Hackere anvender nu udviklingslande som et eksperimentelt laboratorium for deres seneste ransomware, inden de retter angrebene mod rigere lande med mere avancerede sikkerhedsmetoder. Dette mønster er blevet særligt fremtrædende i Afrika, Asien og Sydamerika. Dette får ikke alarmerne til at gå så hurtigt som hvis man hackede højprofil mål og denne forsinkelse gør, at hackerne har længere tid og dermed tjener de flere penge. Det skriver bl.a. Financial Times.
Ifølge en rapport offentliggjort onsdag af cybersikkerhedsfirmaet Performanta, har hackere vedtaget en “strategi” for at infiltrere systemer i den udviklende verden, før de bevæger sig mod højere værdimål i Nordamerika og Europa. “Modstandere bruger udviklingslandene som en platform, hvor de kan teste deres skadelige programmer, før de mere ressourcestærke lande bliver målrettet,” fortalte firmaet til Banking Risk and Regulation, en service fra FT Specialist.
Seneste mål for ransomware omfatter en senegalesisk bank, et finansielt serviceselskab i Chile, et skattefirma i Colombia og en regeringsøkonomisk agentur i Argentina, som blev ramt som en del af bandernes prøvekørsler i udviklingslandene, viste dataene.
Forskningen kommer i kølvandet på, at cyberangreb er næsten fordoblet siden før Covid-19-pandemien, forværret i den udviklende verden af hurtig digitalisering, gode internetnetværk og “utilstrækkelig” beskyttelse, sagde IMF denne måned.
Rapporterede tab fra cyberhændelser til virksomheder globalt siden 2020 er steget til næsten $28 milliarder, med milliarder af optegnelser stjålet eller kompromitteret, tilføjede IMF, idet de samlede omkostninger sandsynligvis ville være “væsentligt højere”.
Denne “mellemstation” taktik fungerer, fordi virksomheder i disse lande har “mindre bevidsthed om cybersikkerhed”, sagde Nadir Izrael, teknologidirektør hos cybersikkerhedsgruppen Armis. “Lad os sige, at du vil angribe banker,” sagde Izrael. “Du ville prøve et nyt våbenpakke i et land som Senegal eller Brasilien, hvor der er nok banker, der kunne være lignende, eller internationale afdelinger af virksomheder, der ligner dem, du ønsker at angribe.”
Medusa-gangen: En cybertrussel der forvandler filer til ‘sten’
Medusa, en cyberbande, der “forvandler filer til sten” ved at stjæle og kryptere virksomheders data, begyndte at angribe forretninger i 2023 i Sydafrika, Senegal og Tonga, ifølge en rapport fra Performanta. Medusa var ansvarlig for 99 brud i USA, Storbritannien, Canada, Italien og Frankrig sidste år.
Sikkerhedsteams ville opfange alarmer om et forestående angreb, men den gennemsnitlige bruger ville kun blive opmærksom på et, når de blev låst ude fra deres computersystem, udtalte Hanah-Marie Darley, direktør for trusselundersøgelser hos cybersikkerhedsfirmaet Darktrace.
En fil med emnelinjen !!!READ_ME_MEDUSA!!!.txt ville instruere brugeren til at logge på dark web og starte ransom-forhandling med bandens “kundeservice”. Hvis ofrene nægtede, ville cyberangriberne offentliggøre de stjålne data.
Cybersikkerhedsselskaber overvåger dark web for information og opsætter derefter “honeypots” – falske websteder, der efterligner attraktive mål – i udviklingslande for at fange eksperimentelle angreb i en tidlig fase.
Da en gruppe cyberangribere i år begyndte at diskutere en ny sårbarhed, navngivet CVE-2024-29201, “målrettede de specifikt nogle [eksponerede servere] i tredjeverdenslande for at teste, hvor pålidelig udnyttelsen var,” sagde Izrael fra Armis, hvis analytikere overvågede bandens samtaler på dark web.
Angreb på Armis’ honeypots 11 dage senere bekræftede mistankerne: banden ramte kun Sydøstasien, før de senere anvendte teknikkerne mere bredt.
Sherrod DeGrippo, direktør for trusselsintelligensstrategi hos Microsoft, sagde dog, at nogle cyberbander var for “opportunistiske” til at teste nye angreb så metodisk.
I stedet havde udviklingslandene oplevet øget aktivitet, da hackere i fattigere lande kunne købe billig ransomware og iscenesætte deres egne små angreb, sagde DeGrippo.
Bander som Medusa havde begyndt at sælge deres opfindelser til mindre sofistikerede hackere, udtalte Darktrace-direktør Darley. Disse hackere på mindre skala vidste ofte ikke, hvordan teknologien fungerede, og brugte den mod lettere mål, sagde hun.
Angribere, der tog sig tid til at “sandboxe deres teknikker” — at eksperimentere i relativt ubeskyttede cyberzoner i udviklingslande — var mere sofistikerede, tilføjede hun.
Teresa Walsh, chef for efterretningstjeneste hos det globale cybersikkerhedsefterretningsorgan FS-ISAC, sagde, at bander ville arbejde inden for det lokale miljø for at “perfektionere” angrebsmetoderne, og derefter “eksportere” deres ordninger til lande, hvor det samme sprog måske blev talt: for eksempel Brasilien til Portugal.
Digital adoption i Afrika “overhaler udviklingen af robuste cybersikkerhedsforanstaltninger, og den generelle bevidsthed om cybertrusler er lav”, sagde Brendan Kotze, cyberanalytiker hos Performanta.
“Tilsammen skaber dette en bekymrende, voksende kløft i forsvar, som cyberkriminelle udnytter,” tilføjede han.
Fototekst: Medusa #ransomware gruppen publiserede på Darknet Bank of Africa’s data og på sit eget leak site. Banken har over 6.000 ansatte på 531 kontorer i 19 Afrikanske lande.
Kilde: ICARE.DK
Fotokredit: Bank of Africa
Personer/Firmaer: Ransomware, Bank of Africa,
Copyrights: Ⓒ 2024 Copyright by https://ICARE.DK med kildehenvisning, kan denne artikel deles frit, ved aktivt link til denne artikel.