#CyberFiles INTERVIU/Costin Raiu (Kaspersky): Majoritatea infractorilor cibernetici sunt autodidacţi, dar contează şi norocul

Sebastian Florea / 30 sep 2019 / 10:26 Salveaza PDF Comentarii

Atacurile cibernetice, de orice tip, sunt, fără doar şi poate, catalogate ca fiind distructive, indiferent de intensitate, este de părere Costin Raiu, directorul Global Research & Analysis Team (GreaT) din cadrul Kaspersky.

Expertul a vorbit, într-un interviu acordat AGERPRES, despre provocările pe care le oferă rezolvarea unui caz de atac cibernetic, precum şi despre tendinţele la nivel global pe acest segment. În plus, Raiu a făcut referire la modul în care trebuie să ştim cum să ne protejăm identitatea, datele şi viaţa privată în mediul online, apelând la parole complexe, autentificare în doi paşi şi, de ce nu, la un manager de parole.

AGERPRES: În ultima vreme se vorbeşte foarte mult în spaţiul media de atacurile cibernetice, fie că este vorba despre ransomware, phishing, adware, malware... Concret, cum ar suna o definiţie a atacului cibernetic, pe înţelesul marii majorităţi a publicului?
Costin Raiu: În general, când se vorbeşte despre un atac cibernetic, opinia experţilor este că acesta produce pagube. Ce ar însemna pagube? S-a oprit producţia la o fabrică sau a fost un atac, cum a fost cazul NotPetya, în urma căruia firme mari de transport au pierdut milioane de dolari fiindcă li s-a oprit infrastructura. Când vorbim despre un atac, vorbim despre pagube materiale, financiare, chestiuni care au un impact. Dacă, de exemplu, a fost vorba despre un atac de phishing în care nimeni nu a pierdut bani, nu putem spune că a fost vorba neapărat de un atac, ci mai degrabă de o încercare de furt de informaţii.
În general, atacurile sunt distructive şi le putem sparge în două mari categorii: distructive şi care provoacă pagube, şi atacuri care implică direct furt de bani sau de informaţii.

AGERPRES: Aceste atacuri cibernetice afectează mai mult zona de companii. Cum stau lucrurile pe partea de persoane fizice, utilizatorii casnici?
Costin Raiu: Acum 4-5 ani, într-adevăr, erau populare şi atacurile prin care se furau bani direct de la utilizatorii de acasă, însă în ultima vreme acestea au devenit din ce în ce mai puţin populare, probabil din mai multe motive. Unul dintre acestea este că şi băncile şi-au îmbunătăţit sistemele de protecţie online banking. Când faci o tranzacţie, trebuie să confirmi cu token-ul. Pe vremuri erau conturi în online banking în care utilizatorul şi parola erau suficiente. Eventual, te mai întrebau un număr dintr-o foiţă pe care erau scrise vreo zece numere şi tu spuneai numărul 5, şi asta era tot.

AGERPRES: Cu toate acestea, mai există persoane naive care dau reply la nişte e-mailuri, completând date personale...
Costin Raiu: Se întâmplă, într-adevăr şi ulterior informaţiile respective pot fi folosite pentru a facilita alt gen de intruziuni. Odată ce ai CNP-ul cuiva, serie de buletin şi toate informaţiile importante, poţi suna la o bancă şi să pretinzi că eşti persoana respectivă. Spui că ţi-ai pierdut cardul şi ceri un altul nou, după care urmăreşti când vine cardul respectiv şi îl interceptezi.

AGERPRES: Putem vorbi aici despre o lipsă de educaţie în materie de protecţie în faţa ameninţărilor cibernetice? Cum stă România la capitolul acesta?
Costin Raiu: Fenomenul acesta pe care noi îl vedem de foarte mulţi ani la nivel global, ne arată în general că oamenii nu învaţă din avertizări, ci doar atunci când păţesc ei ceva. Acesta este lucru tragic, şi anume că până nu se întâmplă ceva rău, nimeni nu se gândeşte. Cele mai grave cazuri se întâmplă la firme mici, medii, unde vorbim despre furt de bani direct din cont cu malware sau emiterea şi ulterior plata de facturi false, destul de populare şi la noi. Te trezeşti într-o zi cu o factură de la un partener de afaceri cu un alt cont. Am vorbit cu victime care au trecut prin asta şi au pierdut sute de mii de euro... Important e să mai pui o întrebare înainte de a face o plată...
La utilizatorii de acasă, majoritatea atacurilor pe care le observăm noi sunt de tip ransomware, în care se criptează informaţia, se cere o răscumpărare de obicei în criptomonedă. Din păcate, mulţi dintre oameni plătesc, indiferent că noi le spunem să nu facă asta, fiindcă menţin economia subterană. Urmărind adresele de răscumpărare, de criptomonede, poţi vedea că sunt sute de mii de euro care sunt plătiţi. Au pierdut proiectul de diplomă, toate pozele cu copilul, documente din ultimii zece ani...

