Tipuri de atacuri cibernetice

Să recunoaștem, nu-i deloc ușor să fii în pas cu noile tehnologii, cu tendințele de securitate cibernetică și la curent cu toate informațiile despre amenințările la adresa informației. Dar odată ce toate afacerile au la baza funcționării sisteme informaționale, fiecare dintre ele pot suferi un atac sub formă de criptare, scurgere sau preluare de date, etc. care va duce inevitabil la pierdere de bani, indisponibilitate de funcționare a business-ului și sistarea temporară a funcționării afacerii.

Să înțelegem: Un atac cibernetic este un efort rău intenționat împotriva unei organizații sau al unei persoane de a încălca sistemele unei alte organizații sau ale altei persoane. Motivele atacatorului pot include furtul de informații, câștigul financiar, spionajul sau sabotajul.

Un atac cibernetic este un risc major pentru companie.

Formula de calcul al riscului de atac cibernetic este:

Risc = Probabilitate + Impact

Probabilitatea se estimează prin cât de ușor este pentru un atacator să efectueze un atac asupra companiei sau asupra anumitor sisteme.

Pentru aceasta se analizează dacă este nevoie de un adversar calificat cu abilități sau există metode ușoare de a intra în sistemul companiei și a lansa un atac?

Dacă sunt necesare abilități speciale, atunci este important de examinat dacă există așa atacatori sau grupuri de atacatori cointeresați să execute atacuri cu scopul de a obține profit. Dar, cel mai important, trebuie de întrebat echipa și experții la nivel local care sunt șansele să detectați la timp și să atenuați o amenințare în caz că aceasta se produce?

Al doilea moment importat este să luați în considerare impactul amenințării – cât de sensibile sunt sistemele ce ar putea fi afectate, cât de valoroase și sensibile sunt datele care se pot pierde și, în general, care ar fi impactul financiar sau asupra reputației companiei, în cazul producerii unui atac?

Combinând probabilitatea cu impactul, puteți identifica amenințările care sunt semnificative pentru organizația dvs. și vă puteți asigura că sunteți protejat.

Să ne clarificăm cu tipurile de atacuri cibernetice. Acestea includ:

Malware este o abreviere pentru „software rău intenționat”, care include viruși, viermi, troieni, spyware și ransomware și este cel mai comun tip de atac cibernetic. Programele malware se infiltrează într-un sistem, de obicei prin solicitarea utilizatorilor de a accesa un link pe un site web dubios, prin e-mail prin descărcarea unui atașament infectat sau printr-o descărcare de software nedorit. Odată instalat malware-ul, poate monitoriza activitățile utilizatorilor, poate trimite date confidențiale atacatorului, poate ajuta atacatorul să pătrundă în alte ținte din rețea și chiar poate determina ca dispozitivul utilizatorului să participe la o rețea botnet folosită de atacator în scopuri rău intenționate. De asemenea, atacatorul poate distruge datele sau închide complet sistemul.

Atacurile malware includ:

Virus troian — păcălește un utilizator să creadă că este un fișier inofensiv. Un troian poate lansa un atac asupra unui sistem și poate crea o ușă din spate, pe care atacatorii o pot folosi.
Ransomware – împiedică accesul la datele victimei și amenință că le șterge sau le publică dacă nu se plătește o răscumpărare.
Wiper malware — are scopul să distrugă date sau sisteme, prin suprascrierea fișierelor vizate sau distrugerea unui întreg sistem de fișiere. De obicei, Wiper-urile sunt destinate să trimită un mesaj politic sau să ascundă activitățile hackerilor după ce au scos datelor.
Viermi — acest malware este conceput pentru a exploata ușile din spate și vulnerabilitățile pentru a obține acces neautorizat la sistemele de operare. După instalare, viermele poate efectua diverse atacuri, inclusiv Distributed Denial of Service (DDoS).
Spyware — acest malware le permite actorilor rău intenționați să obțină acces neautorizat la date, inclusiv informații sensibile, cum ar fi detaliile de plată și credențiale. Programele tip spion pot afecta telefoanele mobile, aplicațiile desktop și browserele desktop.
Malware fără fișiere — acest tip de malware nu necesită instalarea de software pe sistemul de operare. Face fișierele native precum PowerShell și WMI editabile pentru a activa funcții rău intenționate, făcându-le recunoscute ca legitime și sunt foarte dificil de detectat.
Manipularea aplicației sau a site-ului web — OWASP (Open Web Application Securiy Project) prezintă primele 10 riscuri de securitate ale aplicațiilor, variind de la controale de acces întrerupte și configurarea greșită a securității până la atacuri de injecție și eșecuri criptografice. Odată ce vectorul este instalat prin achiziția contului de serviciu, sunt lansate mai multe atacuri malware, acreditări sau APT.

