Expertul Cipher Brief, Alex Cresswell, a condus o divizie operațională a GCHQ și a servit în Cabinet Office, conducând echipa de analiști (Organizația comună de informații) care oferă informarea zilnică a primului ministru britanic și evaluările strategice pentru NSC.
PERSPECTIVĂ DE EXPERT – La 17 februarie 2021, DOJ și FBI au adus în cele din urmă acuzații împotriva a trei nord-coreeni din Lazarus, grupul susținut de statul nord-coreean care a lansat atacul Wannacry din 2017. Acesta a fost un memento al cât de mult a fost ciber-ofensiva și defensivă – vin de când acel atac de răscumpărare a izbucnit în lumea corporațiilor, paralizând companiile și spitalele.
Evenimentul de la Wannacry a arătat liderilor de afaceri că ar putea deveni daune colaterale în focul cibernetic al statului național. Pe măsură ce malware-ul s-a răspândit în întreaga lume, aproape cu siguranță a costat viața prin întârzierea asistenței medicale și a provocat cu siguranță miliarde de dolari în pierderi de întrerupere a afacerii, infectând peste 200.000 de sisteme informatice din întreaga lume. Dar daunele directe provocate au reprezentat doar o fracțiune din pierderile ulterioare din partea grupurilor de hackeri criminali care au lansat atacuri de tip copie-pisică inspirate de Wannacry, în următorii 5 ani.
Astăzi, acele grupuri de hackeri criminali sunt sofisticate, iar Wannacry arată ca un instrument contondent. În lumea de astăzi, aproape 20 de grupuri criminale folosesc cibernetic pentru a provoca lunar pierderi comerciale severe întreprinderilor din sectorul privat din SUA. În mod copleșitor, membrii lor operează din Rusia, Belarus și Ucraina. Și împreună, formează o industrie extrem de profitabilă pentru răscumpărare și extorsiune cibernetică.
Aceasta este o comunitate interdependentă în care lanțurile de aprovizionare și operatorii lucrează în silozuri specializate. Designerii de seturi de intruziune elaborează exploatările malware pentru a le vinde altor hackeri. Brokerii de acces asigură capete de pod în sistemele IT corporative ale victimelor. Site-urile de licitație vând acele puncte de acces și instrumentele de intruziune pentru a le exploata. Negociatorii se confruntă cu victimele cu jocuri de răscumpărare și de extorcare cibernetică. Este sigur să spunem că foarte puțini dintre participanții specialiști în această industrie și-ar schimba de bună voie cariera. Aceștia și-au asumat riscuri pentru a-și dobândi expertiza, au câștigat recunoașterea de la colegii lor, au experimentat fiorul de a doborî mari victime corporative și au încasat sume pe care niciun alt loc de muncă din locația lor nu le-ar putea oferi.
Dar fluxul de joc nu merge totul în direcția criminalilor, cel puțin nu în SUA. Metricele industriei de securitate cibernetică din 2020 arată în mod clar că, pentru companiile americane cu venituri peste 50 de milioane de dolari pe an, incidența și severitatea ransomware-ului și a atacurilor de extorsiune cibernetică sunt de platou. În unele sectoare industriale, acesta chiar scade. În trimestrul IV 2020 s-a înregistrat o scădere a activității la nivel global. Comentatorii au descris acest lucru la o serie de factori.
Primul este că nu există nicio îndoială că corporațiile mari din SUA construiesc acum garduri perimetrice tehnice mai bune, mai monitorizate profesional. În același timp, hiperscalatorii care oferă cea mai mare parte a platformelor bazate pe cloud corporative investesc mult mai puternic în monitorizarea amenințărilor. Între acestea, Microsoft, AWS, Apple și Google angajează peste 20.000 de angajați în domeniul securității digitale. Știu că defectele apărării platformelor lor de cloud ar putea duce la o pierdere catastrofală de încredere și la hemoragia clienților, așa că se asigură că este foarte greu pentru infractori să încalce serviciile bazate pe cloud și să rămână nedetectați odată intrați. Și angajează talentul, inclusiv talentul ex-guvernamental, de care au nevoie pentru a realiza acest lucru. Un alt factor cheie în scăderea incidenței este eliminarea coordonată a infrastructurii malware de către agențiile cibernetice naționale. Trickbot, un instrument malware foarte utilizat vândut atacatorilor de către dezvoltatorii de seturi de intruziuni criminale, a fost puternic perturbat de ceea ce părea a fi mai multe organizații care lucrează concertat înainte de alegerile din noiembrie 2020 din SUA. În sfârșit, unii comentatori văd un factor politic în spatele abandonării atacurilor cibernetice din SUA în ultimul trimestru al anului 2020. Ei consideră că Kremlinul, care prevede ceea ce în rusă se numește „acoperiș” (protecție) pentru infractorii cibernetici teritoriu, au descurajat noi atacuri asupra țintelor SUA, calculând că acum nu este momentul să se opună unei administrații Biden.