AGERPRES: Acele persoane afectate pot veni către dvs., de exemplu, să le ajutaţi?
Costin Raiu: Am avut astfel de cazuri şi, uneori, putem ajuta. Cel mai important, din punctul meu de vedere, e să nu plătească răscumpărarea şi să se intereseze ce s-ar putea face. Noi am lansat o iniţiativă care se numeşte "No more ransom" împreună cu Europol şi peste 50 de organizaţii prin care încercăm să-i ajutăm pe oameni obţinând şi producând unelte care decriptează hard-disk-ul pentru cele mai populare tipuri de ransomware. Într-adevăr, nu e posibil în orice caz, dar e important de verificat. Poate că pentru acel ransomware care te-a lovit există o soluţie. Pentru oricine a fost lovit de ransomware, eu spun să site-ul No more ransom e prima etapă, deoarece e gratuit şi e foarte uşor de verificat.
Dacă, din păcate, nu există o soluţie, se pot încerca alt gen de acţiuni, cum ar fi recuperări de date.

AGERPRES: În tot acest amalgam de pericole, e foarte importantă parola, deşi ar părea ceva banal la prima vedere ...
Costin Raiu: În toată galaxia asta de malware şi atacuri, parola reprezintă un factor central. Dacă ai aceeaşi parolă pe toate conturile, există riscul ca acestea să fie sparte mai uşor. Hackerii sparg site-urile şi distribuie apoi toate parolele, iar dacă există aceeaşi parolă asociată cu contul de Yahoo merge peste tot, atunci pot face foarte multe lucruri.
Părerea mea este că cel mai bine să aveţi un manager de parole care te ajută în sensul să nu trebuie să ţii minte parola neapărat şi poţi genera parole unice pentru fiecare site care să fie, de asemenea, şi complexe. Pentru managerul de parole e nevoie de o parolă suficient de solidă şi s-ar cam rezolva multe. Există multe manager de parole, inclusiv gratuite. Avem şi noi Kaspersky Password Manager, dar mai există LastPass, OnePass, şi care sunt foarte bune.

AGERPRES: Care este atacul care v-a dat cel mai mult de furcă?
Costin Raiu: Cel mai rău a fost Duqu 2, dar acum vorbim exclusiv din punctul nostru de vedere, pentru că Duqu 2 l-am descoperit ca malware în firma noastră. Cineva care să aibă curajul să atace o firmă de antiviruşi cu un malware, e un lucru surprinzător în sine. Mi-amintesc că totul a început în 2015, în aprilie, cu câteva zile înainte de ziua mea. Ţin minte că mi-a distrus ziua. Noaptea târziu am primit un mesaj de la unul dintre colegii mei că e o situaţie foarte periculoasă şi că avem o infecţie în firmă. Cum colegul respectiv uneori mai face glume, m-am gândit că despre asta ar fi vorba. A doua zi, pe la 6:30, am deschis computerul şi colegul meu era online, ceea ce nu se întâmpla de obicei la acea oră. L-am întrebat ce a păţit şi el a răspuns că în firmă a fost descoperită o infecţie informatică... La început, după ce ne-am uitat pe date, am crezut că, din greşeală, cineva a lansat un virus şi i-a scăpat de sub control. Nu mi-am imaginat că cineva ne-ar ţinti pe noi direct.
Ulterior, am văzut cât de sofisticat este... Era vorba despre un atac direcţionat împotriva firmei. Modul în care s-a întâmplat a fost foarte interesant: au folosit trei Zero-Day, exploituri pentru care nu există patch de la Microsoft. Un exploit de genul acesta costă sute de mii de dolari, iar cine a lansat atacul a investit uşor jumătate de milion de dolari pentru a obţine acces în firmă. Ne-a luat aproximativ o lună să analizăm tot ce s-a întâmplat, şi am publicat tot în raportul nostru. Nu am fost singura victimă. Au mai fost hoteluri din Geneva, Lagărul Auschwitz Birkenau, precum şi alte firme.
A fost vorba despre un atac foarte, foarte sofisticat pentru care am pierdut multe zile şi nopţi.

