Η Google κηρύσσει πόλεμο στη Symantec για την ασφάλεια του Διαδικτύου

Η Google απειλεί τον γίγαντα της διαδικτυακής ασφάλειας Symantec ότι θα αποκλείσει ορισμένες υπηρεσίες του, υποστηρίζοντας ότι ορισμένοι δικτυακοί τόποι μπορεί να χρησιμοποιούν ύποπτα πιστοποιητικά για να ξεγελούν τους χρήστες.

Με δημοσίευμα σε εταιρικό blog της, η Google ισχυρίζεται ότι η Symantec ασκεί πλημμελή έλεγχο πριν εκδώσει τα λεγόμενα πιστοποιητικά SSL, τα οποία κρυπτογραφούν την επικοινωνία σε δικτυακούς τόπους με ασφάλεια HTΤPS και βεβαιώνουν τον χρήστη ότι δεν επισκέπτονται πλαστούς δικτυακούς τόπους. Τα πιστοποιητικά αυτά εκδίδονται από εγκεκριμένους οργανισμούς σαν την Symantec, στην οποία εκτιμάται ότι αντιστοιχεί το ένα τρίτο των πιστοποιητικών στον παγκόσμιο ιστό.

Η Google υποστηρίζει ότι, σύμφωνα με έρευνα που αφορά πρόσφατο περιστατικό, η Symantec δεν συμμορφώνεται με όλες τις πρακτικές ασφάλειας που απαιτούνται.

Αν η εταιρεία πραγματοποιήσει την απειλή της, το πρόγραμμα περιήγησης Chrome θα πάψει να αναγνωρίζει εκατομμύρια πιστοποιητικά της Symantec σταδιακά τους επόμενους μήνες, κάτι που θα μπορούσε να προκαλέσει προβλήματα στους χρήστες και ιδιοκτήτες συνεργαζόμενων δικτυακών τόπων.

Αυτό, εκτιμά το PC World, θα αναγκάσει τη Symantec να έρθει σε επικοινωνία με χιλιάδες πελάτες της, να ελέγξει και τελικά να αντικαταστήσει τα επίμαχα πιστοποιητικά.

Η Symantec από την πλευρά της χαρακτήρισε «παραπλανητικούς» και «ανεύθυνους» τους ισχυρισμούς της Google. «Ελπίζουμε να μην είχαν στόχο να προκαλέσουν αβεβαιότητα και αμφιβολία εντός της διαδικτυακής κοινότητας για τα πιστοποιητικά μας» ανακοίνωσε σε εταιρικό ιστολόγιο.

Πηγή

Οι προβλέψεις της Symantec για την ασφάλεια το 2017

symantec-logo

Κάθε χρόνο, ο χώρος της ψηφιακής ασφάλειας αντιμετωπίζει νέες μορφές απειλών, καθώς οι εγκληματίες του κυβερνοχώρου εξελίσσουν την προσέγγιση τους ως προς την πρόσβαση στα δεδομένα οργανισμών.

Καθώς πλησιάζουμε το 2017, οι ειδικοί σε θέματα ασφάλειας της Symantec Corp, έχουν επιστήσει την προσοχή τους στις τάσεις που πιθανώς αναμένουμε να δούμε το 2017, αλλά και τα επόμενα χρόνια. Με δεδομένο το συνεχώς μεταβαλλόμενο τοπίο, είναι σημαντικό να εστιάσουμε που θα πρέπει να επικεντρωθεί η προσοχή της ψηφιακής ασφάλειας και πως θα κινηθεί για το ερχόμενο έτος.

Internet of Things (IoT):

  • Η ανάπτυξη του Cloud

Το 2017 θα συνεχίσουμε να βλέπουμε μια στροφή προς τον σύγχρονο εργασιακό χώρο, καθώς όλο και περισσότερες επιχειρήσεις επιτρέπουν στους υπαλλήλους τους να χρησιμοποιούν τις νέες τεχνολογίες, όπως τα wearables, την εικονική πραγματικότητα αλλά και τις συνδεδεμένες στο δίκτυο συσκευές ( IoT), υποστηρίζοντας παράλληλα ένα ταχέως αυξανόμενο δυναμικό, από εφαρμογές και λύσεις που βασίζονται στο Cloud.

  • Τα συνδεδεμένα αυτοκίνητα θα γίνουν στόχος

Με δεδομένο ότι τα αυτοκίνητα αρχίζουν να έχουν δυνατότητες διασύνδεσης, είναι θέμα χρόνου να δούμε hacking μεγάλης κλίμακας και σε αυτά. Αυτό θα μπορούσε να εμφανιστεί με την μορφή λύτρων για τα αυτοκίνητα αυτά, αυτόματη και μη εξουσιοδοτημένη παρακολούθηση τους και συλλογή πληροφοριών, ή άλλες απειλές που συνδέονται με αυτά.

  • Οι συσκευές IoT θα διεισδύσουν ακόμη περισσότερο στις επιχειρήσεις

Κοιτάζοντας πέρα από τα απλά τρωτά σημεία των φορητών συσκευών και των υπολογιστών, τα τμήματα ασφάλειας στην μηχανογράφηση των επιχειρήσεων, θα πρέπει πλέον να εξετάζουν και άλλες συσκευές ως προς την ασφάλεια τους, όπως οι θερμοστάτες για παράδειγμα και γενικότερα έξυπνες συσκευές που είναι συνδεδεμένες στο Internet και χρησιμοποιούν το δίκτυο μιας επιχείρησης.

  • Αύξηση των επιθέσεων IoT DDoS

Η επίθεση Dyn τον περασμένο Οκτώβριο, απέδειξε ότι τεράστιος αριθμός των συσκευών IoT που δεν είναι ασφαλείς και είναι εξαιρετικά ευάλωτες σε επιθέσεις. Δεδομένου ότι όλο και περισσότερες συσκευές IoT εγκαθίστανται σταδιακά στην αγορά, ο κίνδυνος παραβίασης τους θα αυξάνεται αντίστοιχα.

Το Cloud Generation θα καθορίσει το μέλλον της επιχείρησης:

  • Το δίκτυο των επιχειρήσεων θα επεκταθεί και θα γίνει πιο ασαφές και διάσπαρτο

Με το εργατικό δυναμικό να γίνεται πιο “φορητό” από ποτέ, η ανάγκη προστασίας, ενός δικτύου on-premise, θα αποβαίνει ολοένα και πιο κοντόφθαλμη. Η ανάγκη παρουσίας των firewalls για την υπεράσπιση ενός μοναδικού δικτύου καθίσταται περιττή, εάν είναι συνδεδεμένο στο cloud. Όλες οι επιχειρήσεις θα αρχίσουν να κινούνται προς τις ασύρματες και cloud-based υπηρεσίες, αντί να επενδύουν σε ακριβές και περιττές δικτυακές λύσεις.

  • Οι εκβιαστές θα επιτεθούν στο Cloud

Με δεδομένη τη σημαντική στροφή προς την cloud-based αποθήκευση και τις υπηρεσίες, το Cloud γίνεται ένας πολύ προσοδοφόρος στόχος για επιθέσεις, αφού δεν προστατεύεται από firewall ή άλλα παραδοσιακά μέτρα ασφάλειας. Έτσι οι επιχειρήσεις θα πρέπει να υπερασπιστούν τα δεδομένα τους. Οι επιθέσεις μπορεί να οδηγήσουν σε εκβιασμούς και αποζημιώσεις πολλών εκατομμυρίων ευρώ καθώς και στην απώλεια κρίσιμων δεδομένων. Η ανάγκη λοιπόν για λύσεις προστασίας θα γίνει ακόμη πιο έντονη.

