W ostatnich tygodniach na scenie cyberbezpieczeństwa odnotowano niepokojący trend. Grupa cyberprzestępcza, znana jako Storm-2603 (również pod nazwami CL-CRI-1040 i Gold Salem), wykorzystuje otwarte narzędzie do analizy kryminalistycznej i reakcji na incydenty — Velociraptor. To narzędzie, które w założeniu służy ochronie użytkowników, zostało użyte w sposób, który zagraża bezpieczeństwu cyfrowemu licznych organizacji.
Velociraptor to narzędzie typu open-source, co oznacza, że jego kod źródłowy jest publicznie dostępny. Zostało stworzone, aby analizować systemy informatyczne podczas śledztw cyfrowych i pomóc specjalistom IT zrozumieć, jak doszło do incydentu bezpieczeństwa. Umożliwia zbieranie oraz analizowanie danych z systemów w celu identyfikacji źródeł problemów i potencjalnych zagrożeń. Zamiarem jego twórców było wsparcie procesu cyfrowej analizy kryminalistycznej oraz umożliwienie szybkiej reakcji na incydenty.
Niestety, to narzędzie zostało zaadaptowane przez cyberprzestępców do niecnych celów. Sophos, firma zajmująca się bezpieczeństwem sieci, zidentyfikowała działalność Storm-2603, polegającą na użyciu Velociraptor w kontekście ataków ransomware. Grupa ta jest znana z wdrażania złośliwego oprogramowania, takiego jak Warlock i LockBit. Ataki ransomware polegają na zaszyfrowaniu danych ofiary, uniemożliwiając dostęp do nich, dopóki nie zostanie zapłacony okup.
Technika polegająca na wykorzystaniu Velociraptor pozwala napastnikom dokładnie studium przypadków ofiar i koordynację ataków z większą precyzją. Dzięki temu są w stanie eksplorować środowiska ofiar, identyfikować potencjalne słabe punkty i maksymalizować skuteczność swoich działań szkodliwych. Velociraptor umożliwia zdalną interakcję z systemami, co daje przestępcom dodatkowy zestaw narzędzi do manipulacji infrastrukturą sieciową ofiar.
To zjawisko wzbudza wiele obaw w społeczności zajmującej się cyberbezpieczeństwem. Ujawnia bowiem, jak łatwo narzędzia stworzone dla poprawy bezpieczeństwa mogą zostać przekierowane do złowrogich celów. Pokazuje to również, jak dynamicznie zmieniają się taktyki i techniki cyberprzestępców, a także podkreśla wagę ciągłego monitorowania i aktualizacji strategii obronnych.
Co zatem można zrobić, aby przeciwdziałać takim zagrożeniom? Kluczowe znaczenie ma edukacja i bieżąca świadomość pracowników na temat zagrożeń cybernetycznych, a także regularne przeglądy bezpieczeństwa oraz testowanie systemów poprzez pentesty. Pentesty, czyli testy penetracyjne, pomagają zidentyfikować słabości w systemach, zanim zrobią to cyberprzestępcy.
Dodatkowo, organizacje powinny wdrażać złożone systemy monitoringu i analizy ruchu sieciowego, co może umożliwić wczesne wykrywanie nieautoryzowanego dostępu i nietypowych działań w środowisku IT. Zastosowanie odpowiednich polityk bezpieczeństwa oraz regularne przeszkolenia z zakresu odpowiedzi na incydenty mogą także znacząco ograniczyć skutki potencjalnych ataków.
Walka z cyberprzestępczością to swego rodzaju wyścig zbrojeń, w którym każde nowe narzędzie czy technika może być użyta przeciwko tym, którzy starają się chronić naszą cyfrową rzeczywistość. Dlatego tak ważne jest, aby organizacje były na bieżąco z najnowszymi trendami i technikami stosowanymi przez napastników. Zrozumienie i adaptacja do zmieniającego się krajobrazu zagrożeń jest kluczowe, aby skutecznie bronić się przed coraz bardziej zaawansowanymi atakami.
