Jak vydělávají kyberzločinci Robert Šefr, COMGUARD a.s.
Ekonomika kyberzločinu
Trh, ve kterém jsou komoditami nelegálně nabytá data, služby zahrnující nelegální aktivity v kyberprostoru a produkty podporující nelegální získávání dat a nabízení nelegálních služeb Čísla kreditních karet / osobní údaje / jména a hesla DDoS služby / rozesílání spamu / hacking na objednávku Malware / exploit kity / packery
Funguje nabídka a poptávka Jde primárně o zisk jednotlivců a organizací Specifika kyberzločineckého podsvětí Velký důraz na anonymitu může komplikovat „obchodní“ vztahy Byznys jazykem není angličtina, ale hlavně ruština
www.comguard.cz
communication security
Příklad útoku na uživatele Postup útoku
Použité nástroje
www.comguard.cz
communication security
Exploit Kit
Aktuálně je velmi populární kombo „Angler Exploit Kit“ doručující „ransomware“
Sophos: A closer look at the Angler exploit kit https://blogs.sophos.com/2015/07/21/a-closer-look-at-the-ang ler-exploit-kit/ www.comguard.cz
communication security
Exploit Kit - ceny
RAND (National Security Research Division), Markets for Cybercrime Tools and Stolen Data https://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_RR610.pdf www.comguard.cz
communication security
Exploit Kit - rozhraní
Brian Krebs, Crimevertising: Selling Into the Malware Channel, http://krebsonsecurity.com/2012/02/crimevertising-selling-into-the-malware-channel/
www.comguard.cz
communication security
Kdo je kdo v kyberzločinu
www.comguard.cz
communication security
Tvůrci a operátoři botnetu Dridex zatčeni
V Norsku byl v září zatčen programátor ruské národnosti „Mark“ (27 let) aka „Aquabox“ Obviněn z šíření a poskytování malware Citadel a spolupráci s tvůrci Dridexu http://krebsonsecurity.com/2 015/09/arrests-tied-tocitadel-dridex-malware/
www.comguard.cz
Na Kypru byl koncem srpna zatčen občan Moldávie Andrey Ghinkul (30 let) aka „Smilex“ Obviněn z provozování botnetu Dridex/Bugat
communication security
Šedá eminence botnetu Zeus Evgeniy Mikhailovich Bogachev
www.comguard.cz
communication security
Monetizace kyberzločinu
Odcizení bankovních účtů a provedení transakcí Nejčastěji skrze „money mules“ (bílé koně)
Prodej malwaru, exploit kitů a dalších podpůrných komodit Poskytování služeb DDoS as a Service (https://www.youtube.com/watch? v=XnjV8eB3xtc)
Virtuální měna a platby za výkupné Ransomware Výpalné provozovatelům DDoS botnetů
Nákup zboží na odcizená čísla platebních karet
www.comguard.cz
communication security
Efektivní opatření
Cílem je snížit riziko na přijatelnou úroveň za náklady úměrné a nižší oproti tomu, když by byla problematika kybernetické bezpečnosti ponechána bez řešení
Technická opatření Tlak na jednoduchost a přímočarost využití Složitá řešení zůstávají nevyužita, protože na ně nezbývá čas
Kombinace řešení na koncovém bodě a na perimetru sítě Řešení pouze na síti nemůže technicky pokrýt veškeré kanály Řešení pouze na koncovém bodě může být malwarem obelháno nebo zneškodněno Konkrétní funkce mohou být logicky umístěny pouze na koncový bod nebo naopak na síťové zařízení
www.comguard.cz
communication security
SophosLabs
Sophos: Project Galileo
URL database
Application Control
Malware Identities
Whitelist
Tracking
File look-up
Genotypes
Application Reputation
Reputation
HIPS rules
Web Filtering
MTD rules
Apps
Selective Sandbox
SPAM
Threat Engine
Data Control
Anon. proxies
Web Filtering
Galileo Heartbeat Threat Engine
Live Protection
DEVICE & FILE ENCRYPTION
SOPHOS SYSTEM PROTECTOR
Emulator
www.comguard.cz
DEVICE CONTROL
INDICATOR OF COMPROMISE TRACKING
HIPS/Runti me Protection
THREAT EVENT COLLECTOR
Malicious Traffic Detection
THREAT EVENT RECEIVER
EMAIL
App Control
THREAT EVENT COLLECTOR
Patches/ Vulnerabilities
Intrusion Prevention System
COMPROMISE ROUTING DETECTOR
Data Loss Protection
Peripheral Types
Firewall
PROXY
ATP Detection
communication security
SophosLabs
Spolupráce na základě detekce závadného provozu
URL database
Malware Identities
Data Control Whitelist
File look-up
Genotypes
Reputation
HIPS rules
MTD rules
Apps
Anon. proxies
SPAM
Patches/ Vulnerabilities
detekce škodlivého provozu
terminace aplikace
upozornění správce i
Kompromitace
Uživatel | Systém | Soubor
Peripheral Types
Závěr
Útočníci nemusí být špičkoví hackeři, ale jejich technologie jsou špičkovými hackery vyvíjeny Útočníkem jde prakticky výhradně o peníze – ať už přímo o vaše nebo pouze vaše stroje bez ohledu na následky zneužijí Přestože by se dalo řešením kybernetické bezpečnosti trávit mnoho a mnoho času, tak cíl je naopak čas a náklady minimalizovat Proti pokročilým technologiím útočníků je nutné cílit adekvátní bezpečnostní technologie, které reflektují aktuální trendy
www.comguard.cz
communication security
Děkuji za pozornost Robert Šefr |
[email protected] | www.comguard.cz
@comguard_ict Dotazy?
www.comguard.cz
communication security