  • Η τεχνητή νοημοσύνη θα απαιτεί εξελιγμένες δυνατότητες Big Data.

Το 2017, η μηχανική μάθηση και η τεχνητή νοημοσύνη θα συνεχίσουν να αναπτύσσονται. Μάλιστα, η εταιρεία ερευνών Forrester προβλέπει ότι οι επενδύσεις στην τεχνητή νοημοσύνη θα αυξηθούν κατά 300%, μέσα στο 2017. Με την ανάπτυξη έρχονται νέες, ισχυρές ιδέες για τις επιχειρήσεις καθώς και μια αυξημένη συνεργασία μεταξύ των ανθρώπων και των μηχανών. Από την άποψη της ασφάλειας, αυτή η επέκταση θα επηρεάσει τους οργανισμούς με περισσότερους από έναν τρόπους – συμπεριλαμβανομένων των endpoints και των μηχανισμών στο Cloud.

Το έγκλημα στον κυβερνοχώρο:

  • Κακόβουλες επιθέσεις θα αυτοχρηματοδοτούνται με την κλοπή χρημάτων

Υπάρχει μια επικίνδυνη πιθανότητα ότι παρίες εθνικών κρατών θα μπορούσαν να ευθυγραμμιστούν με το οργανωμένο έγκλημα για δικό τους όφελος, όπως αυτά που είδαμε στις επιθέσεις SWIFT (Society for Worldwide Interbank Financial Telecommunications). Αυτό θα μπορούσε να οδηγήσει ακόμα και σε πτώση κυβερνήσεων ως προς τα πολιτικά, στρατιωτικά ή οικονομικά συστήματα τους.

  • Τα «fileless» malware θα αυξηθούν

Οι fileless μολύνσεις – οι οποίες γράφονται απευθείας στη μνήμη RAM ενός υπολογιστή χωρίς τη χρήση οποιουδήποτε αρχείου – είναι δύσκολο να ανιχνευθούν και συχνά ξεφεύγουν από προγράμματα πρόληψης εισβολών και antivirus. Αυτό το είδος των επιθέσεων αυξήθηκε καθ’ όλο το 2016 και αναμένεται να συνεχίσει να αυξάνεται, αποκτώντας εξέχουσα θέση στη λίστα των απειλών, μέσα στο 2017, πιθανότατα μέσω επιθέσεων PowerShell.

  • Η κατάχρηση του Secure Sockets Layer (SSL) θα οδηγήσει σε αύξηση των phishing sites με HTTPS

Η άνοδος στη δημοτικότητα των δωρεάν πιστοποιήσεων SSL σε συνδυασμό με την πρόσφατη πρωτοβουλία της Google για την επισήμανση των HTTP sites ως μη ασφαλή θα αποδυναμώσουν τα πρότυπα ασφαλείας, οδηγώντας σε υποψήφια spear-phishing ή malware προγράμματα, εξαιτίας των κακόβουλων πρακτικών βελτίωσης ως προς τις μηχανές αναζήτησης.

  • Drones θα χρησιμοποιηθούν για κατασκοπεία και επιθέσεις

Αυτό ίσως να εμφανισθεί το 2017, αλλά είναι πιο πιθανό να συμβεί αργότερα. Μέχρι το 2025, μπορούμε να περιμένουμε ότι θα δούμε «drone-jacking», το οποίο σημαίνει ότι θα υποκλέπτονται σήματα drone, με αποτέλεσμα τον αναπροσανατολισμό τους προς όφελος του εισβολέα. Λαμβάνοντας υπόψη αυτή τη δυνατότητα, μπορούμε επίσης να περιμένουμε ότι θα δούμε και “αντί – drone hacking” δηλαδή τεχνολογία η οποία αναπτύσσεται για τον έλεγχο των GPS συσκευών των droneκαι άλλων σημαντικών συστημάτων.

Το άρθρο περιλαμβάνει πληροφορίες από δελτίο τύπου της Symantec.

Πηγή

Στα έγγραφα της NSA το «κατασκοπευτικό» λογισμικό Regin

Το κατασκοπευτικό λογισμικό Regin, το οποίο βρίσκεται σε λειτουργία από το 2008, συνδέεται με τις αμερικανικές και βρετανικές υπηρεσίες Πληροφοριών, αποκαλύπτει η ιστοσελίδα The Intercept.

Ο αμερικανικός όμιλος Πληροφορικής Symantec ανακοίνωσε την Κυριακή ότι ανακάλυψε ένα λογισμικό, από την τεχνική πολυπλοκότητα του οποίου συνάγεται ότι η δημιουργία του έγινε τουλάχιστον υπό την εποπτεία των υπηρεσιών Πληροφοριών ενός κράτους.

Σύμφωνα με το The Intercept , αυτό το λογισμικό φαίνεται ότι συνδέεται με τις υπηρεσίες Πληροφοριών των ΗΠΑ και της Βρετανίας και χρησιμοποιήθηκε σε κυβερνοεπιθέσεις εναντίον δικτύων ευρωπαϊκών κυβερνήσεων και εναντίον βελγικού τηλεπικοινωνικού δικτύου.

Επικαλούμενη πηγές του τομέα της Πληροφορικής και τεχνική ανάλυση του λογισμικού, η ιστοσελίδα The Intercept αναφέρει ότι ο ιός Regin αναφέρεται στα έγγραφα της Υπηρεσίας Εθνικής Ασφαλείας των ΗΠΑ (NSA) τα οποία δημοσιεύθηκαν από τον Εντουαρντ Σνόουντεν και αποκάλυψαν το εύρος των προγραμμάτων παρακολούθησης των ΗΠΑ.

Οταν ερωτήθηκε για τις πληροφορίες αυτές, εκπρόσωπος της NSA απάντησε: «Δεν πρόκειται να σχολιάσουμε φήμες».

«Οι ομάδες της Symantec ανίχνευσαν παραβιάσεις δικτύων σε δέκα χώρες, πρώτα στη Ρωσία, στη συνέχεια, στη Σαουδική Αραβία, δύο χώρες στις οποίες συγκεντρώνεται το εν τέταρτον των κυβερνοεπιθέσεων», σύμφωνα με τον Κάντιντ Γουίστ, αναλυτή της Symantec.

Οι υπόλοιπες χώρες που έχουν δεχθεί επιθέσεις κατά σειρά σοβαρότητας είναι το Μεξικό, η Ιρλανδία, η Ινδία, το Αφγανιστάν, το Ιράν, το Βέλγιο, η Αυστρία και το Πακιστάν.
Αντίθετα με το λογισμικό Stuxnet, το οποίο επιτέθηκε στις συσκευές φυγοκέντρισης του συστήματος εμπλουτισμού ουρανίου στο Ιράν, στόχος του Regin είναι η συγκέντρωση δεδομένων και όχι το σαμποτάζ κάποιου συστήματος ελέγχου βιομηχανικής
μονάδας.

Η πολυπλοκότητά του παραπέμπει σε μία πολύμηνη, έως και πολυετή, φάση δημιουργίας που απαίτησε σημαντική χρηματοδότηση.

«Ο χρόνος και οι πόροι που χρησιμοποιήθηκαν δείχνουν ότι ένα κράτος είναι υπεύθυνο», βεβαιώνει ο Κάντιντ Γουίστ.

