Criminalitatea informatică, noul business al secolului al XXI -lea

Tendinte (de , April 13, 2018)

cybercrime

În anul 2017 numărul de utilizatori ai rețelei Internet a ajuns la 3,8 miliarde reprezentând  51%  din populația globului[1]. Trăim așadar azi într-o societate în care totul se derulează online, cu foarte mare rapiditate şi se măsoară în biţi. Această dependenţă a oamenilor de noile tehnologii a generat, odată cu multiple beneficii, şi o serie de riscuri în planul siguranţei viеţii cotidiеnе, concretizându-se adesea în prejudicii fie la adresa persoanelor fizice, direct, fie la adresa statului, indirect, prin instituţiile sale.

Pe acest fond, criminalitatea informatică a evoluat, ajungând la varianta crime-as-a-service, un concept care defineşte tendinţa agresorilor cibernetici de a dezvolta pachete de servicii şi instrumente sofisticate pe care ulterior le pun spre vânzare sau închiriere către alţi infractori care nu au abilităţi tehnice şi care pot astfel, doar prin achiziţionarea kit-ului, să deruleze foarte uşor un atac cibernetic. Moneda de schimb în cazul acestor servicii este cel mai adesea una virtuală.

Modelul crime-as-a-service a devenit foarte popular în rândul comunităților de hackeri şi a contribuit şi mai mult la expansiunea criminalităţii informatice. Practic, orice persoană fără cunoştinţe tehnice, cu acces la resurse financiare minimale, poate derula cu uşurinţă un atac. Criminalii cibernetici au la îndemnă tot mai multe posibilităţi care le uşurează eforturile în derularea unui atac.

Criminalitatea informatică este foarte ofertantă pentru adepți, întrucât, spre deosebire de tipurile clasice de infracțiuni, aceasta este foarte greu de probat și promite profituri uriașe în timp record. Totodată făptuitorii nu trebuie să dispună de mari resurse financiare pentru a acționa, fiindu-le în același timp protejată integritatea fizică întrucât ei nu trebuie să fie prezenți la locul faptei, ca în cazul infracțiunilor de tip clasic.

Pe fondul crizei economice, a lipsei locurilor de muncă pentru tinerii absolvenți, coroborat cu avantajele menționate anterior, fenomenul a luat amploare în ultimii ani, fiind o meserie foarte atractivă în special pentru cei dornici să obțină câștiguri facile în timp scurt.

Infractorii informatici sunt motivați de o serie de interese personale, aceștia urmărind să obțină cel mai adesea un profit material, sau, mai rar, caută să obțină notorietate sau recunoașterea ca buni programatori. Viteza cu care se pot realiza astfel de atacuri, anonimitatea pe care o oferă spațiul cibernetic, cât și ușurința cu care aceștia își pot anonimiza conexiunile de internet prin intermediul diferitelor programe specializate, îngreunează activitatea instituțiilor abilitate în prevenirea și combaterea acestui tip de criminalitate.

Concomitent cu aceste caracteristici ale spațiului virtual, se remarcă o lipsă de cultură de securitate cibernetică în rândul populației, fapt care determină de multe ori ca multe persoane să cadă pradă ingineriei sociale, campaniilor de phishing ș.a. Prin urmare, persoanele fizice sunt cele mai expuse atacurilor cibernetice criminale, în contextul în care acestea stochează şi prelucrează date personale şi utilizează diferite platforme de socializare online unde îşi expun o serie de date personale, fiind potenţiale victime ale unor acţiuni de exfiltrare a datelor cu caracter personal în scopul utilizării acestora pentru derularea unor atacuri. Principalele riscuri pentru acestea rămân însă furtul datelor de identitate,  faptul că pot fi victimele unor înşelăciuni derulate în mediul online sau că se pot confrunta cu furtul de bani din conturile bancare.

Cu toate acestea, atacurile derulate de grupările criminale nu vizează însă numai persoanele fizice, ci și companiile private și instituțiile statului, mai ales în contextul în care grupările de criminalitate informatică s-au specializat tot mai mult, fiind implicate în agresiuni cu un înalt nivel de expertiză. În cazul unei infectări cu un malware, agresorii pot avea acces la sute de alte calculatoare, pagubele putând fi însemnate.

Criminalitatea informatică este o afacere în continuă dezvoltare derulată de indivizii care sustrag anual milioane de euro. Indiferent de cât de sofisticate sunt metodele folosite, acest fenomen presupune tranzacționarea unor sume mari de bani, însă cu cât sunt mai sofisticate metodele folosite, cu atât infractorii sunt mai bine organizați, iar grupul este mai greu de penetrat.

Potrivit unui studiu publicat de compania Cybersecurity Ventures – „2017 Cybercrime Report”, criminalitatea informatică va produce economiei globale anual costuri de aproximativ 6 trilioane de dolari, până în anul 2021, înregistrând o creștere considerabilă având în vedere  valoarea de 3 trilioane de dolari estimată în anul 2015. În același timp, potrivit estimărilor companiei Cybersecurity Ventures, la nivel mondial cheltuielile pe produse și servicii de securitate cibernetică vor depăși 1 trilion de dolari, cumulativ, până în 2021[2].

În tot acest timp, infractorii se specializează, existând numeroase pagini web dedicate ce conțin instrucțiuni foarte elaborate de pregătire pentru a putea deveni hacker, accesibile de altfel oricui.

Așadar, dacă ne uităm la evoluția fenomenului, până în anul 2000, cazurile legate de atacurile de tip informatic aveau cu preponderență în spate adolescenți dornici să devină cunoscuți prin faptele lor, dar nu urmăreau obținerea unor avantaje materiale în mod special. În prezent, lucrurile s-au schimbat foarte mult. În ultimii ani s-a constatat o profesionalizare a infractorilor, odată cu creșterea nivelului tehnologic.

Grupările de criminalitate informatică dețin cunoștințele și capabilitățile necesare de a susține derularea de infracțiuni informatice pe scară largă. Aceștia și-au diversificat metodele și mijloacele prin intermediul cărora derulează atacuri cibernetice.

Având în vedere acest context, este evident cum infracţiunile tradiţionale au pierdut uşor lupta cu marea diversitate de obiective și caracteristicile specifice oferite de spaţiul cibernetic – anonimitate, rapiditate, facilitatea cu care se pot obţine câştiguri, costurile reduse.

Criminalitatea informatică nu cunoaşte frontiere, în general nu este ţintită, singura motivaţie a agresorilor fiind cea financiară. De aceea și combaterea fenomenului criminalităţii informatice presupune acţiuni complexe, coordonate şi de amploare la nivelul internaţional.

Criminalitatеa informatică acopеră o gamă largă dе faptе, iar în litеratura dе spеcialitatе anglo-saxonă еxistă două concеptе carе sunt utilizate pentru astfel de activităţi: cybеr-dеpеndеnt crimе (infracțiuni informaticе ce pot fi derulate numai în mеdiul onlinе precum activităţi dе crеarе şi gеstionarе dе reţele de boţi, de aplicaţii maliţioase) şi cybеr-еnablеd crimе (infracţiuni informaticе potеnțatе dе mеdiul onlinе, precum carding, skimming, fraude prin intermediul platformelor de comerţ electronic)[3].

Principalеlе formе dе manifеstarе alе criminalităţii informaticе sunt atacurilе informaticе, fraudеlе on-linе şi cu cărţi dе crеdit, dar şi pornografia infantilă.

În evoluţia fenomeului un rol foarte important l-au jucat și forumurile de criminalitate informatică – platforme online dedicate care să asigure relaţionarea şi schimbul de date, în condiţii de anonimitate, pentru agresorii cibernetici[4]. Acestea au stat la baza apariţiei conceptului de crime-as-a-service.

Cele mai multe astfel de forumuri sunt organizate pe model ierarhic, accesul fiind în baza unor criterii (fie că este vorba de achitarea unei taxe, de o recomandare sau în baza reputaţiei). De asemenea, membrii sunt împărţiti în diferite categorii ţinând cont de vechimea şi expertiza acestora sau de notorietate.

În cadrul forumurilor de criminalitate informatică agresorii cibernetici fac schimb de expertiză, cumpără sau vând instrumente, malware și alte instrumente necesare pentru derularea de atacuri cibernetice.

În ultimii ani atacurile cu ransomware au cunoscut un trend ascendent, acestea fiind derulate de grupări de criminalitate cibernetică care deţin capabilitatea de a distribui malware către milioane de calculatoare concomitent. Odată infectate, datele aflate pe calculatoarele victimelor sunt criptate în totalitate printr-un algoritm puternic, fiind imposibil de decriptat.

Îndepărtarea fişierelor maliţioase de pe o staţie infectată nu conduce la remedierea pagubelor, fişierele de pe aceasta rămânând inaccesibile. Dacă victima nu are implementate măsuri de back-up, există riscul ca nici după plata recompensei, care este cel mai adesea solicitata în Bitcoin, să nu îşi poată recupera datele.

Evoluția rapidă a atacurilor de tip ransomware este explicată prin adoptarea modelului ransomware-as-a-service prin care criminali cibernetici cu foarte puține cunoștințe tehnice pot prelua instrumente și servicii create de către dezvoltatorii de malware pentru a derula atacuri cu ransomware[5].

Dezvoltatorii de ransomware publică codurile aplicației pe site-uri dedicate de unde   agresorii criminali pot apoi achiziționa cu ușurință malware-ul. Multe kit-uri de ransomware sunt disponibile și gratis, însă în momentul în care este plătită recompensa, plata este făcută direct către dezvoltator care, ulterior, redirecționează o parte din bani către infractorii care au achiziționat pachetul.

Spre exemplu, ransomware-ul Cerber a fost unul dintre cele mai răspândite pachete de ransomware-as-a-service. Acesta a generat 2,3 milioane de dolari venit anul pentru agresorii cibernetici[6].

Ransomware-ul este ușor de folosit și ieftin de achiziționat. Tocmai de aceea a înregistrat o creștere a popularității. Potrivit raportului anual publicat de către compania SonicWall, atacurile cu ransomware au crescut de la 167 de milioane în 2015, la 638 de milioane în 2016 [7].

Cele mai noi aplicaţii de tip ransomware încorporează metode inovative de eludare a sistemelor de protecţie antivirus, crescând posibilitatea ca acestea să nu fie detectate sau eliminate la timp.  De asemenea, ultimele variante de ransomware includ şi alte funcţionalităţi de bază care, pe lângă criptarea fişierelor, pot să fure şi date bancare sau date personale ale victimei.

Cel mai des utilizat vector de infecţie îl reprezintă răspândirea de ransomware prin ample campanii de spam către milioane de adrese de email (spre exemplu TeslaCrypt, Locky).

Spam-ul folosit pentru distribuirea de malware este caracterizat de faptul că pretinde că reprezintă un mesaj important din partea unei instituţii cunoscute (spre exemplu facturi privind diverse bunuri sau servicii).

Protejarea împotriva unor astfel de vectori de infecţie poate fi realizată prin adoptarea unor soluţii complementare precum educarea utilizatorilor, adoptarea unor soluții de bune practici, precum și adoptarea unor servicii de scanare a email-urilor.

De asemenea, o altă modalitate de infecție este reprezentată de utilizarea “exploit kit-urilor”, instalate în cadrul aplicaţiilor web cu rolul de a infecta victimele doar prin simpla vizitare a unei pagini web (spre exemplu exploit kit-ul Neutrino a permis distribuirea de Locky). Această tehnică este facilitată de existenţa unor vulnerabilităţi în aplicaţiile instalate pe calculatoarele victimelor (ex. versiuni vechi ale Adobe Flash Player).

În general, exploit kit-urile sunt instalate pe servere, atacatorul urmărind să redirecteze victimele către acestea prin intermediul unor link-uri trimise în email sau prin redirecarea traficului web cu ajutorul serviciilor comerciale.

Un alt fenomen ce a luat amploare este expansiunea dispozitivelor inteligente conectate la Internet (Internet of Things / IoT), ceea ce a făcut ca și atacatorii să se îndrepte către zona aceasta pentru a dezvolta noi aplicații malware capabile să deruleze atacuri de tip DDoS, prin utilizarea unor dispozitive IoT vulnerabile. Totodată, aceste dispozitive pot fi folosite și pentru exfiltrarea unor informații confidențiale existente la nivelul acestora.

Pe fondul popularității IoT, atacurile de tip DDoS sunt în creștere.

Cu toate acestea, cea mai noua reţea de boţi creată pe platformă IoT, Hide ‘n Seek, descoperită de către compania Bitdefender la începutul acestui an, prezintă un nivel de complexitate  mare și un număr crescut de capabilități, precum furtul de date care pot fi folosite pentru spionaj, în comparaţie cu iniţiativele anterioare venite din partea grupărilor de criminalitate informatică.

Botnetul este de tip peer-to-peer și la data de 26 ianuarie a.c. controla un număr de 32.312 de sisteme IoT, distribuite la nivel mondial. Botnetul are mai multe funcționalități, precum exfiltrarea de date, execuția de cod și interferența cu activitățile derulate de device-uri[8]. Aplicaţia maliţioasă prin intermediul căreia a fost creată rețeaua de boți se răspândește cu rapiditate și este optimizată în mod continuu. Potrivit celor de la Bitdefender, acesta are capabilități de răspândire asemănătoare unui vierme, în contextul testării automate a unor adrese IP întâmplătoare, pentru identificarea de noi victime.

