Eksperci Cisco przeanalizowali cyberincydenty, które miały miejsce w ubiegłym roku i przygotowali zestawienie technik i metod najczęściej wykorzystywanych przez cyberprzestępców. Na czele tego zestawienia znalazły się cztery sposoby działań:
- ataki na DNS,
- Remote Access Trojans (RATs),
- ukrywanie ataków w szyfrowanym ruchu sieciowym,
- media społecznościowe jako platforma do komunikacji dla cyberprzestępców.
Ataki na System Nazw Domenowych (ang. Domain Name System) były jedną z najczęściej wykorzystywanych przez cyberprzestępców metod. Ataki na DNS są niezwykle trudne do wykrycia, gdyż użytkownicy mogą nawet nie zdawać sobie sprawy, że korzystają z zainfekowanej strony www. Przykładem kampanii mającej na celu ataki na DNS jest Sea Turtle. Była ona skierowana przeciwko organizacjom zarządzającym domenami najwyższego poziomu TLD (ang. top-level domains).
RATs (ang. Remote Access Trojans) są trojanami umożliwiającymi zdalny dostęp do urządzeń. Służą cyberprzestępcom do uzyskiwania informacji i kontrolowania komputerów swoich ofiar. Po zainstalowaniu złośliwego oprogramowania mogą oni m.in. pozyskać dane, w tym loginy i hasła zapisane w pamięci podręcznej, usunąć informacje z komputera, podglądać użytkownika za pomocą kamery zamontowanej w komputerze, podsłuchiwać użytkownika włączając mikrofon w komputerze, uzyskać dostęp do serwera współdzielonego, a nawet zainstalować dodatkowy malware, np. keyloger, który zapisuje teksty napisane na klawiaturze komputera.
Pierwotnie szyfrowanie ruchu sieciowego miało uniemożliwić uzyskanie dostępu do danych osobom niepowołanym. Niestety, technologia ta stała się narzędziem w rękach cyberprzestępców, którzy w ten sposób kamuflują swoje działania. Jak wynika z danych Cisco, 63 proc. wszystkich incydentów wykrytych za pomocą Cisco Stealthwatch, systemu do analizy ruchu sieciowego, było ukrytych w ruchu szyfrowanym. Chcąc zwalczać ten proceder organizacje powinny stale monitorować szyfrowane pakiety danych przemierzające sieć, aby odkryć wzorce wskazujące na działalność cyberprzestępców. Eksperci Cisco podkreślają jednak, że dopiero wykorzystanie algorytmów uczenia maszynowego pozwoli na wykrycie bardziej złożonych złośliwych połączeń. Nie jest to łatwe zadanie, gdyż cyberprzestępcy oprócz zainfekowanych, umieszczają w ruchu sieciowym również przypadkowe pakiety danych, aby zmylić specjalistów ds. cyberbezpieczeństwa.
Osoby zajmujące się tworzeniem i dystrybucją złośliwego oprogramowania wykorzystują powszechnie dostępne portale społecznościowe, takie jak np. Facebook do wymiany informacji o wykorzystywanych technikach, sprzedaży narzędzi hakerskich czy wykradzionych danych. Brian Krebs, badacz zajmujący się cyberbezpieczeństwem, zaprezentował niedawno zestawienie 120 grup w mediach społecznościowych zrzeszających nawet 300 tys. tzw. hakerów. Mimo, że zostały one zgłoszone i usunięte przez administratorów, na ich miejsce wciąż pojawiają się nowe.
Więcej informacji w raporcie "Threats of the Year".