Οι δημιουργοί του κατέβαλαν σημαντικές προσπάθειες για να καταστήσουν όσο το δυνατόν πιο διακριτική την παρουσία του ιού, επιτρέποντας έτσι τη χρησιμοποίησή του σε κατασκοπευτικές δραστηριότητες μακράς διάρκειας.

Ο ιός Regin εντοπίσθηκε για πρώτη φορά τον περασμένο χρόνο από την Symantec. Αρχικά, είχε χρησιμοποιηθεί κατά το διάστημα ανάμεσα στο 2008 και το 2011, οπότε αποσύρθηκε αιφνιδιαστικά. Μία νέα εκδοχή του επανεμφανίσθηκε το 2013 , η οποία συνεχίζει να είναι ενεργή σήμερα.

Πηγή

Symantec: Και η Ελλάδα στο «στόχαστρο» των χάκερ-σαμποτέρ Dragonfly

symantec-logo

Μία ομάδα χάκερ-σαμποτέρ, έχει «βάλει στο μάτι» εκατοντάδες δυτικές ενεργειακές εταιρείες, κυρίως πετρελαίου και φυσικού αερίου, κατά πάσα πιθανότητα κάνοντας βιομηχανική κατασκοπεία, σύμφωνα με την αμερικανική εταιρεία κυβερνο-ασφάλειας Symantec. Η Ελλάδα είναι ανάμεσα στις δέκα κυριότερες χώρες με ενεργές «μολύνσεις», όπου οι επιτιθέμενοι υπέκλεψαν πληροφορίες από παραβιασμένα συστήματα, χωρίς να είναι σαφές ποιοί ακριβώς ήσαν οι στόχοι των χάκερ.

Οι χώρες που έχουν πληγεί περισσότερο, είναι οι εξής: Ισπανία (27%), ΗΠΑ (24%), Γαλλία (9%), Ιταλία (8%), Γερμανία (7%), Τουρκία (6%), Ρουμανία, Πολωνία και Ελλάδα (από 5%) και Σερβία (4%).

Η έκθεση αναφέρει πως «είναι πιθανό οι επιτιθέμενοι να έχουν βάση την Ανατολική Ευρώπη», ενώ σύμφωνα με τους «Τάιμς της Νέας Υόρκης», η ομάδα Dragonfly (Λιβελούλη) είναι ρωσικής προέλευσης, κάτι που σχετίζεται με το μεγάλο ειδικό βάρος της ρωσικής ενεργειακής βιομηχανίας. Μεταξύ των στόχων ήσαν πάροχοι υπηρεσιών ενέργειας, μεγάλες εταιρίες παραγωγής ηλεκτρικού ρεύματος, εταιρείες δικτύων παροχής πετρελαίου και πάροχοι βιομηχανικού εξοπλισμού ενέργειας.

Εκτός όμως από τη βιομηχανική κατασκοπεία, φαίνεται πως ο τρόπος που δρουν οι χάκερ, τους δίνει επίσης την πρόσθετη δυνατότητα να αποκτούν εξ αποστάσεως τον έλεγχο των συστημάτων ελέγχου των ενεργειακών βιομηχανιών και άρα να κάνουν σαμποτάζ, με τρόπο παρόμοιο με αυτό που χρησιμοποίησαν το Ισραήλ και οι ΗΠΑ, όταν επιτέθηκαν με τον ιό Stuxnet στις πυρηνικές εγκαταστάσεις του Ιράν το 2009, καταστρέφοντας το ένα πέμπτο από τα αποθέματα ουρανίου της χώρας.

Οι νέες επιθέσεις καταγράφηκαν για πρώτη φορά από την αμερικανική εταιρεία κυβερνο-ασφάλειας CrowdStrike το καλοκαίρι του 2012 και έκτοτε εκτιμάται, ότι έχουν πλήξει πάνω από 1.000 στόχους σε τουλάχιστον 84 χώρες. Η ομάδα των χάκερ αρχικά στόχευσε εταιρείες άμυνας και αεροπορίας στις ΗΠΑ και τον Καναδά, πριν στρέψει το ενδιαφέρον της σε εταιρείες ενέργειας στις ΗΠΑ και την Ευρώπη στις αρχές του 2013.

H νέα έκθεση της Symantec, που ‘βάφτισε’ τους χάκερ Dragonfly (προηγουμένως είχαν την ονομασία Energetic Bear), δείχνει πλέον το μέγεθος της απειλής, καθώς, σύμφωνα με τα νέα στοιχεία, η εν λόγω ομάδα έχει γίνει πολύ πιο επιθετική και ικανή στις επιθέσεις της.

Ένα από τα «κόλπα» των χάκερ είναι, ότι δεν επιτίθενται απευθείας στα συστήματα της επιχείρησης-στόχου, αλλά «μολύνουν» με το κατάλληλο λογισμικό, ορισμένες ιστοσελίδες που οι εργαζόμενοι στον ενεργειακό τομέα επισκέπτονται συχνά, όταν θέλουν να ανανεώσουν το λογισμικό τους για τον εξοπλισμό των συστημάτων βιομηχανικού ελέγχου (ICS). Με αυτό τον τρόπο, παγιδεύουν τους ανύποπτους εργαζόμενους, οι οποίοι στη συνέχεια «κατεβάζουν» στους υπολογιστές των εταιριών τους το κακόβουλο λογισμικό (τύπου Trojan), το οποίο έτσι διεισδύει στο δίκτυο της εταιρείας-στόχου.

Πάντως, ο εκπρόσωπος της Symantec, Κέβιν Χέιλι, δήλωσε ότι, προς το παρόν τουλάχιστον, δεν υπάρχουν ενδείξεις, ότι οι χάκερ σκοπεύουν να προχωρήσουν σε σκόπιμη πρόκληση ζημιών, όπως στην ανατίναξη κάποιας μονάδας γεώτρησης ή ηλεκτροπαραγωγής. Φαίνεται, όπως είπε, ότι το κατ’ αρχήν κίνητρό τους, είναι να μάθουν περισσότερα πράγματα για τις λειτουργίες, τα στρατηγικά σχέδια και την τεχνολογία των δυτικών ενεργειακών εταιρειών. «Όμως η δυνατότητα για σαμποτάζ υπάρχει πάντα», πρόσθεσε.

Η έκθεση της Symantec, που κάνει λόγο για «συνεχόμενη επίθεση κυβερνοκατασκοπείας», επισημαίνει, ότι οι επιτιθέμενοι «αν είχαν χρησιμοποιήσει τις δυνατότητες σαμποτάζ που είχαν στη διάθεσή τους, θα μπορούσαν να έχουν προκαλέσει ζημιές και προβλήματα στην παροχή ενέργειας στις προσβαλλόμενες χώρες».

Αναφέρει ακόμη πως «ενώ ο Stuxnet στοχοποίησε τα στενά όρια του Ιρανικού πυρηνικού προγράμματος και το σαμποτάζ ήταν ο κύριος σκοπός του, το Dragonfly φαίνεται να έχει πολύ πιο ευρύ φάσμα, με την κατασκοπεία και την επίμονη πρόσβαση να είναι ο πρωταρχικός σκοπός, και το σαμποτάζ να είναι απλά μια προαιρετική δυνατότητα, εφόσον ζητηθεί».

