Trend Micro presenterar idag en rapport som visar att företags servrar – såväl inhouse som molnbaserade, attackeras, utnyttjas och till och med hyrs ut på den undre världens svarta marknad för handel av varor och tjänster relaterade till cyberkriminalitet.
Rapporten är den andra av tre delar där Trend Micro undersöker hur den undre världen för cyberkriminella fungerar. I denna del visar Trend Micros forskning bland annat att IT-säkerhetsteam bör vara extra uppmärksamma om de hittar tecken på utvinning av kryptovaluta. Även om själva utvinningen i sig inte orsakar störningar eller ekonomiska förluster använder cyberkriminella mjukvara för framställning av kryptovaluta för att tjäna pengar på komprometterade servrar som står inaktiva, medan de kriminella planerar nya sätt att tjäna mer pengar.
Det är alltså inte framställningen av kryptovaluta som är problemet – detta är endast en metod för att komma åt affärskritisk information på servern.
När de väl kommit åt servern kan de enkelt dra ut affärskritisk data, sälja vidare tillgången till servern till andra cyberkriminella för vidare utnyttjande, eller förbereda för en riktad attack mot företaget via kidnappningsprogram. Alla servrar i vilka mjukvara för utvinning av kryptovaluta upptäcks måste därför flaggas direkt för omedelbar upprensning och undersökning.
– I den undre världen erbjuder cyberkriminella en bred och avancerad infrastruktur av metoder för att tjäna pengar, exempelvis hosting, anonymiseringstjänster och tillhandahållande av domännamn, förklarar Johnny Krogsboll, Nordic Technical Director på Trend Micro. Vårt mål är att öka kännedomen och förståelsen av infrastrukturen i den undre världen för att hjälpa brottsbekämpande organ, kunder och andra säkerhetsforskare att blockera vägarna för de cyberkriminella och öka kostnaderna för hotaktörerna.
Molnservrar extra utsatta
Rapporten listar de vanligast förekommande hostingtjänsterna som cyberkriminella erbjuder, ger tekniska detaljer om hur dessa fungerar och hur de används för att bedriva kriminell verksamhet. Bland annat ger den en detaljerad beskrivning av den typiska livslängden för en komprometterad server, från den första komprometteringen till den slutliga attacken.
Molnservrar är extra utsatta för kompromettering och användning i den undre världens infrastruktur för hosting, eftersom de ofta inte är lika skyddade som inhouse-servrar.
– Cyberkriminella kan kompromettera, infiltrera och utnyttja ett företags immateriella tillgångar oavsett om servrarna befinner sig inhouse eller i molnet, fortsätter Johnny Krogsboll. En bra tumregel är att det som är som mest exponerat också är det som löper högst risk att bli utnyttjat.
Cyberkriminella kan komma att försöka utnyttja svagheter i serverns mjukvara, utföra attacker för att komma åt användarinformation eller stjäla inloggningsuppgifter och sprida skadliga program genom nätfiske-attacker. De kan också rikta in sig på programvara för infrastrukturhantering (molnbaserade API-nycklar), som gör det möjligt för dem att skapa nya instanser av virtuella maskiner eller förse med nya resurser.
När dessa molnservrar väl komprometterats kan de säljas på cyberkriminellas forum, dedikerade marknadsplatser och även på sociala nätverk, för att därefter användas för olika typer av attacker.
Rapporten går också igenom nya trender inom infrastrukturtjänster som erbjuds på den svarta marknaden, bland annat utnyttjande av telefontjänster och satellit-infrastruktur, samt hur cyberkriminella parasiterar på och ”hyr ut” datorer via dold fjärr- och virtuell åtkomst.