Apoi, în ultimele luni, la fel cum tendința generală a încălcărilor informatice a devenit pozitivă, două evenimente mari au schimbat calculul. La sfârșitul lunii noiembrie 2020, (Sunburst – Solar Winds) și din nou în februarie 2021, (Hafnium – Microsoft Exchange), au forțat corporațiile americane să se trezească la descoperirea a două atacuri cibernetice de la echipe de actori de stat, unul rus și unul chinez. În realitate, deși impactul asupra securității naționale al acestor două evenimente cibernetice a fost semnificativ, impactul comercial direct a fost, de fapt, destul de limitat.
Cele două campanii au atins peste 60.000 de companii din SUA, forțând C-Suites să se concentreze asupra potențialei amenințări de întrerupere a afacerii. Dar, deși au constituit un apel de trezire pentru întreaga Americă corporativă și au avut un impact asupra companiilor al căror software a fost folosit ca vector (Solar Winds, Microsoft), pierderile financiare de bază pentru majoritatea victimelor corporative din SUA au fost relativ mici . Acest lucru se poate datora parțial faptului că agențiile guvernamentale și actorii comerciali americani implicați la nivel central au comunicat în mod clar că erau hotărâți să închidă orice parte care încearcă să exploateze aceste încălcări. CISA și USIC s-au deplasat rapid pentru a atribui atacurile și a oferi îndrumări de remediere. FireEye, Microsoft și alții au făcut o treabă excelentă reparând vulnerabilitățile și atenuând amenințarea.
Deci, de ce ar trebui companiilor private să le pese în continuare de intruziunile cibernetice sponsorizate de stat atunci când impactul este atât de limitat?
Iată câteva tendințe viitoare, mai îngrijorătoare, de care trebuie să ne uităm.
În primul rând, ar trebui să ne așteptăm ca infractorii cibernetici să imite tehnicile de ultimă generație demonstrate de echipele de stat în campaniile lor recent descoperite. De-a lungul timpului, la fel cum sa întâmplat cu Wannacry, infractorii vor reutiliza o versiune a tehnicilor de intruziune pe care le-au folosit actorii de stat. Așteptați-vă să se concentreze din ce în ce mai mult pe punctele de legătură din peisajul digital, cum ar fi Furnizorii de servicii gestionate (MSP), și să utilizeze mai mult atacurile din lanțul de aprovizionare. Și așteptați ca infractorii cibernetici mai sofisticați să fie mai hotărâți în direcționarea oamenilor ca fiind cele mai slabe verigi din perimetrele corporative. Se vor îmbunătăți mai bine la adaptarea e-mailurilor de phishing pentru a înșela anumiți factori de decizie corporativi și, dacă premiul este suficient de mare, vor face abordări directe de la om la personalul companiei.
În această săptămână, un cetățean rus a pledat vinovat într-o instanță din SUA că a călătorit în SUA și a oferit mită unui milion de dolari unui angajat Tesla pentru a permite instalarea de programe malware în rețeaua internă a fabricii Tesla Reno.
După cum am spus la începutul acestei piese, este puțin probabil ca hackerii criminali din Rusia, Ucraina și Belarus să opteze pentru o schimbare de carieră, chiar dacă înălțimea gardurilor perimetrice corporative crește. Se vor adapta pur și simplu la noi tehnici și vor trece la ținte și piețe noi, mai vulnerabile. Este de remarcat faptul că incidența și severitatea atacurilor de ransomware și de extorsiune cibernetică în Europa continentală au crescut brusc în trimestrul IV 2020 și trimestrul I 2021. Corporațiile europene au apărări cibernetice mai puțin robuste decât în SUA, iar riscul politic pentru hackerii ruși și chinezi este redus. . În 2021, un val de atacuri în Europa pentru a înlocui pierderea veniturilor cibernetice din SUA pare un pariu corect.
Citiți mai multe informații, analize și perspective de securitate națională bazate pe experți Rezumatul cifrat