Πριν από τη δημοσιοποίηση του θέματος, η Symantec ειδοποίησε τα προσβαλλόμενα θύματα και τις σχετικές εθνικές αρχές, που χειρίζονται και ανταποκρίνονται σε περιστατικά ασφάλειας του διαδικτύου.

Πηγή

H Symantec βοηθά τις Αρχές να εξουδετερώσουν το δίκτυο ηλεκτρονικού εγκλήματος Gameover Zeus

symantec-logo

Το FBI, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου, καθώς και μια σειρά από διεθνείς υπηρεσίες επιβολής του νόμου αποδυνάμωσαν δύο από τις πιο επικίνδυνες επιχειρήσεις οικονομικής απάτης του κόσμου: το Gameover Zeus botnet και το δίκτυο ransomware Cryptolocker.

Σε συνεργασία με έναν αριθμό εταίρων του ιδιωτικού τομέα, συμπεριλαμβανομένης και της Symantec, το FBI έχει κατασχέσει αρκετές από τις υποδομές που χρησιμοποιήθηκαν από τις δύο αυτές απειλές. Για να ανταποκριθεί η Symantec έχει δημιουργήσει ένα νέο εργαλείο, το οποίο τα θύματα μπορούν να χρησιμοποιήσουν για να αφαιρέσουν πλήρως το Gameover Zeus.

Το Gameover Zeus είναι υπεύθυνο για εκατομμύρια μολυσμένα συστήματα σε όλο τον κόσμο από τις αρχές Σεπτεμβρίου του 2011. Οι επιτιθέμενοι το χρησιμοποιούν για να παρακολουθούν τις online τραπεζικές συναλλαγές, εξαπατώντας εκατοντάδες πελάτες χρηματοπιστωτικών ιδρυμάτων σε παγκόσμιο επίπεδο. Σε μια πρόσφατη ενημέρωση, ένα low level driver component δημιουργήθηκε για να αποτρέψει την απομάκρυνση του Trojan. Η Symantec παρέχει ένα νέο εργαλείο για την απομάκρυνσή του, μαζί με τα πρόσθετα στοιχεία του Trojan.

Το Cryptolocker αποτελεί μια από τις τελευταίες και πιο απειλητικές μορφές ransomware που έχουν δημιουργηθεί. Λειτουργεί κρυπτογραφώντας τα αρχεία του θύματος από τον σκληρό του δίσκο. Αντίθετα με τις περισσότερες απειλές κακόβουλου λογισμικού, δεν έχει βρεθεί fix που να μπορεί να αποκρυπτογραφήσει τα δεδομένα που επηρεάζονται. Αυτό αφήνει το θύμα εκτεθειμένο είτε στην απώλεια προσωπικών αρχείων είτε στο να πληρώσει τους επιτιθέμενους.

Gameover Zeus: Η προηγμένη οικονομική απάτη Trojan

Το Gameover Zeus είναι μια παραλλαγή του Trojan.Zbot, συχνά γνωστό απλά ως «Zeus», που χρησιμοποιεί ένα peer-to-peer δίκτυο και το domain generation algorithm (DGA) για τη δημιουργία εντολής και κατόπιν τον έλεγχο αυτής. Για να αποτραπεί το Gameover Zeus έχουν απενεργοποιηθεί βασικά nodes σε peer δίκτυα μαζί με τα πεδία που παράγονται από το DGA.

Η Symantec παρακολουθεί αυτό το botnet από την πρώτη στιγμή που εμφανίστηκε. Ο botmaster έχει διατηρήσει ένα σχετικά σταθερό δίκτυο εκατοντάδων χιλιάδων μολυσμένων υπολογιστών σε όλο τον κόσμο.

Το Gameover θα μπορούσε να θεωρηθεί η πιο προηγμένη εκδοχή του Zeus, και σε αντίθεση με άλλες παραλλαγές, όπως τα Citadel και IceX Trojans, δεν είναι για μεταπώληση. Το botnet μπορεί να χρησιμοποιηθεί για να διευκολύνει την οικονομική απάτη σε μεγάλη κλίμακα, υποκλέπτοντας χιλιάδες ηλεκτρονικές τραπεζικές συναλλαγές των θυμάτων. Η ομάδα πίσω από το Gameover Zeus το χρησιμοποιεί για την εκτέλεση αυτών των δραστηριοτήτων σε πραγματικό χρόνο. Το Gameover Zeus συνήθως διανέμεται μέσω ηλεκτρονικού ταχυδρομείου το οποίο παρουσιάζεται ως τιμολόγιο. Όταν ο χρήστης που έχει μολυνθεί επισκέπτεται την ιστοσελίδα του τραπεζικού του λογαριασμού μέσω ενός εκτεθειμένου υπολογιστή, το Gameover παρακολουθεί σε απευθείας σύνδεση την ηλεκτρονική συναλλαγή, χρησιμοποιώντας μια τεχνική γνωστή ως man-in-the-browser (MITB). Το γεγονός αυτό μπορεί να παρακάμψει το two factor authentication και να εμφανίσει παραπλανητικά μηνύματα τραπεζικής ασφάλειας στον χρήστη με στόχο να αποκτήσει πληροφορίες για την έγκριση της συναλλαγής. Από τη στιγμή που οι επιτιθέμενοι λάβουν αυτές τις πληροφορίες μπορούν πλέον να τροποποιήσουν τις τραπεζικές συναλλαγές των χρηστών και να υποκλέψουν τα χρήματά τους.

Η Symantec συνεχίζει να παρακολουθεί το δίκτυο Gameover και να ενημερώνει παρόχους υπηρεσιών Διαδικτύου (ISPs), και τους CERTs σε όλο τον κόσμο. Αυτά τα δεδομένα χρησιμοποιούνται για να βοηθήσουν στον εντοπισμό και στην ενημέρωση των θυμάτων σε μία συνεχή προσπάθεια απομάκρυνσης του botnet.

Cryptolocker:  Ένα αποτελεσματικό εργαλείο εκβιασμού

Το Cryptolocker είναι μία από τις πολυάριθμες απειλές ransomware, οι οποίες επιχειρούν να αποσπάσουν χρήματα από τα θύματα τους, κλειδώνοντας τον υπολογιστή τους ή κρυπτογραφώντας τα αρχεία τους. Το Cryptolocker είναι μία από τις πιο επικίνδυνες παραλλαγές του ransomware, δεδομένου ότι χρησιμοποιεί ισχυρή κρυπτογράφηση που δεν μπορεί να παραβιαστεί.

Η απειλή εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο 2013, και ενώ εξακολουθεί να περιλαμβάνει μόνο ένα μικρό ποσοστό των συνολικών μολύνσεων ransomware, έχει κεντρίσει το δημόσιο ενδιαφέρον, επειδή τα θύματα που δεν έχουν κάνει backup τα αρχεία τους, κινδυνεύουν να τα χάσουν αν δεν πληρώσουν τα λύτρα.

Το Ransomware, συμπεριλαμβανομένου και του Cryptolocker, αποδείχθηκε ότι είναι εξαιρετικά προσοδοφόρο για τους επιτιθέμενους. Οι έρευνες της Symantec δείχνουν ότι κατά μέσο όρο το 3% των μολυσμένων χρηστών θα πληρώσει τα λύτρα. Πιστεύουμε ότι οι διανομείς ransomware έχουν αναμφίβολα κερδίσει δεκάδες εκατομμύρια δολάρια το προηγούμενο έτος.

