stała się motorem wielomiliardowej gospodarki ransomware’u, cyberszantażu i podszywania się. Ataki te są wymierzone nie tylko w prywatny biznes, ale również w krytyczną infrastrukturę, więc coraz częściej naruszają bezpieczeństwo narodowe. Po udanych atakach na Colonial Pipeline i JBS – w obu przypadkach organizacje zapłaciły okup – hakerzy spróbują wziąć na cel inne krytyczne sektory, takie jak energetyka czy wodociągi.

Te głośne ataki prawdopodobnie zwiększą jednak zainteresowanie regulacją bitcoina, co utrudni przestępcom ukrywanie się. Departament Sprawiedliwości Stanów Zjednoczonych zdołał już wyśledzić cyfrowy portfel napastnika i odzyskać większość okupu zapłaconego przez Colonial Pipeline. W miarę upowszechniania się bitcoina jego wartość będzie nadal rosła, ale nasilą się również interwencje i regulacje rządowe.

Jak chronić się przed zagrożeniami związanymi z kryptowalutami?

Chroń użytkowników przed phishingiem

Widzieliśmy to wielokrotnie: do przeprowadzania ataków hakerzy wykorzystują bieżące wydarzenia. Kiedyś prosili o przelewy i karty podarunkowe, teraz szukają ofiar, które kupią im i prześlą bitcoiny. Aby chronić swoich użytkowników organizacje muszą być na bieżąco z najnowszymi trendami w atakach.

Szkol użytkowników w zakresie najnowszych zagrożeń e-mail

Prowadź ciągłe szkolenia, aby Twoi użytkownicy potrafili rozpoznawać najnowsze sposoby działania hakerów. W szkoleniach z zakresu świadomości zagrożeń uwzględniaj symulacje phishingu, aby użytkownicy umieli rozpoznawać te ataki i ich unikać.

Zabezpiecz aplikacje internetowe

Aplikacje online, takie jak usługi udostępniania plików, formularze internetowe czy witryny e-commerce mogą zostać przejęte przez napastników i wykorzystanie do rozpowszechniania ransomware’u. Organizacje powinny poszukać rozwiązania WAF-as-a-Service albo WAAP, które obejmuje ograniczanie działań botów, ochronę przed atakami DDoS, zabezpieczanie interfejsów API oraz ochronę przed masowym wykorzystaniem ujawnionych poświadczeń w celu włamywania się do innych systemów (credential stuffing) — oraz upewnić się, że zostało ono prawidłowo skonfigurowane.

Utwórz kopię zapasową danych

W przypadku ataku typu ransomware, rozwiązanie do backupu w chmurze może zminimalizować czas przestoju, zapobiec utracie danych i pozwolić na szybkie przywrócenie systemów do działania – bez względu na to, czy pliki znajdują się na fizycznych urządzeniach, w środowiskach wirtualnych czy w chmurze publicznej.

Nie płać okupu

Wiele organizacji i konsumentów, które padają ofiarą ransomware’u, nie widzi innego wyjścia, niż zapłacić okup. Zwiększa to tylko apetyt cyberprzestępców, zachęcając ich do dalszych ataków i domagania się coraz to większych kwot. Jeśli da się tego uniknąć, nie płać i spróbuj rozwiązać problem we współpracy z organami ścigania.

Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments