O nouă serie de atacuri cibernetice relevă o tendință alarmantă în lumea criminalității digitale: utilizarea unor instrumente de administrare și monitorizare IT, considerate legale, pentru a obține control neautorizat asupra rețelelor companiilor. Această metodă subtilă, care permite infractorilor să se ascundă în traficul zilnic de rețea, devine tot mai frecventă și reprezintă un pericol real pentru organizațiile care nu reușesc să o detecteze din timp.
Utilizarea aplicațiilor legitime în scopuri malițioase
Cercetătorii în securitate cibernetică au descoperit că membrii grupării de ransomware cunoscute sub numele de Crazy folosesc programe de monitorizare a angajaților și soluții comerciale de acces remote pentru a-și menține controlul asupra sistemelor compromise. În cazul unui atac documentat, infractorii au instalat aplicația Net Monitor for Employees Professional, un software autorizat de monitorizare a angajaților, folosind utilitarul standard Windows Installer, msiexec.exe. Instalarea a fost realizată chiar din sursa oficială a dezvoltatorului, ceea ce a redus considerabil suspiciunile și capacitatea soluțiilor de securitate de a detecta activitatea malițioasă.
O dată activată, această aplicație le-a permis atacatorilor să vizualizeze desktopul în timp real, să transfere fișiere, să execute comenzi și să controleze complet calculatoarele infectate, devenind practic administratori de la distanță, fără a instala malware clasic. Mai mult, infractorii au încercat activarea conturilor de administrator local și au instalat și instrumentul legitim SimpleHelp, o soluție de suport remote, descărcată și camuflată sub denumiri similare cu cele ale unor aplicații cunoscute, precum OneDrive sau Visual Studio. Această abordare le-a oferit o redundanță în controlul rețelei, astfel încât, dacă o metodă era detectată și eliminată, alta asigura continuitatea operațiunilor.
Cercetările au relevat, de asemenea, tentative de dezactivare a Windows Defender, prin oprirea și ștergerea serviciilor asociate, pentru a reduce capacitatea de protecție a sistemelor compromise. Toate aceste acțiuni demonstrează că infractorii exploatează în mod intenționat funcționalitățile legitime ale software-urilor pentru a evita suspiciunile și pentru a menține controlul pe termen lung.
Monitorizarea internă ca strategie de pregătire pentru atacuri
Controlul și manipularea sistemelor nu s-au limitat la accesul de la distanță, ci au inclus și monitorizarea internă pentru a maximiza șansele de succes în atacurile ransomware. Într-un caz analizat, infractorii au configurat reguli automate de alertare ce notifica dacă utilizatorii acceseau portofele de criptomonede, platforme de schimb crypto sau alte servicii financiare online. Astfel, au primit informații în timp real despre activitatea internă, pentru a decide momentul potrivit pentru lansarea atacului.
Sistemele de supraveghere au avut ca scop și detectarea prezenței altor instrumente de administrare la distanță, precum RDP, AnyDesk, TeamViewer sau VNC, indicând o preocupare pentru identificarea eventualilor tehnicieni sau administratori legitimi ai rețelei. În plus, au fost observate tentative de dezactivare a măsurilor de securitate, eradicând astfel orice posibilitate de intervenție rapidă din partea echipelor de securitate IT ale companiilor vizate.
Chiar dacă doar unul dintre incidente a dus efectiv la lansarea ransomware-ului Crazy, cercetătorii sunt convinși că cele două cazuri sunt opera unor același grup sau actor autohton, având în vedere infrastructura și fișierele utilizate în atacuri.
Pericolul utilizării legitime pentru scopuri criminale și măsurile de protecție
Această metodă de atac reprezintă un semnal de alarmă pentru mediul de afaceri. În locul malware-ului clasic, mai ușor de identificat, infractorii folosesc software-uri comerciale și funcționale, exploatând în mod intenționat licențele și funcționalitățile legitime pentru a-și păstra controlul asupra rețelei. În plus, incidentele au pornit de la compromiterea credențialelor pentru serviciile SSL VPN, subliniind astfel nevoia implementării autentificării multifactor (MFA) pentru toate serviciile de acces la distanță.
Pe măsură ce criminalitatea cibernetică devine tot mai sofisticată, organizațiile trebuie să-și adapteze strategiile de securitate, monitorizând cu strictețe orice instalare neautorizată de software și întărind controalele pentru acces remote. Atacurile recente arată cât de vulnerabile sunt astăzi infrastructurile informatice și cât de imporantenă este o abordare preventivă, care să includă și monitorizarea continuă a activităților de rețea. Cu toate că soluțiile de securitate evoluează, infractorii găsesc constante modalități de a le ocoli, punând în pericol nu doar datele și resursele financiare, ci și imaginea disponibilității și fiabilității mediului digital.
