Baltijos grėsmių kraštovaizdis. Kaip SOCRadar remia organizacijas kovojant su kibernetinėmis grėsmėmis?

Kalbant apie tamsųjį internetą, kibernetinių nusikaltėlių veikla yra gana tolygiai išsidėsčiusi visuose trijuose šalyse, nors Lietuva dažniausiai nurodoma kaip pagrindinis taikinys. Tai rodo, kad agresoriai vykdo regionines kampanijas ir traktuoja Baltijos regioną kaip vieningą operatyvinį vienetą, o ne atskirų rinkų rinkinį.

Iš incidentų tipo perspektyvos aiškiai matosi, kad tamsusis internetas čia veikia kaip pardavimų rinka. Dažniausia turinys susijęs su pasiūlymais parduoti – pavogtas duomenų bazes, prieigą prie administracinių panelių arba įrankius, leidžiančius atlikti tolesnes atakas. Didelė dalis taip pat yra pranešimai apie pačius įsilaužimus, kurie paprastai signalizuoja apie kitus monetizacijos etapus.

Dažniausiai stebimos grėsmės tamsiame internete yra duomenų nutekėjimai ir tinklo programų perėmimai. Aukštas su interneto svetainėmis susijusių incidentų skaičius rodo, kad interneto svetainių – parduotuvių, paslaugų portalų, TVS panelių – kompromitacija yra vienas iš pagrindinių įėjimo būdų.

Ataskaita pateikia konkrečius pavyzdžius: Latvijoje buvo parduota administracinė prieiga prie el. prekybos platformos, Estijoje po nesėkmingo šantažo buvo atskleista transporto programėlės duomenų bazė, o Lietuvoje siūloma neteisėta prieiga prie „WordPress“ pagrįstos parduotuvės administracijos. Tai aiškiai parodo, kad net jei pati ataka prasideda lokaliai, jos pasekmės greitai patenka į pasaulinį juodąjį turgų.

Jei tamsusis internetas yra monetizacijos etapas, tai išpirkos reikalavimai yra prievartos etapas – ir Baltijos šalyse ši sąsaja matoma labai aiškiai. Ataskaita nurodo, kad išpirkos reikalavimai beveik simetriškai išsidėstę Lietuvoje ir Latvijoje, su nedideliu sumažėjimu Estijoje. Tai stiprus signalas, kad problema yra regioninio pobūdžio ir apima panašius sektorius bei panašias organizacines silpnybes.

Kalbant apie sukčiavimo atakas, statistika yra labiausiai nevienoda ir Lietuva aiškiai išsiskiria į pirmąją vietą. Toks didelis koncentravimas rodo, kad būtent ten nusikaltėliai surado geriausias sąlygas kampanijoms, apsimetančioms institucijomis ir finansinėmis paslaugomis.

Dažniausiai sukčiavimo taikiniai yra finansinės institucijos ir jų klientai, o greta jų atsiranda jautrios sritys, susijusios su saugumu ir administracija. Ataskaita atkreipia dėmesį į svarbią techninę tendenciją: dauguma sukčiavimo svetainių veikia naudodamos HTTPS. Tai reiškia, kad užpuolikai sąmoningai sukuria patikimumo įspūdį, naudodami sertifikatus ir „spyneles“ naršyklėje. Galutiniam vartotojui riba tarp tikros ir netikros svetainės tampa dar labiau neryški.

DDoS atakos Baltijos regione yra daugialypės, stiprios ir ilgalaikės. Per metus daugiau nei aštuoni tūkstančiai incidentų, su pralaidumo pikiu šimtų gigabitų per sekundę intervale, rodo, kad tai nėra pavienės bandymai trukdyti paslaugoms, o reguliari sistema, siekianti pakenkti sistemoms. Dažniausiai naudojamos vektoriai yra DNS ir NTP amplifikacijos bei TCP potvyniai (ACK/SYN) ir ICMP. Tai rodo, kad užpuolikai vis dar pasiekia rezultatų naudodamiesi gerai žinomais metodais, tačiau atliekami dideliu mastu ir gerai koordinuotais veiksmais.