Τα θύματα συνήθως έχουν προσβληθεί από spam emails, τα οποία χρησιμοποιούν τακτικές ‘social engineering’ για να τους δελεάσουν να ανοίξουν το συνημμένο αρχείο zip.

Προστασία

Η Symantec έχει κυκλοφορήσει ένα νέο εργαλείο που απομακρύνει το στοιχείο του Gameover Zeus. Επισκεφθείτε την σελίδα (http://www.symantec.com/security_response/writeup.jsp?docid=2014-052915-1402-99) για να κατεβάσετε το εργαλείο, που θα σας επιτρέψει να καταργήσετε αυτό το στοιχείο και στη συνέχεια να αφαιρέστε πλήρως το Gameover Zeus.

Πηγή

Symantec CyberWar Games 2014: για να μάθουν οι υπερασπιστές να σκέφτονται σαν hackers

Τα τελευταία χρόνια φαίνεται ότι δεν υπάρχει τίποτα πιο σημαντικό από την αποτελεσματική και ασφαλή λειτουργία του παγκόσμιου χρηματοπιστωτικού συστήματος. Τρισεκατομμύρια δολάρια κινούνται σε όλο τον κόσμο, μέσω ενός συστήματος χρηματοπιστωτικών υπηρεσιών. Οι περισσότεροι καταναλωτές έχουν τις υπηρεσίες αυτές σαν δεδομένες. Θα πληρωθούν, και τα χρήματα θα κατατεθούν άμεσα στον λογαριασμό τους, θα πληρώσουν τους λογαριασμούς τους, χρησιμοποιούν την κάρτα τους στα ΑΤΜ για να πάρουν μετρητά, και θα κάνουν τις αγορές τους από το διαδίκτυο. Θεωρούν ότι χρήματα τους θα πρέπει να είναι ασφαλή και είναι ασφαλή.

 

Τα CyberWar Games 2014 της Symantec έθεσαν σαν στόχο να αποδείξουν το πόσο σωστό είναι αυτό που πιστεύουν οι καταναλωτές. Η εκδήλωση CyberWar Games της Symantec είναι το πνευματικό τέκνο του Samir Kapuria, αντιπρόεδρου της Symantec στην ομάδα Ασφαλείας της Πληροφορίας. Στο “παιχνίδι” της Symantec, οι ομάδες ανταγωνίζονται, και κερδίζουν πόντους δημιουργώντας ή ανακαλύπτοντας exploits. Από αυτή τη διαδικασία, οι δέκα καλύτερες ομάδες θα ταξιδέψουν στο Mountain View την έδρα της Symantec στην Καλιφόρνια για να διαγωνιστούν στον τελικό.

Όχι μόνο Hackers

Πάνω από 1.100 εργαζόμενοι Symantec συμμετείχαν στο διαγωνισμό, όπως προγραμματιστές, λογιστές, νομικοί, προσωπικό από τα τμήματα πωλήσεων καθώς και τεχνικό προσωπικό. Ενώ πολλά διαφορετικά τμήματα δοκιμάσαν την τύχη τους σε αυτό το hacking παιχνίδι, οι περισσότεροι από τους φιναλίστ ήταν τεχνικοί και προγραμματιστές. Ο στόχος ήταν να δημιουργηθούν διατμηματικές ομάδες που κατανοούν τις τρέχουσες επιθέσεις και το τοπίο των απειλών, συμπεριλαμβανομένων των υποκείμενων συστημάτων και των διαδικασιών ενός κλάδου. Οι εργαζόμενοι που μπορούσαν ή που δεν μπορούσαν να καταλάβουν τις τεχνικές διεργασίες γιατί το εργασιακό τους αντικείμενο ήταν διαφορετικό, (δίκτυα ΑΤΜ, επεξεργασία πληρωμών, αγορές κεφαλαίου και συναλλάγματος), όλοι τους είχαν ένα ρόλο στα παιχνίδια της Symantec. Η πρόθεση ήταν να αναπτυχθεί όχι μόνο η άμυνα από τις επιθέσεις εναντίον της τεχνολογίας, αλλά και στις επιχειρηματικές διαδικασίες.

Σχολική εκπαίδευση για την άμυνα

Η πρόθεση των παιχνιδιών, όπως εξήγησε ο Samir, είναι να διδάξει στους υπερασπιστές να σκέφτονται σαν εισβολείς, για να μπορούν να είναι καλύτεροι υπερασπιστές. Η Symantec θέλει να αλλάξει τον τρόπο που σκέφτονται οι υπερασπιστές της άμυνας και με πολλούς τρόπους να επαναπροσδιορίσει το πρόβλημα της άμυνας. Τα παιχνίδια αυτά παρέχουν στη Symantec πολύτιμες πληροφορίες για το πώς μπορεί να δημιουργήσει καλύτερα προϊόντα και υπηρεσίες και πως μπορεί να παρέχει με την σειρά της συμβολές στους προμηθευτές τεχνολογίας και στους πελάτες της σχετικά με τη σκλήρυνση των επιχειρήσεών τους απέναντι στις επιθέσεις.

Η Symantec κατά τη διάρκεια των τριών τελευταίων ετών έχει αναδημιουργήσει πραγματικά σενάρια επιθέσεων κατά της βιομηχανίας, χρησιμοποιώντας πραγματικά συστήματα των πελατών της . Πέρυσι Symantec επικεντρώθηκε στη βιομηχανία πετρελαίου και φυσικού αερίου. Σε αντίθεση με τα καλά-σκηνοθετημένα γεγονότα, τα παιχνίδια πολέμου της Symantec είναι χωρίς σενάρια και οι ομάδες είναι τόσο ελεύθερες όσο και δημιουργικές δεδομένου ότι θα πρέπει να είναι για να κερδίσουν.

Αληθινά Σενάρια

Τα CyberWar Games 2014 της Symantec, δεν παρέχουν προκαθορισμένες λύσεις στα προβλήματα. Οι χορηγοί του παιχνιδιού δίνουν ελάχιστες οδηγίες. Δείχνουν την τράπεζα και λένε “Καλή διασκέδαση.” Οι ομάδες είναι ελεύθερες να επιτεθούν οποιοδήποτε σύστημα της τράπεζας, συστήματα πιστωτικών καρτών, δίκτυα ATM, επιτόκια, ακόμη και στο θησαυροφυλάκιο της τράπεζας ή και τις θυρίδες ασφαλείας σαν μέρος μιας φυσικής επίθεσης. Για παράδειγμα η Symantec έχει πράγματι ένα θησαυροφυλάκιο τράπεζας στο χώρο των παιχνιδιών. Τα κλειδιά των πελατών μπορούν αν αποκτηθούν χρησιμοποιώντας μια επίθεση social engineering και οι φύλακες είναι έτοιμοι να και δωροδοκηθούν για να παρέχουν πρόσβαση.

Τι Σημαίνει όλο αυτό

Το πρόγραμμα της Symantec σίγουρα σκοπεύει να αναδείξει την ηγεσία της σκέψης στην αγορά της ασφάλειας των πληροφοριών. Ένα εντυπωσιακό γεγονός από τεχνική άποψη. Η κλίμακα της εκδήλωσης ήταν εντυπωσιακή και η προσπάθεια της εταιρεία; να στήσει μια ολόκληρη τράπεζα, χρησιμοποιώντας πραγματικά συστήματα ήταν εξίσου σημαντική. Το προσωπικό της Symantec με επιθέσεις social engineering και zero-day σε μια αληθοφανή τράπεζα και σε πολλές περιπτώσεις κατάφερε με ευκολία το στόχο.

