Kryptowaluty a zagrożenia e-mail
Data publikacji: 22.07.2021
Ze względu na wzrost kursu bitcoina oraz wzmożone zainteresowanie kryptowalutami cyberprzestępcy coraz częściej wykorzystują je w swoich oszustwach do zwiększania zysków z ataków.
Badacze z firmy Barracuda przeanalizowali ostatnio ataki phishingowe z wykorzystaniem podszywania się pod firmę lub markę oraz ataki na pocztę biznesową (ang. business email compromise, BEC) rozsyłane pomiędzy październikiem 2020 r. a majem 2021 r. i odkryli, że liczba ataków związanych z kryptowalutami odzwierciedla rosnącą wycenę bitcoina. Pomiędzy październikiem 2020 r. a kwietniem 2021 r. kurs bitcoina wzrósł o niemal 400 proc., a w tym samym okresie liczba związanych z kryptowalutami ataków wykorzystujących impersonację zwiększyła się o 192 proc.
Przyjrzyjmy się bliżej temu, jak napastnicy używają kryptowalut do spear phishingu oraz ataków typu BEC i ransomware, a także rozwiązaniom, które pomagają te ataki wykrywać, blokować i odpierać.
Wyróżnione zagrożenie
Kryptowaluty a zagrożenia e-mail — Kryptowaluta to waluta, która jest dostępna tylko w formacie cyfrowym. Ze względu na zdecentralizowaną naturę oraz brak regulacji kryptowaluty stały się ulubionym środkiem płatniczym cyberprzestępców.
Kryptowaluty były chętnie używane w atakach polegających na szantażu i wymuszaniu okupu, ale obecnie hakerzy zaczęli wykorzystywać je także w atakach typu spear phishing czy BEC (ang. business email compromise).
Do niedawna kryptowalut nie można było używać w rzeczywistym świecie do płacenia za codzienne zakupy. Odkąd jednak niektóre firmy zaczęły ogłaszać, że będą przyjmować płatności w bitcoinie, zainteresowanie kryptowalutami wzrosło, a ich wyceny poszybowały w górę. Tylko pomiędzy październikiem 2020 r. a kwietniem 2021 r. szum medialny wokół bitcoina wywindował jego kurs o niemal 400 proc. Cyberprzestępcy podążyli za tym trendem, a liczba związanych z kryptowalutami ataków wykorzystujących podszywanie się wzrosła w tym okresie o 192 proc.
Szczegóły
Hakerzy domagają się bitcoinów od ofiar szantażu twierdząc, że dysponują kompromitującym filmem wideo lub informacją, którą udostępnią publicznie, jeśli ofiara nie zapłaci za milczenie. Choć metoda ta jest używana już od jakiegoś czasu, odkąd cena bitcoina wzrosła, cyberprzestępcy zaczęli wymyślać bardziej wyrafinowane sposoby wzbogacenia się na kryptowalutowej manii.
W ciągu minionych miesięcy liczba związanych z kryptowalutami ataków phishingowych wykorzystujących impersonację oraz ataków typu BEC była ściśle powiązana z rosnącą wyceną bitcoina. Hakerzy podszywali się pod portfele cyfrowe oraz inne aplikacje związane z kryptowalutami, wykorzystując sfałszowane ostrzeżenia o rzekomym naruszeniu bezpieczeństwa dotyczącym kradzieży danych logowania. Kiedyś napastnicy podszywali się pod instytucje finansowe, aby zdobywać dane umożliwiające zalogowanie się do banku. Dziś w ten sposób próbują ukraść cenne bitcoiny.
Cyberprzestępcy wykorzystują również bitcoina w atakach typu BEC, w których podszywają się pod pracowników organizacji. Ukierunkowują i personalizują wiadomości e-mail, aby skłonić ofiary do zakupu bitcoinów, przekazania ich na rzecz fałszywych organizacji charytatywnych, a nawet opłacenia kryptowalutą fałszywych faktur.
Badacze wykorzystali również możliwości przetwarzania języka naturalnego przez sztuczną inteligencję firmy Barracuda w celu przeanalizowania języka używanego w atakach BEC związanych z kryptowalutami, a także do ustalenia kluczowych fraz, których hakerzy używają do zwiedzenia swoich ofiar. Podobnie jak w atakach BEC, cyberprzestępcy starają się stworzyć poczucie pilności, używając fraz takich jak ‘urgent today’ („pilnie dzisiaj”) czy ‘before the day runs out’ („przed końcem dnia”). Wezwanie do działania zwykle sugeruje udanie się do ‘nearest bitcoin machine’ („najbliższego bitcomatu”). Grają też na emocjach, prosząc o wpłatę na ‘charity donation’ („cele dobroczynne”), aby ofiara myślała, że robi coś dobrego.
Kryptowaluta a ransomware
Ze względu na szybki wzrost postrzeganej wartości bitcoina, ataki typu ransomware stają się jeszcze bardziej szkodliwe. Kryptowaluta wydaje się idealnym środkiem płatniczym do działań przestępczych: jest nieregulowana, trudna do śledzenia i zyskuje na wartości. A to dodatkowo motywuje przestępców do ataków.
W minionym roku transformacja cyfrowa znacznie przyspieszyła, wiele organizacji zostało zmuszonych do pracy zdalnej. Coraz więcej danych jest tworzonych i przechowywanych w aplikacjach do współpracy, co stanowi pewne zagrożenie. Cała sytuacja stwarza przestępcom coraz więcej celów i coraz więcej potencjalnego źródła zarobku.
