Хакерите използват развиващите се страни като изпитателна площадка за нови атаки с рансъмуер
Кибер нападателите експериментират с най-новия си рансъмуер върху бизнеси в Африка, Азия и Южна Америка, преди да се насочат към по-богатите държави, които имат по-сложни методи за сигурност.
Хакерите са възприели „стратегия“ за проникване в системи в развиващия се свят, преди да се насочат към цели с по-висока стойност, като например в Северна Америка и Европа, според доклад, публикуван в сряда от фирмата за киберсигурност Performanta.
„Противниците използват развиващите се страни като платформа, където могат да тестват своите злонамерени програми, преди по-находчивите страни да бъдат насочени“, каза компанията пред Banking Risk and Регулиране, услуга от FT Specialist.
Последни мишени на ransomware включват сенегалска банка, компания за финансови услуги в Чили, данъчна фирма в Колумбия и правителствена икономическа агенция в Аржентина, които бяха засегнати като част от бездействието на банди в развиващите се страни, показват данните.
Изследването идва в момент, когато кибератаките почти са се удвоили от преди пандемията Covid-19, изострени в развиващия се свят от бързата цифровизация, добрите интернет мрежи и „неадекватната“ защита, каза МВФ този месец.
Отчетените загуби от киберинциденти за бизнеса в световен мащаб от 2020 г. насам са се покачили до почти 28 милиарда долара, с милиарди откраднати или компрометирани записи, каза МВФ, добавяйки, че общите разходи вероятно ще бъдат „значително по-високи“.
Тактиката на „мястото“ проработи, защото бизнесът в тези страни имаше „по-малко осведоменост за киберсигурността“, каза Надир Израел, главен технологичен директор в групата за киберсигурност Armis.
„Да кажем, че ще атакувате банки“, каза Израел. „Бихте изпробвали нов оръжеен пакет в страна като Сенегал или Бразилия, където има достатъчно банки, които може да са подобни, или международни подразделения на компании, които са подобни на това, което бихте искали да опитате и атакувате.“
Medusa, кибер банда, която „превръща файловете в камък“ чрез кражба и криптиране на данни на компании, започна да атакува бизнеси през 2023 г. в Южна Африка, Сенегал и Тонга, се казва в доклада на Performanta. Medusa беше отговорен за 99 пробиви в САЩ, Обединеното кралство, Канада, Италия и Франция миналата година.
Екипите по сигурността прихващаха сигнали за предстояща атака, но средният потребител би разбрал за такава едва когато са били заключени от тяхната компютърна система, каза Хана-Мари Дарли, директор за изследване на заплахи от фирмата за киберсигурност Darktrace.
Файл с тема !!!READ_ME_MEDUSA!!!.txt. ще инструктира потребителя да влезе в тъмната мрежа и да започне преговори за откуп с „обслужването на клиенти“ на бандата. Ако жертвите откажат, кибератакуващите публикуват откраднатите данни.
Компаниите за киберсигурност наблюдават тъмната мрежа за информация и след това създават „honeypots“ – фалшиви уебсайтове, които имитират привлекателни цели – в развиващите се страни, за да уловят експериментални атаки на ранен етап.
Когато група кибератаки тази година започнаха да обсъждат нова уязвимост, наречена CVE-2024-29201, те „конкретно се насочиха към няколко [изложени сървъра] в страни от третия свят, за да тестват колко надежден е експлойтът “, каза Израел от Armis, чиито анализатори следяха разговорите на бандата в тъмната мрежа.
Атаките срещу медените гърнета на Армис 11 дни по-късно потвърдиха подозренията: бандата удари само Югоизточна Азия, преди да използва техниките на по-късен етап по-широко.
Шеррод ДеГрипо, директор на стратегията за разузнаване на заплахи в Microsoft обаче каза, че някои кибер банди са твърде „опортюнистични“, за да тестват нови атаки толкова методично.
По-скоро развиващите се страни бяха изпитали повишена активност, тъй като хакерите в по-бедните страни можеха да купуват евтин ransomware и да организират свои собствени малки атаки, каза ДеГрипо.
Банди като Medusa започнаха да продават своите изобретения за по-малко сложни хакери, каза директорът на Darktrace Дарли. Тези по-дребни хакери често не знаеха как работи технологията и я използваха срещу по-лесни цели, каза тя.
Всички нападатели, които отделят време, за да „създадат своите техники в пясъчник“ – да експериментират в сравнително неохраняеми киберзони в развиващите се страни — бяха по-сложни, добави тя.
Тереза Уолш, главен разузнавателен офицер в глобалния орган за разузнаване на киберзаплахи FS-ISAC, каза, че бандите ще работят в местната среда, за да „усъвършенстват“ методите за атака, тя и след това „изнасят“ своите схеми в страни, където може да се говори същият език: Бразилия в Португалия, например.
Скоростта на цифровото приемане в Африка „изпреварва развитието на стабилни мерки за киберсигурност и общата осведоменост за киберзаплахите е ниска“, каза Брендън Коце, кибер анализатор в Performanta.
„В комбинация това създава тревожна, разширяваща се празнина в защитата, която киберпрестъпниците експлоатират“, добави той.
Еллешева Кисин е репортер в , услуга от FT Specialist
p>