Atacuri de inginerie socială

Atacurile de inginerie socială funcționează prin manipularea psihologică a utilizatorilor pentru a efectua acțiuni dezirabile unui atacator sau pentru a divulga informații sensibile.

Atacurile de inginerie socială includ:

Phishing – atacatorii trimit corespondență frauduloasă care pare să provină din surse legitime, de obicei prin e-mail. E-mailul poate îndemna utilizatorul să efectueze o acțiune importantă sau să facă click pe un link către un web site rău intenționat, determinându-l pe utilizator să predea atacatorului informații sensibile sau să facă descărcări rău intenționate. E-mailurile de phishing pot avea un atașament infectat cu programe malware.
Spear phishing – o variantă de phishing în care atacatorii vizează în mod specific persoane cu privilegii de securitate sau influență, cum ar fi administratorii de sistem sau directorii superiori.
Malvertising – publicitate online controlată de hackeri, care conține cod rău intenționat care infectează computerul unui utilizator atunci când acesta face click sau chiar dacă vizualizează anunțul. S-a găsit malvertising în multe publicații online de top.
Descărcări drive-by — atacatorii pot sparge site-uri web și pot introduce scripturi rău intenționate în codul PHP sau HTTP pe o pagină. Când utilizatorii vizitează pagina, malware-ul este instalat direct pe computerul lor, sau, scriptul atacatorului redirecționează utilizatorii către un site rău intenționat, care efectuează descărcarea. Descărcările drive-by se bazează pe vulnerabilități din browsere sau sisteme de operare.
Software de securitate Scareware — pretinde că scanează pentru malware și apoi arată în mod regulat utilizatorului avertismente și detectări false. Atacatorii pot cere utilizatorului să plătească pentru a elimina amenințările false de pe computerul lor sau pentru a înregistra software-ul. Utilizatorii care se conformează își transferă datele financiare unui atacator.
Momeală — apare atunci când un atacator păcălește o persoană plasându-i acestuia un dispozitiv fizic precum un USB infectat într-un loc vizibil ca aceasta mai apoi să îl folosească. Odată ce ținta introduce dispozitivul în computerul lui, instalează neintenționat malware-ul de pe USB.
Vishing — atacurile de phishing vocal (vishing) folosesc tehnici de inginerie socială pentru a determina ținte să divulge informații financiare sau personale prin telefon.
Vânătoarea de balene – acest atac de tip phishing vizează angajații de top, cu profil înalt (balenele), cum ar fi directorul executiv (CEO) sau directorul financiar (CFO). Actorul amenințării încearcă să păcălească ținta să dezvăluie informații confidențiale.
Pretextarea — apare atunci când un actor de amenințare minte ținta pentru a obține acces la date privilegiate. O înșelătorie de pretext poate consta din faptul că atacatorul pretinde că vrea să confirme identitatea unei peroane solicitând date financiare sau personale.
Scareware – un actor de amenințări păcălește victima făcând-o să creadă că a descărcat din greșeală conținut ilegal sau că computerul său este infectat cu malware. Apoi, atacatorul oferă victimei o soluție pentru a remedia problema falsă, păcălind victima să descarce și să instaleze programe malware.
Diversion theft (Furtul de diversiune) — atacatorii folosesc ingineri sociali pentru a păcăli o companie de curierat sau de livrare să meargă la o locație greșită de predare sau de preluare, interceptând tranzacția.
Honey trap (Capcană de miere) — o persoană rău intenționată își asumă o identitate falsă prezentând-se drept o persoană atractivă cu scopul de a interacționa cu cineva online. Atacatorul falsifică o relație online și adună informații sensibile prin această relație.
Tailgating sau piggybacking – apare atunci când un actor de amenințare intră într-o clădire securizată urmând personalul autorizat. De obicei, personalul cu acces legitim asigură intrarea persoanei din spate, ținând ușa deschisă pentru ea.
Pharming — o schemă de fraudă online în timpul căreia un criminal cibernetic instalează cod rău intenționat pe un server sau computer. Codul direcționează automat utilizatorii către un site web fals, unde utilizatorii sunt păcăliți să furnizeze date personale.

Atacuri la software supply chain

Atacurile lanțului de aprovizionare reprezintă un nou tip de amenințare pentru dezvoltatorii și furnizorii de software. Scopul acestora este de a infecta aplicații legitime și de a distribui malware prin codul sursă, procese de compilare sau mecanisme de actualizare a software-ului.

Atacatorii caută protocoale de rețea nesecurizate, infrastructură de server și tehnici de codare și le folosesc pentru a compromite procesul de construire și actualizare, pentru a modifica codul sursă și a ascunde conținutul rău intenționat.

