A fejlődő országokban gyakorolják a zsarolóvírusok használatát a hackerek

A kibertámadók a legújabb zsarolóvírusokkal afrikai, ázsiai és dél-amerikai vállalkozásokon kísérleteznek, mielőtt a fejlettebb biztonsági módszerekkel rendelkező, gazdagabb országokat vennék célba.

A Performanta kiberbiztonsági cég jelentése szerint a hackerek olyan „stratégiát” alkalmaznak, amely szerint először a fejlődő világ rendszereibe szivárognak be, mielőtt nagyobb értékű célpontokra, például Észak-Amerikára és Európára lépnének. "A támadók a fejlődő országokat használják platformként, ahol kipróbálhatják rosszindulatú programjaikat, mielőtt az erőforrásgazdagabb országokat veszik célba” - közölte a cég. A közelmúltban zsarolóprogramok célpontjai közé tartozott egy szenegáli bank, egy chilei pénzügyi szolgáltató cég, egy kolumbiai adóhivatal és egy argentin gazdasági kormányhivatal, amelyeket a bandák fejlődő országokban végrehajtott edzéseinek részeként támadtak meg - derült ki az adatokból.

A kutatásra azért került sor, mert a COVID-19 járvány előtti időszak óta a kibertámadások csaknem megduplázódtak, amit a fejlődő világban a gyors digitalizáció, a jó internethálózatok és a „nem megfelelő” védelem súlyosbít - közölte ebben a hónapban az IMF. Az IMF szerint a 2020 óta világszerte a kibernetikai incidensekből származó, bejelentett veszteségek közel 28 milliárd dollárra emelkedtek, és több milliárd adatot loptak el vagy veszélyeztettek, hozzátéve, hogy a teljes költség valószínűleg „lényegesen magasabb” lesz.

"Ezekben az országokban a vállalkozások kevésbé tartják fontosnak a kiberbiztonságot” - mondta Nadir Izrael, az Armis kiberbiztonsági csoport technológiai vezetője. „Tegyük fel, hogy bankokat akarnak megtámadni” - mondta Izrael. „Az új fegyvert először egy olyan országban próbálják ki, mint Szenegál vagy Brazília, ahol elég sok bank van, és ezek akár olyan vállalatok nemzetközi leányai, amelyek hasonlóak ahhoz, amit végül meg akarsz támadni.”

A Medusa nevű kiberbanda cégek adatainak ellopásával foglalkozik, és a fájlokat titkosítással teszi használhatatlanná. Akcióit 2023-ban kezdte Dél-Afrikában, Szenegálban és Tongában - áll a Performanta jelentésében. A számítógépekre felmásolnak egy "!!READ_ME_MEDUSA!!!.txt című fájlt, ami arra utasítja a felhasználót, hogy jelentkezzen be a dark webre, és kezdjen váltságdíj-tárgyalást a banda „ügyfélszolgálatával”. Ha az áldozatok nem hajlandók, a kibertámadók letörlik vagy közzéteszik az ellopott adatokat. A Medusa tavaly 99 betörésért volt felelős az Egyesült Államokban, az Egyesült Királyságban, Kanadában, Olaszországban és Franciaországban.


A biztonsági csapatok figyelnek a készülő támadásra vonatkozó figyelmeztetésekre, de egy átlagos felhasználó csak akkor értesül egy ilyen támadásról, amikor kizárják a számítógépes rendszeréből - mondta Hanah-Marie Darley, a Darktrace kiberbiztonsági cég fenyegetéskutatási igazgatója. Vonzó célpontokat utánzó hamis weboldalakat, un. honeypotot (mézesmadzagot) hoznak létre a fejlődő országokban, hogy a kísérleti támadásokat korai szakaszban elkapják. Amikor idén kibertámadók egy csoportja egy új, CVE-2024-29201 nevű sebezhetőségről kezdett beszélgetni, „először néhány a harmadik világ országaiban lévő szervert céloztak meg, hogy teszteljék mennyire megbízható az exploit” - mondta Izrael az Armis-tól, amelynek elemzői figyelték a banda beszélgetéseit a sötét weben. Az Armis honeypotjait 11 nappal később ért támadások megerősítették a gyanút: a banda Délkelet-Ázsiában csapott le, mielőtt később szélesebb körben alkalmazta volna a technikákat.

Sherrod DeGrippo, a Microsoft fenyegetés-felderítési stratégiáért felelős igazgatója szerint azonban egyes kiberbandák túlságosan „opportunisták” ahhoz, hogy ilyen módszeresen teszteljenek új támadásokat. DeGrippo szerint a fejlődő országokban tapasztalható megnövekedett aktivitás oka, hogy a szegényebb országok hackerei olcsón tudtak zsarolóprogramokat vásárolni, és saját kisebb támadásokat tudtak végrehajtani. Az olyan bandák, mint a Medusa, elkezdték eladni találmányaikat kevésbé kifinomult hackereknek, ért egyet vele Darley, a Darktrace igazgatója. Ezek a kisebb léptékű hackerek gyakran nem tudták, hogyan működik a technológia, és könnyebb célpontok ellen használták, mondta. A támadók, akik időt szánnak arra, hogy „sandboxolják a technikáikat” - viszonylag védtelen helyeken, fejlődő országokban kísérletezzenek -, kifinomultabbak voltak, tette hozzá.

Teresa Walsh, az FS-ISAC globális kiberfenyegetésekkel foglalkozó hírszerzési szervezet vezetője szerint a bandák általában helyben dolgoznak a támadási módszerek „tökéletesítésén”, majd „exportálják” a terveiket olyan országokba, ahol ugyanazt a nyelvet beszélik: például Brazíliából Portugáliába. Afrikában a digitális átállás sebessége „meghaladja a kiberbiztonsági intézkedések fejlődését, és a kiberfenyegetésekkel kapcsolatos általános tudatosság alacsony” - mondta Brendan Kotze, a Performanta kiberelemzője. „Mindez együttesen aggasztó, egyre növekvő szakadékot teremt a védekezésben, amelyet a kiberbűnözők kihasználnak” - tette hozzá.