AGERPRES: Pe o scară de la 1 la 10, unde s-ar afla România în momentul de faţă din punct de vedere al numărului de atacuri cibernetice?
Costin Raiu: Numărul de atacuri depinde de foarte multe chestiuni, iar una dintre acestea ar fi conectivitatea la Internet. Cu cât ai mai multe conexiuni şi mai bune la Internet, cu atât poţi să ai şi mai multe atacuri şi în interior, dar şi din interior către exterior. Din punctul acesta de vedere, România stă foarte bine - oricine are fibră optică la 100 de metri de casă, în Bucureşti cel puţin. Avem, de asemenea, Internet de mare viteză foarte ieftin. Ca urmare, automat, numărul de atacuri e un pic mai ridicat.
În al doilea rând, dacă oamenii folosesc software piratat, vor fi şi mai multe atacuri. Nu-şi instalează update-uri şi atunci un ransomware ca Wannacry sau NotPetya poate avea efecte mai grave. Automat, când descarci sofware de pe site-urile de Torrente există şanse foarte mari să prinzi şi un malware. Multe dintre pachetele respective au şi un generator de chei care, de multe ori, e plin cu malware.
România nu stă nici foarte rău, nici foarte bine, undeva la mijlocul ratei, adică pe la 5, din punct de vedere al incidenţei atacurilor cibernetice. În ţări precum Norvegia sau Danemarca lucrurile stau foarte bine, pentru că filtrează internetul, iar dacă te prinde cu Windows-ul piratat poţi să faci şi puşcărie.

AGERPRES: Sunt instituţiile sau autorităţile din România mai expuse la atacuri cibernetice decât cele din alte state?
Costin Raiu: Până acum câţiva ani, majoritatea atacurilor semnificative erau lansate de actori statali. Scopul nu era neapărat de a distruge sau de a obţine profit financiar, ci furtul de informaţii confidenţiale sau clasificate. La un anumit moment, lucrurile s-au schimbat şi în ultima vreme citim mai mult de atacuri de tip ransomware. Realitatea e că atacurile de tip ransomware, la nivelul instituţiilor guvernamentale sau de stat, sunt oarecum răspândite în toată lumea. În fiecare lună mai citim că la americani o primărie sau un spital a mai plătit 300.000 sau 500.000 de dolari pentru a-şi recupera informaţiile.
Atacatorii din spatele ransomware sunt destul de persistenţi şi îşi dau seama că pentru ei e vorba despre bani. Realitatea este că, în momentul în care nu ai backup-uri, situaţia devine foarte gravă.
Legat de România, să spunem că în ultimii cinci ani a fost un shift, o tranziţie de la atacuri lansate de actori statali la cele către zona de ransomware. De cele mai multe ori, zona de ransomware atacă cele mai slabe puncte şi anume acele instituţii care nu au foarte mulţi bani să investească în protecţie, care nu au antivirus sau au doar pe cinci computere din zece. Deci, nu au avut buget să cumpere pentru zece şi au pus doar pe jumătate, dar acest lucru nu ajută foarte mult, pentru că în momentul în care un computer s-a infectat şi există o singură parolă de reţea, virusul se împrăştie peste tot. La nivel de instituţii, o ţintă foarte uşoară sunt spitalele, deoarece scopul acestora este să-i vindece pe oameni, nu neapărat să aibă o infrastructură informatică.

AGERPRES: Cum îl caracterizaţi pe Bad Rabbit 4, virusul care a pus probleme în spitalele din România, în acest an?
Costin Raiu: A fost un atac interesant. I s-a zis greşit Bad Rabbit. Bad Rabbit a fost, de asemenea, un atac lansat de un actor statal, în urmă cu câţiva ani şi scopul a fost unul distructiv. În cazul de faţă a existat o coincidenţă şi anume că malware-ul respectiv se numea Rabbit 4-4-4-4, dar există şi variante în care Rabbit se cheamă Lion, Giraffe, Sheap, Pig... Deci, Rabbit 4-4-4-4 era numele fişierului, însă în realitate el se numeşte Golden Imposter.
Golden Imposter este interesant, deoarece funcţionează ca o reţea de afiliere. Există o minte "criminală" care produce acest Golden Imposter şi ulterior îl vinde pe forumuri către o reţea de afiliere. Din reţeaua de afiliere fac parte mulţi membri. Noi am numărat în jur de vreo 12, care fiecare îşi lansează atacurile independent de ceilalţi către ţintele care i-ar interesa. La rândul lor, fiecare dintre afiliaţi încearcă să scoată cât mai mulţi bani de la victime şi, interesant, mintea "criminală" are o parte din profituri.
În România, am observat câteva victime, nu foarte multe. Ideea este că atacurile nu se calmează niciodată, ci se întâmplă constant şi din când în când un atac e mai mare decât altele. Principalii factori pe care i-am observat ar fi că apare o vulnerabilitate în Windows, de exemplu. Microsoft lansează un patch pentru aceasta, dar întotdeauna va exista o fereastră de o lună, două, până când toată lumea instalează acel patch. În acea perioadă, infractorii cibernetici pot încerca să exploateze acea vulnerabilitate. Cum s-a întâmplat în cazul lui Golden Imposter? După părerea mea, a fost vorba despre o vulnerabilitate Remote Desktop pe care Microsoft a închis-o, dar în fereastra de câteva săptămâni după ce a închis-o au apărut exploit-uri pentru acea vulnerabilitate care le permite infractorilor să acceseze reţelele unde nu a fost instalat patch-ul.