Atacurile lanțului de aprovizionare sunt deosebit de severe deoarece aplicațiile compromise de atacatori sunt semnate și certificate de furnizori de încredere. Într-un atac al lanțului de aprovizionare cu software, furnizorul de software nu este conștient de faptul că aplicațiile sau actualizările sale sunt infectate cu malware. Codul rău intenționat rulează cu aceeași încredere și privilegii ca aplicația compromisă.

Tipuri de atacuri la lanțul de aprovizionare cu software:

Compromitere cu instrumentele de construire a software-ului sau infrastructura de dezvoltare/testare.
Compromitere prin dispozitivele sau conturile deținute de furnizori terți privilegiați.
Aplicații rău intenționate semnate cu certificate de semnare a codurilor furate sau ID-uri de dezvoltator.
Cod rău intenționat implementat pe componente hardware sau firmware.
Programe malware preinstalate pe dispozitive precum camere, USB și telefoane mobile.

Amenințări persistente avansate (APT)

Atunci când un individ sau un grup obține acces neautorizat la o rețea și rămâne nedescoperit pentru o perioadă lungă de timp, atacatorii pot extrage date sensibile, evitând în mod deliberat detectarea de către personalul de securitate al organizației. APT-urile implică atacatori sofisticați și eforturi majore, așa că sunt de obicei lansate împotriva guvernelor, a marilor corporații sau a altor ținte extrem de valoroase.

Indicatorii comuni ai prezenței APT includ:

Crearea unui nou cont — Litera P în Persistent provine de la un atacator care creează un cont cu privilegii ridicate într-o anumită rețea.
Activitate anormală — conturile de utilizator legale funcționează de obicei după șablon. Dacă într-un cont se observă o activitate anormală este posibil să aibă loc un ATP. Se mai poate atrage atenția la conturile care s-au învechit și nu au fost utilizate mult timp, iar brusc au devenit active.
Malware backdoor/cal troian — utilizarea extensivă a acestei metode permite APT-urilor să mențină accesul pe termen lung.
Activitate ciudată a bazei de date – de exemplu, o creștere bruscă a operațiunilor bazei de date cu cantități masive de date.
Fișiere de date neobișnuite — prezența acestor fișiere poate indica faptul că datele au fost grupate în fișiere pentru a ușura un proces de extragere a datelor.

Distributed denial of Service (DDoS)

Obiectivul unui atac de tip denial of service (DoS) este de a copleși resursele unui sistem țintă și de a-l determina să nu mai funcționeze, interzicând accesul utilizatorilor săi. Distribuit denial of service (DDoS) este o variantă de DoS în care atacatorii compromit un număr mare de computere sau alte dispozitive și le folosesc într-un atac coordonat împotriva sistemului țintă.

Atacurile DDoS sunt adesea folosite în combinație cu alte amenințări cibernetice. Aceste atacuri pot lansa un denial of service pentru a capta atenția personalului de securitate și a crea confuzie, în timp ce acestea efectuează alte atacuri mai subtile care vizează furtul de date sau cauzarea altor daune.

Metodele atacurilor DDoS includ:

Rețele bot – sisteme, dispozitive aflate sub controlul hackerilor care au fost infectate cu programe malware. Atacatorii folosesc acești roboți pentru a efectua atacuri DDoS. Rețelele bot mari pot include milioane de dispozitive și pot lansa atacuri la o scară devastatoare.
Atacul Smurf – trimite cereri de ecou Internet Control Message Protocol (ICMP) la adresa IP a victimei. Solicitările ICMP sunt generate de la adrese IP „falsificate”. Atacatorii automatizează acest proces și îl efectuează la scară pentru a copleși un sistem țintă.
Atacul TCP SYN flood — atacurile inundă sistemul țintă cu cereri de conectare. Când sistemul țintă încearcă să finalizeze conexiunea, dispozitivul atacatorului nu răspunde, forțând sistemul țintă să expire. Acest lucru umple rapid coada de conexiune, împiedicând utilizatorii legitimi să se conecteze.

Atacul omului din mijloc (MitM)

Un atac Man-in-the-Middle (MitM) implică interceptarea comunicării dintre două puncte finale, cum ar fi un utilizator și o aplicație. Atacatorul poate asculta comunicarea, poate fura date sensibile și poate uzurpa identitatea fiecărei părți care participă la comunicare.