În România, evoluția fenomenului criminalității cibernetice a determinat ca la nivel național să fie inițiat un proces activ de consolidare a securității cibernetice – din punct de vedere legal, instituțional și procedural – fiind întreprinse eforturi susținute în acest sens de către autoritățile cu responsabilități în domeniu, prin care se vizează, în principal, diminuarea vulnerabilităților în fața atacurilor[9].

Reglementările legislative existente și gradul de operaționalizare al acestora la nivelul majorităţii instituţiilor publice din România nu permit, în prezent, prevenirea și contracararea  eficientă a agresiunilor cibernetice de nivel ridicat.

Întrucât cadrul legislativ actual nu defineşte obligaţii pentru deţinătorii de infrastructuri cibernetice în scopul protejării acestora, mare parte dintre instituţiile la care au fost identificate şi semnalate vulnerabilităţi informatice au avut, în detrimentul unei abordări preventive, o atitudine reactivă, dispunând măsuri ulterior producerii şi identificării atacurilor cibernetice[10].

În ultimii 50 de ani au fost adoptate numeroase soluții în toate țările care să răspundă problemelor legate de securitatea internetului, singurul lucru care a rămas constant a fost însă dezvoltarea continuă a tehnologiei.

Aceste tendinţe impun la nivelul întregii societăţi o nevoie permanentă de perfecţionare şi adaptare a strategiilor şi tacticilor necesare reacţiei la atac cibernetic, într-un ritm alert.

Bibliografie

  • Legea nr. 286/2009 privind Codul Penal, publicată în Monitorul Oficial nr.510 din 24.07.2009, cu modificările și completările ulterioare;
  • Legea nr. 64/2004 pentru ratificarea Convenției Consiliului European din data de 23.11.2001 privind criminalitatea informatică, Budapesta, publicată în Monitorul Oficial nr.343 din 20.04.2004;
  • Comprehensive Study on Cybercrime, United Nations Ofifice on Drugs and Crime Vienna, Editura United Nations, New York 2013;
  • Cyber Security Maturity Model, Global Cyber Security Capacity Center, University of Oxford;
  • Derek S, Reveron, Cyberspace and National Security. Threats, Opportunities and Power in a Virtual World, Georgetown University Press, Washington DC, 2012;
  • McAfee North America, Criminology Report, Organized crime and the Interne, 2007;
  • Mirela, Gorunescu, Maxim, Dobrinoiu, Infracțiuni prevăzute în legi speciale – Infracțiunile din domeniul informatic, Editura C.H.Beck, Bucuresti, 2013;
  • labs.bitdefender.com;
  • http://www.bbc.com;
  • https://blog.sonicwall.com;
  • https://blog.barkly.com;
  • https://www.cisco.com;
  • https://cybersecurityventures.com;
  • https://www.csoonline.com;
  • https://www.gov.uk;
  • http://intelligence.sri.ro;

[1]                              https://www.csoonline.com/article/3153707/security/top-5-cybersecurity-facts-figures-and-statistics.html, accesat la data de 31.01.2018

[2]                                 https://cybersecurityventures.com/2015-wp/wp-content/uploads/2017/10/2017-Cybercrime-Report.pdf, accesat la data de 30.01.2018    

[3]                              https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/248621/horr75-chap2.pdf, accesat la data de 30.01.2018;

[4]                              http://www.bbc.com/news/technology-40671091, accesat la 28.01.2018;

[5]                                  https://securityintelligence.com/whats-behind-the-rising-tide-of-ransomware/, accesat la data de 31.01.2018

[6]                                  https://blog.barkly.com/how-ransomware-as-a-service-works, accesat la data de 31.01.2018

[7]                                   https://blog.sonicwall.com/2017/02/sonicwall-threat-report-reveals-cybersecurity-arms-race/, accesat la data de 31.01.2018

 

[8]                          labs.bitdefender.com/2018/01/new-hide-n-seek-iot-botnet-using-custom-built-peer-to-peer-communication-spotted-in-the-wild/ accesat la data de 01.02.2018

 

[9]                                Adela Albu, http://intelligence.sri.ro/legile-pamantesti-ale-lumii-virtuale/, accesat la data 01.02.2018

[10]                        Ibidem


Tags: , ,

Trackbacks

Leave a Trackback