Η πρακτική μάθηση από την εκδήλωση θα βοηθήσει σίγουρα τους υπαλλήλους της Symantec να είναι καλύτεροι σε αυτό που κάνουν, αλλά θα βοηθήσει επίσης και τις εταιρείες χρηματοοικονομικών υπηρεσιών να κατανοήσουν τις αδυναμίες τους.

Πηγή

Εκατό χάκερ προς… ενοικίαση, ο φόβος και ο τρόμος των φρουρών IT

symantec-logo

Η Symantec μιλάει για τους Hyper Lynx

Τον χειρότερο εφιάλτη των υπεύθυνων ασφαλείας πληροφοριακών συστημάτων σε κυβερνητικές υπηρεσίες και την βιομηχανία περιγράφει το τμήμα Security Response της Symantec. Υπάρχει μια ομάδα χάκερ που αποτελείται από 50 έως 100 άρτια καταρτισμένους, επίμονους, οργανωτικούς, υπομονετικούς και ευέλικτους ανθρώπους που αναλαμβάνουν να διεισδύσουν και να υποκλέψουν πολύτιμα στοιχεία σε εκείνους που μπορούν να τους αποζημιώσουν για να αποκτήσουν στρατηγικό πλεονέκτημα. Είναι οι Hidden Lynx, λέει η Symantec.

Η δράση τους ξεκινάει τουλάχιστον πριν από τέσσερα χρόνια και μια από τις μεθόδους που διαπιστώνει η Symantec ότι χρησιμοποιούν είναι να στήνουν ενέδρες, μολύνοντας διακομιστές πριν ακόμα παραδοθούν από τους προμηθευτές σε κυβερνητικές υπηρεσίες, την βιομηχανία ή της επιχείρησης που έχουν ως πληρωμένο στόχο. Επιπλέον, χαρακτηρίζονται ως οι πρώτοι που έχουν πρόσβαση στις λεγόμενες ευπάθειες «zero-day».

Η Symantec καταλήγει επίσης στο συμπέρασμα πως, οι Hyper Lynx έχουν σχηματίσει δύο απομακρυσμένες ομάδες και οι στόχοι τους δεν είναι λίγοι. Η εταιρεία αναφέρεται σε χτυπήματα σε «εκατοντάδες οργανισμούς διαφορετικού μεγέθους, σε πολλές διαφορετικές χώρες, ακόμα και την ίδια χρονική περίοδο». Η εταιρεία υποστηρίζει ακόμα πως, η ομάδα έχει έδρα στην Κίνα, περισσότερες από τις μισές επιθέσεις αφορούν στις ΗΠΑ, αν και δεν λείπουν οι στοχευμένες επιθέσεις, σε ποσοστό 9% στην Κίνα.

Στην πρώτη γραμμή του Hidden Lynx, αποκαλύπτει η Symantec, είναι μία ομάδα που χρησιμοποιεί διαθέσιμα εργαλεία μαζί με βασικές αλλά, αποτελεσματικές τεχνικές για να επιτεθούν σε πολλούς διαφορετικούς στόχους. Μπορεί επίσης να δρουν ως συλλέκτες πληροφοριών. Αυτήν την ομάδα την έχουν ονομάσει Moudoor από το όνομα του Trojan που χρησιμοποιούν. Το Moudoor είναι ένα back door Trojan που χρησιμοποιεί η ομάδα ελεύθερα, χωρίς να ανησυχεί ότι θα την ανακαλύψουν οι εταιρείες παροχής ασφαλείας.

Η άλλη ομάδα δρα ως μία ειδική μονάδα λειτουργίας, με στελέχη που χρησιμοποιεί για να εμπλακούν με τους πιο πολύτιμους ή πιο ανθεκτικούς στόχους. Η ομάδα χρησιμοποιεί το Trojan με την ονομασία Naid, και για τον λόγο η Symantec αναφέρεται σε αυτήν ως Ομάδα Naid. Σε αντίθεση με τον Moudoor, το Naid Trojan χρησιμοποιείται με φειδώ, για να αποφευχθεί ο εντοπισμός και η σύλληψη, σαν ένα μυστικό όπλο που χρησιμοποιείται μόνο όταν η αστοχία δεν αποτελεί επιλογή.

Ακόμα, η Symantec δηλώνει πως έχει εντοπίσει τουλάχιστον έξι σημαντικές δραστηριότητες από το Hidden Lynx. Ως πιο αξιοσημείωτη από αυτές αναφέρεται η «VOHO»  τον Ιούνιο του 2012. Αυτό που είχε ιδιαίτερο ενδιαφέρον σε αυτή την επίθεση ήταν η χρήση της τεχνικής επίθεσης watering hole και η παραβίαση της ασφάλειας Bit9.

  • Ως επιθέσεις watering hole, σύμφωνα με την Wikipedia, περιγράφονται οι επιθέσεις που ακολουθούν την πρακτική να μολύνουν δικτυακούς τόπους που γνωρίζουν και εμπιστεύονται οι χρήστες στον στόχο, με την ελπίδα πως κάποιος από αυτούς θα μολυνθεί και θα επιτρέψει στους επιτιθέμενους την πρόσβαση στα συστήματα του στόχου.

Η επίθεση VOHO είχε ως τελικό στόχο τους εργολάβους/συνεργάτες του Υπουργείου Άμυνας των ΗΠΑ, των οποίων τα συστήματα προστατεύονταν από το λογισμικό Bit9, αλλά όταν οι επιτιθέμενοι του Hidden Lynx υπερπήδησαν αυτό το εμπόδιο και ανακάλυψαν ότι ο καλύτερος τρόπος για την εισχώρηση τους στο σύστημα ήταν η παραβίαση του ίδιου συστήματος προστασίας, το οποίο έπειτα υπονόμευαν για δικούς τους σκοπούς. Μετά την παραβίαση, οι επιτιθέμενοι ανακάλυψαν γρήγορα τον τρόπο να εισχωρήσουν στην υποδομή για την πιστοποίηση των αρχείων ως ασφαλή (file signing), η οποία ήταν η βάση προστασίας του Bit9, έκαναν χρήση του συστήματος για να υπογράψουν ηλεκτρονικά έναν αριθμό αρχείων malware, τα οποία στη συνέχεια χρησιμοποιούσαν για να παραβιάσουν τους πραγματικούς στόχους.
Περισσότερες και πιο αναλυτικές πληροφορίες, μπορείτε να βρείτε στο δημοσιευμένο whitepaper που περιγράφει το γκρουπ και τις επιθέσεις που έχουν πραγματοποιήσει (αρχείο pdf).

Πηγή

Νέο backdoor παραβιάζει Σύστημα Κρυπτογράφησης Αρχείων

Ένα νέο malware εντοπίστηκε από τη Symantec, το οποίο λέγεται ότι έχει μια νέα τεχνική που εκμεταλλεύεται το σύστημα κρυπτογράφησης αρχείων (EFS), για να εμποδίσει τους ερευνητές ασφάλειας να αποκτήσουν πρόσβαση στα περιεχόμενα των κακόβουλων αρχείων.