Atacurile MitM includ:

Deturnarea sesiunii — un atacator deturnează o sesiune între un server de rețea și un client. Computerul atacator își înlocuiește adresa IP cu adresa IP a clientului. Serverul crede că comunică cu clientul și continuă sesiunea.
Atacul de reluare — un criminal cibernetic ascultă comunicarea în rețea și redă mesajele mai târziu, pretinzând că este utilizatorul.
Falsificarea IP – un atacator convinge un sistem că acesta comunică cu o entitate cunoscută și de încredere. În acest caz, sistemul oferă accesul autorizat atacatorului. Atacatorul își falsifică pachetul cu adresa sursă IP a unui utilizator de încredere, în loc să o folosească pe a sa.
Atacul prin interceptare — atacatorii folosesc o conexiune neprotejată în rețea pentru a accesa informațiile transmise între client și server. Aceste atacuri sunt greu de detectat deoarece transmisiile de rețea par să acționeze normal.
Atacurile Bluetooth — Deoarece Bluetooth este adesea deschis în mod implicit, există multe atacuri, în special împotriva telefoanelor, cărora li se aruncă carduri de contact și alte programe malware prin deschiderea și primirea conexiunilor Bluetooth. De obicei, scopul acestui atac este de a colecta date personale.

Atacurile cu parole

Un hacker poate obține acces la informațiile despre parolele unei persoane prin mai multe metode. Prin înșelăciune, prin snnifing-ul conexiunii la rețea, prin inginerie socială, ghicind sau obținând acces la o bază de date cu parole. Un atacator poate „ghici” o parolă într-un mod aleatoriu sau sistematic.

Atacurile cu parole includ:

Ghicirea parolelor cu forță brută — un atacator folosește un software pentru a încerca multe parole diferite, în speranța de a o ghici pe cea corectă. Software-ul poate folosi o anumită logică pentru a încerca parole legate de numele persoanei, locul de muncă, numele de familie, etc.
Atacul de dicționar – un dicționar de parole comune este folosit pentru a obține acces la computerul și rețeaua victimei. O metodă folosită este copierea unui fișier criptat care conține parolele, aplicarea aceleași criptări unui dicționar de parole care este utilizat în mod regulat și compararea rezultatelor.
Atacul pass-the-hash — un atacator exploatează protocolul de autentificare într-o sesiune și captează un hash de parolă și apoi îl transmite pentru autentificare și acces lateral la alte sisteme în rețea. În aceste tipuri de atac, actorul amenințării nu trebuie să decripteze hash-ul pentru a obține o parolă de text simplu.
Atacul cu biletul de aur — un atac cu biletul de aur începe în același mod ca un atac de tip pass-the-hash, în care pe un sistem Kerberos (Windows AD) atacatorul folosește hash-ul parolei furate pentru a accesa centrul de distribuție a cheilor pentru a falsifica acordarea de bilete -ticket (TGT) hash. Atacurile Mimikatz folosesc frecvent acest vector de atac.

Cine pot fi atacatori cibernetici?

Când identificați o amenințare cibernetică, este important să înțelegeți cine este actorul amenințării, precum și tacticile, tehnicile și procedurile acestora (TTP). Sursele comune de amenințări cibernetice includ:

Sponsorizate de stat — atacurile cibernetice din partea țărilor pot perturba comunicațiile, activitățile militare sau alte servicii pe care cetățenii le folosesc zilnic.

Terorişti — teroriştii pot ataca ținte guvernamentale sau militare, dar uneori pot viza şi site-uri web civile pentru a perturba şi a cauza daune de durată.

Spioni industriali — crima organizată și spionii corporativi internaționali efectuează spionaj industrial și furturi de bani. Motivul lor principal este financiar.

Grupuri criminale organizate — grupurile criminale se infiltrează în sisteme pentru câștiguri monetare. Grupurile criminale organizate folosesc phishing, spam și programe malware pentru a comite furtul de identitate și frauda online. Există grupuri de crimă organizată care au scop de a vinde și altora servicii de hacking, sprijinind astfel dezvoltarea de servicii pentru profitori și spionii industriali deopotrivă.

Hackeri — există o mare populație globală de hackeri, începând de la copii începători sau cei care folosesc seturi de instrumente gata făcute pentru amenințări, până la operatori sofisticați care pot dezvolta noi tipuri de amenințări și pot ocoli sistemele de protecție ale organizațiilor.

Hacktiviști – hacktiviștii sunt hackeri care pătrund sau perturbă sistemele din motive politice sau ideologice, mai degrabă decât pentru câștiguri financiare.

Insider rău intenționat – persoanele din interiorul companiilor reprezintă o amenințare foarte serioasă, deoarece au acces la sistemele corporative și cunosc sistemele țintă și alte date sensibile. Amenințările interne pot fi devastatoare și foarte greu de detectat.

Spionajul cibernetic – este o formă de atac cibernetic care fură date intelectuale clasificate sau sensibile pentru a obține un avantaj față de o companie competitivă sau o entitate guvernamentală.