Do przeprowadzenia ataku typu ransomware nie trzeba też być technicznym geniuszem. W dark webie kwitnie ransomware-jako-usługa – w ramach której do przeprowadzenia ataku można wynająć grupę przestępczą. Ransomware jest jeszcze bardziej dostępny dla przestępców, co prowadzi do zwiększenia liczby ataków.
Liczba ataków typu ransomware wzrasta z roku na rok, ale rosną także kwoty żądanego okupu. W 2019 r. przestępcy żądali od kilku tysięcy do najwyżej dwóch milionów dolarów. Do połowy 2021 r. większość okupów szła już w miliony, a znaczna część przekraczała nawet dwadzieścia milionów dolarów.
Choć trudno jednoznacznie stwierdzić, dlaczego kwoty okupu wzrosły tak gwałtownie, mogło się do tego przyczynić kilka czynników. Po pierwsze, mniej organizacji faktycznie płaci okup, decydując się raczej podjąć ryzyko. Po drugie, płatności nie są już tak trudne do wyśledzenia, jak kiedyś. Ponieważ w grę wchodzą miliony dolarów, organy ścigania są o wiele bardziej zmotywowane do śledzenia pieniędzy, zwracania ich organizacjom, a czasem nawet aresztowania sprawców. Na przykład firma Colonial Oil Pipeline zdołała odzyskać znaczną część zapłaconego okupu. Nic dziwnego, że ze względu na wzrost ryzyka rosną także kwoty okupu. Na koniec, nawet jeżeli cyberprzestępcy domagają się stałej kwoty w bitcoinach, rosnący kurs wymiany powoduje, że dla ofiar okup staje się coraz bardziej kosztowny.
Przyszłość kryptowalut i cyberprzestępczości
Kryptowaluta stała się motorem wielomiliardowej gospodarki ransomware’u, cyberszantażu i podszywania się. Ataki te są wymierzone nie tylko w prywatny biznes, ale również w krytyczną infrastrukturę, więc coraz częściej naruszają bezpieczeństwo narodowe. Po udanych atakach na Colonial Pipeline i JBS — w obu przypadkach organizacje zapłaciły okup – hakerzy z pewnością wezmą na cel inne krytyczne sektory, takie jak energetyka czy wodociągi.
Głośne ataki prawdopodobnie zwiększą zainteresowanie regulacją bitcoina, co z pewnością utrudni przestępcom ukrywanie się. Departament Sprawiedliwości Stanów Zjednoczonych zdołał już wyśledzić cyfrowy portfel napastnika i odzyskać większość okupu zapłaconego przez Colonial Pipeline. W miarę upowszechniania się bitcoina jego wartość będzie nadal rosła, ale nasilą się również interwencje i regulacje rządowe.
Jak chronić się przed zagrożeniami związanymi z kryptowalutami?
Chroń użytkowników przed phishingiem.
Widzieliśmy to wielokrotnie: do przeprowadzania ataków hakerzy wykorzystują bieżące wydarzenia. Kiedyś prosili o przelewy i karty podarunkowe, teraz szukają ofiar, które kupią im i prześlą bitcoiny. Aby chronić swoich użytkowników organizacje muszą być na bieżąco z najnowszymi trendami w atakach.
Szkol użytkowników w zakresie najnowszych zagrożeń e-mail.
Prowadź ciągłe szkolenia, aby Twoi użytkownicy potrafili rozpoznawać najnowsze sposoby działania hakerów. W szkoleniach z zakresu świadomości zagrożeń uwzględniaj symulacje phishingu, aby użytkownicy umieli rozpoznawać te ataki i ich unikać.
Zabezpiecz aplikacje internetowe.
Aplikacje online, takie jak usługi udostępniania plików, formularze internetowe czy witryny e-commerce mogą zostać przejęte przez napastników i wykorzystanie do rozpowszechniania ransomware’u. Organizacje powinny poszukać rozwiązania WAF-as-a-Service albo WAAP, które obejmuje ograniczanie działań botów, ochronę przed atakami DDoS, zabezpieczanie interfejsów API oraz ochronę przed masowym wykorzystaniem ujawnionych poświadczeń w celu włamywania się do innych systemów (ang. credential stuffing) — oraz upewnić się, że zostało ono prawidłowo skonfigurowane.
Utwórz kopię zapasową danych.
W przypadku ataku typu ransomware, rozwiązanie do backupu w chmurze może zminimalizować czas przestoju, zapobiec utracie danych i pozwolić na szybkie przywrócenie systemów do działania – bez względu na to, czy pliki znajdują się na fizycznych urządzeniach, w środowiskach wirtualnych czy w chmurze publicznej.
Nie płać okupu.
Wiele organizacji i konsumentów, które padają ofiarą ransomware’u, nie widzi innego wyjścia, niż zapłacić okup. Zwiększa to tylko apetyt cyberprzestępców zachęcając ich do dalszych ataków i domagania się coraz to większych kwot. Jeśli da się tego uniknąć, nie płać i spróbuj rozwiązać problem we współpracy z organami ścigania.
Źródło: www.blog.barracuda.com
Autor: Fleming Shi (Barracuda Networks)
Kliknij tutaj, aby dowiedzieć się więcej o rozwiązaniach Barracuda.