DDoS atakos turi strateginį potencialą, nes smūgiuoja viešosioms paslaugoms, žiniasklaidai, transportui ar finansiniam sektoriui, tai yra visuomeniškai ir politiškai jautrūs plotai.

Pirmiausia verta pabrėžti tamsiojo interneto stebėjimą su SOCRadar. Kadangi Baltijos šalyse vyrauja duomenų ir prieigų prekyba, o duomenų bazės nutekėjimai yra dažniausi grėsmių tipai, tai sugebėjimas anksti įsisavinti tokius pasiūlymus tiesiogiai sumažina žalą. Tamsiojo interneto stebėjimas / Tamsiojo interneto radaras leidžia aptikti ne tik nutekėjimus, bet ir administracinių prieigų ar įrankių, naudojamų sukčiavime, pardavimus.

Kitas elementas yra gynyba nuo išpirkos, pagrįsta žvalgybine informacija apie veikėjus. Grėsmių veikėjų žvalgyba ir grėsmių veikėjų stebėjimas yra ypač naudingi situacijoje, kurioje atakos kyla iš daugelio skirtingų grupių. Vietoj to, kad sektų viena tendencija, organizacijos gali stebėti visą ekosistemą, suprasti technikas ir pasiruošti detekcijai.

Darbų grandis, kuri susieja visus šiuos veiksmus, yra Kibernetinių grėsmių žvalgyba (XTI). Baltijos šalims, kur kampanijos yra regioninės ir dinamiškos, SOCRadar XTI suteikia SOC ir CSIRT komandoms ne tik kompromitacijos indikatorius, bet taip pat kampanijų kontekstą bei išankstinius įspėjimus apie naujas atakų bangas.

Phishing kontekste, ypač svarbiame Lietuvai, tačiau aktuali visam regionui, esminiai tampa SOCRadar prekių ženklų apsaugos ir išorinės atakos paviršiaus valdymo moduliai. Kadangi dauguma sukčiavimo svetainių veikia per HTTPS ir dažnai naudoja domenus, labai panašius į tikrus, tai aktyvus apsimetinėjimų aptikimas, sertifikatų ir domenų įtarių monitoringas yra tikra pranašumas kovoje su šiuo reiškiniu.

DDoS srityje SOCRadar atlieka daugiausia žvalgybos vaidmenį. XTI ir EASM padeda aptikti kampanijas ir paslaugų ekspozicijas, kurios gali būti panaudotos amplifikacijai, suteikiant laiką prevenciniams veiksmams ir geresniam gynybinės infrastruktūros paruošimui.

Lietuva yra intensyviausiai atakuojama šalis phishing atžvilgiu ir dažniausiai minima kaip tamsiojo interneto veiklos taikinys, tai rodo jos didelę ekspoziciją į finansines kampanijas ir „duomenis pardavimui“. Išpirkos reikalavimai yra stabilios ir regioninės grėsmės, kurias skatina daugelis grupių vienu metu. Tamsusis internetas yra elementas, kuris sujungia visą grandinę: duomenys ir prieigos, pavogtos pirmajame atakos etape, patenka į pardavimą arba naudojamos tolesnėms išpirkos reikalavimų ir phishing atakoms. DDoS užbaigia vaizdą kaip masinio paralyžiaus įrankis, kuris su standartiniais vektoriais vis dar pasiekia labai aukštą efektyvumą.

Jei norite paversti šias išvadas į konkrečius veiksmus savo organizacijoje, susisiekite su mumis. Kaip oficialus SOCRadar sprendimų platintojas padėsime pasirinkti tinkamus modulius, suplanuoti įgyvendinimą ir remti jūsų komandą naudojant platformą realiam phishing rizikos, duomenų nutekėjimų, išpirkos reikalavimų ir DDoS atakų sumažinimui ➡️ Kontaktai

Kviečiame susisiekti, jei norite gauti prieigą prie SOCRadar ataskaitos „Baltic Regional Threat Landscape Report“.