AGERPRES: Care vi s-a părut cel mai grav atac cibernetic petrecut în România, în ultimii ani?
Costin Raiu: Oscilez între Wannacry şi NotPetya... Şi NotPetya a fost destul de semnificativ şi s-a întâmplat la un an diferenţă faţă de Wannacry, în 2017. Wannacry era cam pentru oricine şi se înmulţea prin Internet, în timp ce NotPetya a fost axat mai mult pe firme şi s-a răspândit în special la firmele mari care foloseau un software ucrainean, numit Midoc.

AGERPRES: De unde vin infractorii cibernetici?
Costin Raiu: Cred că vin din toată lumea, din România, Rusia, China, Brazilia, Statele Unite. Probabil că e o combinaţie de factori: uşurinţa de acces la informaţie în ţara respectivă, nivelul şomajului etc. În momentul în care nivelul şomajului e mare şi oamenii nu au de muncă, încearcă orice practic, pornind de la metoda spălării de bani. Foarte mulţi oameni primesc acasă anunţuri de muncă la domiciliu, pentru 2.000 de euro pe lună. E foarte simplu, îţi deschizi un cont la bancă şi tot ce trebuie să faci e să primeşti bani şi să îi dai mai departe.
Majoritatea infractorilor cibernetici sunt autodidacţi, dar contează şi norocul. Vă dau un exemplu aleatoriu: într-o cafenea de internet e un infractor care tot ce face e să spargă conturi şi se laudă cu asta. Automat, oamenii din jurul lui îl vor lua ca model.

AGERPRES: Există o canibalizare între infractorii cibernetici?
Costin Raiu: Fără îndoială, da. Există lupta între grupuri care încearcă să-şi fure unul altuia infrastructura sau victimele. De exemplu, există malware care, în momentul în care te infectezi cu el, verifică dacă există alt malware în sistem şi îl elimină ca să rămână singur. De asemenea, mai e un malware care intră printr-o vulnerabilitate de Office şi după ce a intrat închide acea vulnerabilitate, pentru a fi exclusiv.

AGERPRES: Companiile care luptă cu aceste atacuri au posibilităţi de a momi infractorii cibernetici să se dea de gol?
Costin Raiu: Companiile de profil pun capcane, inclusiv noi. Uneori, infractorii cibernetici cad în astfel de capcane, dar sunt unii care nu fac greşeli. Majoritatea firmelor de securitate pe care le ştiu au astfel de "honey pot"-uri şi echipe care analizează atacurile şi încearcă să-şi dea seama cine este în spatele acestora. De foarte multe ori, se pot identifica persoanele din spatele atacurilor, din greşelile pe care acestea le-au făcut.

AGERPRES: Vorbeaţi la un moment dat de atacuri statale. Cazul Huawei se poate încadra în această categorie?
Costin Raiu: Nu cred neapărat asta. Din câte ştiu eu, de exemplu, în România toată infrastructura actuală rulează pe echipamente Huawei. Din punctul meu de vedere, mi se pare că e vorba despre un conflict geopolitic, în esenţă de natură economică. Huawei au luat-o foarte mult în faţa tuturor şi au produse care nu sunt neapărat foarte bune tehnic, dar sunt ieftine. Din punct de vedere economic, se pare că piaţa de 5G va fi dominată de Huawei în următorii cinci ani, inevitabil. Probabil să sunt şi presiuni din partea altor firme care sunt nemulţumite de acest lucru.

AGERPRES: Cum se prezintă Kaspersky în România la momentul actual, din punct de vedere tehnic şi de cercetare?
Costin Raiu: Pentru noi, 2019 a fost un an bun din mai multe puncte de vedere. O dată că a fost un pic mai linişte faţă de anii precedenţi şi am putut să ne concentrăm mai mult pe nişte eforturi de dezvoltare şi de planificare pe următorii ani. În particular, am instalat o reţea destul de mare de Honey Pot-uri care identifică un număr foarte mare de atacuri şi colectează date despre malware care atacă dispozitive de tipul IoT - Internet of Things. E un trend şi foarte mulţi atacatori se mută cumva în direcţia aceasta, pentru că uneori e mai uşor să intri într-o reţea în felul acesta decât prin spearphishing.
În acelaşi timp, foarte multe firme au dispozitive IoT conectate la Internet, multe dintre acestea fără parole: senzori de temperatură, camere de luat vederi, imprimante cu Wi-Fi, aer condiţionat wireless, routere.

Te-ar putea interesa







Iti place noua modalitate de votare pe dcnews.ro?

Copyright 2019 SC PRESS MEDIA ELECTRONIC SRL. Toate drepturile rezervate.


dcn.n-nxt.28