Престъпност за милиони: Сериозните кибератаки са се удвоили

Значителните кибератаки срещу критични цели в Европа са се удвоили през изминалата година, според нови данни на ЕС, публикувани от CNN, тъй като пандемията тласна живота и работата ни онлайн.

Агенцията на Европейския съюз за киберсигурност, ENISA, заяви пред CNN, че са имали 304 значителни злонамерени атаки срещу "критични сектори" през 2020 г. - около два пъти повече от 146, записани през предходната година.

Агенцията също така отчете 47% ръст на атаките срещу болници и здравни мрежи за същия период, тъй като същите престъпни мрежи се опитват да осребрят най-важните услуги по време на пандемията.

Цифрите показват нарастващото глобално въздействие на кибератаките, често под формата на рансъмуер, което наскоро предизвика хаос в САЩ, когато групата Darkside се насочи към мрежа от тръбопроводи, причинявайки опашки по бензиностанции поради страх от недостиг на гориво.

Пандемията означава, че "много услуги се предоставят онлайн, а промяната се случи бързо, така че сигурността е била като допълнителна мисъл", казва Апостолос Малатрас, ръководител на екипа за знания и информация в ENISA. В същото време хората остават у дома и имат време да изследват уязвимости в системите и критичната инфраструктура, добави той.

Проучванията на бизнеса от британската фирма за сигурност Sophos също стигат до заключението, че средната цена на атака с рансъмуер се е удвоила. Проучването оценява разходите за 2020 г. на 761 106 долара, но през тази година цифрата е скочила до 1,85 милиона долара. Цената включва застраховки, загубени бизнес, почистване и всякакви плащания в резултат на рансъмуер.

"Нарастващите разходи отразяват по-голямата сложност на някои атаки", казва Джон Шиър, старши съветник по сигурността в Sophos, и добавя, че докато броят на атаките е спаднал, тяхната сложност се е увеличила.

"Изглежда, че хакерите се опитват да бъдат по-целенасочени", обяснява Шиър. "Така че те разбиват компании, разбират точно коя компания им трябва и се опитват да проникнат възможно най-дълбоко, за да могат след това да извлекат колкото се може повече пари."

Нови заплахи

Както Шиър, така и Малатрас посочиха последната заплаха от "тройно изнудване", при която атакуващите замразяват данни в системите на жертвата чрез криптиране и ги извличат, за да могат да заплашат, че ще ги публикуват онлайн. Те казват, че нападателите след това предприемат трета фаза, използвайки тези данни, за да атакуват системите на целта и да изнудват нейните клиенти или контакти.

"Ако сте клиент на компания, чиито данни са откраднати, те ще ви заплашат, че ще публикуват вашата информация или ще се обадят и на други компании, които са ваши партньори", обяснява Шиер. Той добави, че най-високият откуп, за който е чувал, е 50 милиона долара.

Допълнителна заплаха са "безфайловите атаки", при които рансъмуерът не се съдържа във файл, обикновено достъпен от човешка грешка - например щракване върху подозрителна връзка или отваряне на прикачен файл. Безфайловите атаки проникват в операционната система на компютър и често живеят в неговата RAM памет, което затруднява антивирусния софтуер да ги открие.

Министерството на правосъдието на САЩ обяви миналата седмица плановете си да координира усилията си за борба с хакерите със същите протоколи, както прави за тероризма, а администрацията на Байдън обмисля офанзивни действия срещу големи групи за изнудване и кибер престъпници.

Подходът ще бъде в съответствие с подхода на други съюзници, включително Обединеното кралство, което през ноември публично призна наличието на Национална киберсила (NCF), насочена към ключови заплахи за Обединеното кралство онлайн. Говорител на GCHQ, британската организация за разузнаване на сигнали и информационна сигурност, заяви пред CNN: "Миналата година ние обещахме NCF, партньорство между GCHQ и Министерството на отбраната, с правомощия да атакува противниците използвайки кибер операции за нарушаване на враждебните държавни дейности, терористични и престъпни мрежи, застрашаващи сигурността на Обединеното кралство."

Проследяване на престъпни сделки

Докато експертите по правоприлагането и сигурността казват, че най-добрата политика е да не се плащат откупи, тъй като това насърчава престъпниците, все пак има известна надежда за компаниите, които плащат.

По-добрата технология позволява на някои охранителни фирми да проследяват криптовалутата, обикновено биткойн, докато престъпниците я движат около различни акаунти.

Тази седмица разследващите от ФБР успяха да възстановят част от парите, изплатени на групата за рансъмуер Darkside от Colonial Pipeline, след атака, която причини значително прекъсване на доставките на газ в САЩ.

Фирмата за киберсигурност Elliptic, която подпомага ФБР по такива случаи, заяви, че краткото време, в което Darkside разполага с парите, означава, че не е в състояние адекватно да изпира средствата в киберпространството, така че маршрутът е лесен за откриване.

"В момента престъпниците искат да ги осребрят евро или каквото и да е, за да се възползват от престъпната си дейност", обяснява Том Робинсън, главен учен в Elliptic. Това означава, че криптовалутата обикновено се изпраща на финансова борса в реалния свят, за да се превърне в пари в реалния свят, допълва той.

"Ако обменът е регулиран, тогава трябва да идентифицирате клиентите и да докладвате за всяка подозрителна дейност", казва Робинсън, но триковете, използвани за скриване на маршрута на незаконна криптовалута от престъпни групи, се усложняват. Някои използват "миксер портфейли", които позволяват крипто-валутите на потребителите да се смесват заедно - като размесването на използвани банкноти - което прави собствеността трудна за проследяване.

Робинсън казва, че регулирането на тези портфейли и всички борси ще спомогнат за забавяне на престъпните стимули за използване на рансъмуер. "Става въпрос за идентифициране на извършителите, но и за гарантиране, че ще е много трудно за тези престъпници да извадят пари", обяснява Робинсън. "Това означава, че ще има по-малко стимул за извършване на този вид престъпление."