Το σύστημα EFS είναι ένα χαρακτηριστικό που παρέχεται από τα Windows, το οποίο επιτρέπει την αποθήκευση των φακέλων σε κρυπτογραφημένη μορφή. Η κρυπτογράφηση έχει σχεδιαστεί ειδικά για την προστασία των εμπιστευτικών δεδομένων από τους κακόβουλους εισβολείς, αλλά φαίνεται ότι τελικά οι hackers έχουν βρει το καλύτερο χαρακτηριστικό για την ασφάλεια των δικών τους δεδομένων.

Σύμφωνα με την έκθεση Malware της Symantec, το κακόβουλο λογισμικό δημιουργεί ένα φάκελο στο αρχείο temp και στη συνέχεια καλεί το EncryptFileW API να κρυπτογραφήσει όλους του τους φακέλους. Έπειτα αντιγράφει τον εαυτό τους ως φάκελο wow.dll.

Δεδομένου ότι τα αρχεία έχουν κρυπτογραφηθεί από το EFS, δεν υπάρχει δυνατότητα πρόσβασης από στο αρχείο wow.dll.

Ωστόσο, ο ερευνητής εκτέλεσε αυτόματα το κακόβουλο λογισμικό σε έναν υπολογιστή που πραγματοποιούσε τις δοκιμές και συγκέντρωσε το περιεχόμενο των κακόβουλων αρχείων.

Το κακόβουλο λογισμικό, το οποίο έχει τη δυνατότητα να πραγματοποιήσει λήψη και να εγκαταστήσει επιπλέον malware στον υπολογιστή του θύματος, εντοπίστηκε πρόσφατα από το λογισμικό ασφάλειας της Symantec ως Backdoor.Tranwos.

Πηγή

Έκθεση εξέδωσε η Symantec σχετικά με το κόστος παραβίασης δεδομένων επιχειρήσεων και οργανισμών

Symantec logo

Η Symantec σε συνεργασία με το ινστιτούτο Ponemon, εξέδωσε έκθεση σχετικά με το κόστος  των παραβιάσεων που έχουν σημειωθεί σε 277 οργανισμούς εννέα χωρών.  Το κόστος των παραβιάσεων των δεδομένων διαφέρει αισθητά ανά χώρα, ενώ  το μέσο κόστος παγκοσμίως για κάθε παραβιασμένη εγγραφή μιας βάσης δεδομένων είναι 136 δολάρια.

Οι πιο δαπανηρές παραβιάσεις δεδομένων έχουν σημειωθεί στην Γερμανία και στις Ηνωμένες Πολιτείες.   Στη Γερμανία, το κόστος για κάθε παραβιασμένη εγγραφή ανέρχεται στα 199 δολάρια, ενώ το υψηλότερο συνολικό κόστος παραβίασης αγγίζει τα 4.8 εκατομμύρια  δολάρια.  Όσον αφορά τις ΗΠΑ, το κόστος για κάθε εγγραφή  είναι 188 δολάρια, ενώ  το υψηλότερο συνολικό κόστος ανά παραβίαση είναι 5.4 εκατομμύρια δολάρια.

Εκτός από τις ΗΠΑ και την Γερμανία, στην έρευνα συμμετείχαν και οι ακόλουθες χώρες: Ηνωμένο Βασίλειο,  Γαλλία,  Ιταλία, Ινδία, Ιαπωνία, Αυστραλία και Βραζιλία.

Οι παραβιάσεις που επέφεραν τις μεγαλύτερες οικονομικές απώλειες για τους οργανισμούς, πραγματοποιήθηκαν με κακόβουλο λογισμικό malware, που επέτρεπε στους επιτιθέμενους να αποκτήσουν πρόσβαση στα εταιρικά συστήματα, υποκλέπτοντας ευαίσθητα δεδομένα.

Τέλος, βάσει των στοιχείων της έρευνας, το 35 % των επιθέσεων  που πραγματοποιήθηκε σε οργανισμούς οφείλεται σε αμέλεια των υπαλλήλων και κακή διαχείριση των εμπιστευτικών δεδομένων, ενώ το 29% σε δυσλειτουργίες και έλλειψη έλεγχου των συστημάτων.

Πηγή

Η Ετήσια Έκθεση της Symantec Internet Security Threat Report Αποκαλύπτει Αύξηση της Κυβερνοκατασκοπείας – με τις Μικρές Επιχειρήσεις να Έχουν Υποστεί Τριπλάσια Αύξηση των Επιθέσεων

Symantec logo

Η ετήσια έκθεση της Symantec (Nasdaq: SYMC) Internet Security Threat Report, Volume 18 (ISTR) αποκάλυψε ότι υπήρξε σημαντικη αύξηση στις στοχευμένες επιθέσιες της τάξης του 42% κατά τη διάρκεια του 2012, σε σύγκριση με την προηγούμενη χρονιά. Σχεδιασμένες για να υποκλέπτουν πνευματική ιδιοκτησία και ευαίσθητα δεδομένα, αυτές οι στοχευμένες επιθέσεις κυβερνοκατασκοπείας απευθύνθηκαν κυρίως στον κατασκευαστικό τομέα καθώς και σε μικρές επιχειρήσεις, οι οποίες έγιναν στόχο του 31% του συνόλου των επιθέσεων. Οι μικρές επιχειρήσεις αποτελούν δελεαστικό στόχο και έναν τρόπο για να προσεγγίσουν εντέλει μεγαλύτερες εταιρείες μέσω τεχνικών τύπου “watering hole”. Τέλος, οι καταναλωτές παραμένουν ευάλωτοι σε ransomware και επιθέσεις σε φορητές συσκευές ιδιαίτερα εκείνοι που χρησιμοποιούν Android πλατφόρμα.

«Φέτος, η ετήσια έκθεση ISTR καταδεικνύει ότι οι κυβερνοεγκληματίες δεν επιβραδύνουν τον τρόπο που κινούνται, παρά συνεχίζουν να επινοούν νέους τρόπους να υποκλέπτουν πληροφορίες από οργανισμούς όλων των μεγεθών» είπε ο κ. Χρήστος Βεντούρης, Information Security Specialist της Symantec Hellas. “Η εξέλιξη των επιθέσεων σε συνδυασμό με την πολυπλοκότητα του ΙΤ, όπως το virtualization, τις φορητες συσκευές και το cloud, απαιτούν την επαγρύπνηση των οργανισμών και τη χρησιμοποίηση μέτρων ασφαλείας που θα τους προσφέρουν ‘άμυνα εις βάθος’ έτσι ώστε να παραμείνουν ένα βήμα μπροστά από τις επιθέσεις.”

Τα κυριότερα σημεία της έκθεσης ISTR 18 Key περιλαμβάνουν:

Οι Μικρές Επιχειρήσεις είναι εκείνες με την λιγότερη αντίσταση
Οι στοχευμένες επιθέσεις αυξήθηκαν στο έπακρο μεταξύ των επιχειρήσεων με λιγότερους από 250 υπαλλήλους. Οι μικρές επιχειρήσεις αποτελούν πλέον στόχο του 31% των επιθέσεων, παρουσιάζοντας τριπλάσια αύξηση σε σχέση με το 2011. Ενώ οι μικρές επιχειρήσεις μπορεί να πιστεύουν ότι είναι άτρωτες σε στοχευμένες επιθέσεις, οι κυβερνοεγκληματίες δελεάζονται από τις πληροφορίες των τραπεζικών τους λογαριασμών, τις πληροφορίες πελατών τους και την πνευματική τους ιδιοκτησία που κατέχουν. Οι επιτιθέμενοι διεισδύουν σε μικρές επιχειρήσεις που συχνά υπολείπονται επαρκών πρακτικών ασφαλείας και υποδομής.

