Sfarsitul indiciilor – Kaspersky Lab prezinta predictiile sale pentru 2017

Conform predictiilor Kaspersky Lab pe 2017 privind amenintarile, asa numitii „Indicatori de compromitere” nu mai reprezinta o modalitate sigura de detectare a infectarilor, fapt demonstrat de descoperirea in 2016 a unui APT capabil sa creeze noi instrumente de atac pentru fiecare victima.

Aceste predictii sunt realizate anual de expertii din Global Research and Analysis Team (GReAT) de la Kaspersky Lab si sunt bazate pe vasta experienta si cunoastere a domeniului ale membrilor GReAT. Lista pentru 2017 include impactul instrumentelor personalizate de unica folosinta, utilizarea tot mai frecventa a tacticilor de diversiune in ceea ce priveste identitatea atacatorului, fragilitatea unei lumi conectate fara discriminare la Internet si folosirea atacurilor cibernetice drept arma in razboiul informatiilor.

Declinul IoC

Indicatorii de compromitere (IoCs) au fost, multa vreme, o modalitate excelenta de a face publice caracteristicile programelor malware cunoscute, permitandu-le expertilor sa recunoasca o amenintare activa. Toate acestea s-au schimbat in momentul in care GReAT a descoperit APT-ul ProjectSauron. Analiza facuta acestui grup a dezvaluit o platforma personalizata de malware unde caracteristicile erau modificate pentru fiecare victima, ceea ce insemna ca Indicatorii de compromitere nu puteau detecta alte victime, decat daca erau folositi alaturi de alta masura de siguranta, cum ar fi regulile Yara.

Cresterea numarului de infectari de scurta durata

In 2017, expertii Kaspersky Lab se asteapta, de asemenea, sa apara diverse tipuri de programe malware care raman in memorie, dar care nu sunt interesate sa „supravietuiasca” primului reboot care elimina infectia din memoria dispozitivului. Acest tip de malware, conceput pentru a face evaluari generale si a colecta date de autentificare, va fi, cel mai probabil, utilizat in mediile extrem de sensibile de catre atacatorii priceputi, care isi doresc sa nu fie descoperiti si sa nu creeze suspiciuni.

“Vorbim despre o evolutie dramatica, dar expertii in securitate nu vor ramane fara solutii. Credem ca a venit vremea sa se faca presiuni pentru adoptarea pe scara larga a unor reguli Yara solide. Acestea le vor permite cercetatorilor sa faca scanari complexe ale unei companii, sa identifice anumite trasaturi ale fisierelor binare si sa scaneze memoria pentru a gasi fragmente cunoscute de atac. Infectarile de scurta durata evidentiaza necesitatea unor functii euristice sofisticate si proactive in cadrul solutiilor anit-malware avansate,” spune Juan Andrés Guerrero-Saade, Senior Security Expert, Global Research and Analysis Team.

Alte predictii importante pentru 2017

  • Atribuirea atacurilor va fi ingreunata de indiciile false: Avand in vedere ca atacurile cibernetice ajung sa joace un rol tot mai important in relatiile internationale, atribuirea va deveni o problema centrala in determinarea actiunilor politice viitoare – cum ar fi eventuale represalii. Tentativele de atribuire s-ar putea sa creeze riscul ca mai multi infractori sa-si aduca infrastructura sau instrumentele proprii pe piata deschisa sau sa opteze pentru programe malware open source sau comerciale, ca sa nu mai vorbim de utilizarea foarte raspandita a inducerii in eroare prin indicii false, pentru a tulbura si mai mult apele.
  • Intensificarea razboiului informational: in 2016, lumea a inceput sa ia in serios raspandirea informatiilor obtinute in urma unor atacuri, in scop ofensiv. Astfel de atacuri vor creste, cel mai probabil, in 2017 si exista riscul ca atacatorii sa incerce sa exploateze disponibilitatea oamenilor de a accepta astfel de date ca pe o realitate, prin manipularea sau dezvaluirea selectiva a informatiilor.
  • In plus, Kaspersky Lab se asteapta la cresterea numarului de hackeri “vigilante” (care isi asuma rolul organizatiilor de aplicare a legii) – acestia fura si distribuie informatii, pretinzand ca este pentru binele majoritatii.
  • O vulnerabilitate mai mare la sabotajul cibernetic: Pentru ca infrastructura critica si sistemele de productie raman conectate la Internet, de multe ori cu o protectie superficiala sau fara nicio protectie, tentatia de a le afecta functionarea sau de a le opri s-ar putea dovedi irezistibila pentru atacatorii cibernetici, mai ales pentru cei cu abilitati avansate si pe fondul cresterii tensiunilor geopolitice.
  • Spionajul se muta pe mobil: Kaspersky Lab se asteapta sa vada mai multe campanii de spionaj cibernetic care tintesc in special dispozitivele mobile, profitand de faptul ca industria de securitate IT se poate lupta sa castige acces total la sistemele de operare mobile pentru analiza “criminalistica”.
  • Transformarea atacurilor financiare in “bunuri” de larg consum: Kaspersky Lab se asteapta sa vada transformarea atacurilor in “bunuri” de larg consum, in contextul furturilor SWIFT din 2016 – cu resurse specializate puse in vanzare pe forumuri underground sau sub forma de servicii platite.
  • Compromiterea sistemelor de plata – Pe masura ce sistemele de plata devin tot mai populare si raspandite, Kaspersky Lab se asteapta ca acestea sa atraga un interes mai mare din partea infractorilor.
  • Prabusirea “increderii” in ransomware – Kaspersky Lab estimeaza, de asemenea, ca fenomenul ransomware va continua sa creasca, dar cu relatia de “incredere” intre victima si atacator – bazata pe presupunerea ca plata va fi urmata de inapoierea datelor – afectata pe masura ce o categorie de infractori mai mici intra in bransa. Acesta ar putea reprezenta un moment de cotitura pentru cei pregatiti sa plateasca.
  • Integritatea dispozitivului intr-un Internet supra-aglomerat – Avand in vedere ca producatorii de dispozitive IoT continua sa scoata dispozitive nesecurizate care cauzeaza probleme pe scara larga, exista riscul ca hackerii care iau asupra lor aplicarea legii sa preia initiativa si sa dezafecteze cat mai multe dispozitive posibil.
  • Atractia tehnicilor de advertising digital – Pe parcursul anului viitor, vom vedea instrumentele de urmarire si targetare folosite tot mai mult in publicitate, indreptate catre monitorizarea celor care se pretind activisti sau disidenti. Similar, agentiile de media digitale – care ofera o segmentare foarte buna a publicului printr-o serie de factori, cum sunt IP-uri, browsere sau interesele rezultate din cautarile pe Internet – vor fi folosite de catre gruparile de spionaj cibernetic avansat pentru a lovi cu precizie tintele vizate.

Textul integral al raportului “Predictiile Kaspersky Lab privind amenintarile pe 2017” este disponibil pe Securelist.

Aici puteti vedea previziunile expertilor Kaspersky Lab pentru 2016.

* YARA este un instrument folosit la detectarea fisierelor malware sau a activitatii suspecte din sisteme si retele care au anumite asemanari. Regulile YARA – practic, elemente de cautare – ajuta analistii sa gaseasca, grupeze si sa clasifice mostre de malware inrudite si sa faca legatura intre ele, pentru a costrui familii malware si a descoperi grupuri de atacuri care, altfel, ar putea trece neobservate.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.