Οι web-based επιθέσεις αυξήθηκαν κατά 30% το 2012, πολλές από τις οποίες προήλθαν από μολυσμένες ιστοσελίδες μικρών επιχειρήσεων. Αυτές οι ιστοσελίδες χρησιμοποιήθηκαν μετέπειτα σε μαζικές κυβερνοεπιθέσεις, καθώς και σε επιθέσεις τύπου “watering hole”. Στις watering hole επιθέσεις, ο επιτιθέμενος προσβάλει μία ιστοσελίδα, όπως ένα blog ή μία ιστοσελίδα μικρής επιχείρησης, η οποία είναι γνωστή για την συχνή επισκεψιμότητα της από χρήστες-θύματα που ενδιαφέρουν τους επιτιθέμενους. Όταν αργότερα το θύμα επισκεφθεί τη μολυσμένη ιστοσελίδα, μία στοχευμένη επίθεση φορτώνεται σιωπηλά στον υπολογιστή του. Το Elderwood Project πρωτοεμφάνισε το συγκεκριμένο είδος επίθεσης και το 2012 μόλυνε επιτυχώς 500 οργανισμούς σε μία μόνο ημέρα. Σε αυτή τη βάση, ο επιτιθέμενος αξιοποιεί την αδύναμη ασφάλεια μίας επιχείρησης για να καταστρατηγήσει την πιθανότατα ισχυρότερη ασφάλεια μίας άλλης επιχείρησης.

Ο κατασκευαστικός κλάδος και οι «εργάτες γνώσης» γίνονται πρωταρχικοί στόχοι

Οι επιτιθέμενοι μετέφεραν το ενδιαφέρον τους από τον δημόσιο τομέα και τους κυβερνητικούς οργανισμούς στον κατασκευαστικό κλάδο, ο οποίος κινήθηκε στην κορυφή των στοχευμένων επιθέσεων το 2012. Η Symantec πιστεύει ότι αυτό οφείλεται στην αύξηση των επιθέσεων που έχουν ως στόχο τους προμηθευτές των πραγματικών στόχων – οι κυβερνοεγκληματίες θεωρούν τους εργολάβους και τους υπερεργολάβους ευάλωτους σε επιθέσεις και επίσης έχουν στην κατοχή τους πολύτιμα δεδομένα πνευματικής ιδιοκτησίας. Συχνά με την τακτική να χρησιμοποιούν κατασκευαστικές εταιρείες ως μέλη της εφοδιαστικής αλυσίδας, οι επιτιθέμενοι κερδίζουν πρόσβαση σε ευαίσθητες πληροφορίες μίας μεγαλύτερης εταιρείας. Επιπρόσθετα, τα στελέχη δεν είναι πλέον οι στόχοι που επιλέγουν οι επιτιθέμενοι. Το 2012, τα πιο συχνά στοχευμένα θύματα σε αυτού του τύπου τις επιθέσεις σε όλους τους κλάδους ήταν οι «εργάτες γνώσης» (27%) με πρόσβαση σε πνευματική ιδιοκτησία , καθώς και εκείνοι με πρόσβαση σε στοιχεία πωλήσεων (24 %).

Malware σε Φορητές Συσκευές και Κακόβουλες Ιστοσελίδες θέτουν τους Καταναλωτές και τις Επιχειρήσεις σε Κίνδυνο

Τον προηγούμενο χρόνο, το malware σε φορητές συσκευές αυξήθηκε κατά 58%, ενώ 32% του συνόλου των φορητών απειλών προσπάθησε να υποκλέψει πληροφορίες όπως διευθύνσεις e-mail και αριθμούς τηλεφώνου. Με έκπληξη διαπιστώθηκε ότι αυτές οι αυξήσεις δεν αποδίδονται απαραίτητα στην αύξηση 30% των ευπαθειών των φορητών συσκευών. Ενώ το iOS της Apple είχε καταγεγραμμένες τις περισσότερες ευπάθειες, μόνο μία απειλή ανακαλύφθηκε όλο αυτό το διάστημα. Σε αντίθεση, το Android είχε λιγότερες ευπάθειες, αλλά περισσότερες απειλές από κάθε άλλο φορητό λειτουργικό σύστημα. Το μερίδιο αγοράς του Android, η ανοιχτή πλατφόρμα και οι πολλαπλές μέθοδοι διανομής του, καθιστούν πιο εύκολη την διάχυση κακόβουλων εφαρμογών και την ιδανική πλατφόρμα προσβολής για τους επιτιθέμενους.

Επιπρόσθετα, το 61% των κακόβουλων ιστοσελίδων είναι στην πραγματικότητα νόμιμες ιστοσελίδες που έχουν μολυνθεί με κακόβουλο κώδικα. Εταιρικά, τεχνολογικά και websites αγορών είναι ανάμεσα στα 5 κυριότερα είδη ιστοσελίδων που φιλοξενούν μολυσμένα αρχεία. Η Symantec αποδίδει το παραπάνω σε μη επιδιόρθωση των ευπαθειών νομίμων ιστοσελίδων. Τα προηγούμενα έτη, αυτές οι ιστοσελίδες έγιναν συχνά στόχος, με αποτέλεσμα να φαίνονται ότι πωλούν ψεύτικο antivirus σε μη υποψιασμένους καταναλωτές. Το γνωστό ransomware, μία ιδιαίτερα κακόβουλη μέθοδος επίθεσης, έχει τώρα μεταλλαχθεί σε malware που επιλέγει η πλειοψηφία, κυρίως λόγω της υψηλής κερδοφορίας που προσφέρει στους επιτιθέμενους. Με αυτό το σκεπτικό, οι επιτιθέμενοι χρησιμοποιούν μολυσμένες ιστοσελίδες με στόχο να διεισδύσουν σε ανυποψίαστους χρήστες και να κλειδώσουν τα συστήματά τους, απαιτώντας λύτρα, για να μπορέσουν να ξακακερδίσουν την πρόσβαση στο σύστημα. Μία ακόμη πηγή μολύνσεων σε άνοδο είναι τα malvertisement, όπου οι εγκληματίες αγοράζουν διαφημιστικό χώρο σε νόμιμες ιστοσελίδες και τον χρησιμοποιούν για να υποκρύψουν κακόβουλα προγράμματα.

Στοιχεία για την Ελληνική Αγορά

Το 2012, η Ελλάδα ανέβηκε 6 θέσεις στη συνολική εικόνα του Internet Security Threat προφίλ της υφηλίου, φθάνοντας την 41η στην Παγκόσμια Κατάταξη, ενώ το 2011 βρισκόταν στην 47η θέση. Πιο συγκεκριμένα, η Ελλάδα ανέβηκε 5 θέσεις στα παγκόσμια επίπεδα spam και βρίσκεται πλέον στην 29η θέση, ενώ η δραστηριότητα κακόβουλου κώδικα μειώθηκε 8 μονάδες και βρίσκεται το 2012 στη 54η θέση της παγκόσμιας κατάταξης. Πτώση είχαν επίσης τα phishing hosts, όπου πλέον η Ελλάδα βρίσκεται στην 59η θέση παγκοσμίως (πτώση 2 μονάδων από το 2011) και η κατηγορία των bots, όπου η Ελλάδα κατέχει την 35η θέση, παρουσιάζοντας πτώση 6 μονάδων στην κατάταξη από πέρσι.

Πηγή