Un nou val de atacuri cibernetice scoate în evidență o strategie alarmantă din ce în ce mai utilizată în lumea infracționalității digitale: folosirea unor instrumente legitime de administrare și monitorizare IT pentru a comite fraude și a controla rețelele vulnerabile. Cercetările recente relevă o tactică subtilă, în care hackerii folosesc software-uri oficiale, destinate de obicei pentru managementul tehnic al firmelor, pentru a-și extinde controlul asupra sistemelor compromis.
Utilizarea software-urilor legitime pentru control de la distanță și spionaj
Un caz concret analizat recent, documentat de specialiștii în securitate cibernetică și publicat pe site-uri de specialitate, relatează despre membrii unei grupări de ransomware, cunoscută sub numele de Crazy, care și-au fintat activitatea în spatele unor aplicații comerciale de monitorizare a angajaților și soluții de support remote. Împotriva aparentelor intenții de administrare normală, aceștia au instalat aceste programe în mod clandestin, folosind utilitare standard ale sistemului Windows, precum msiexec.exe, pentru a reduce suspiciunile din partea sistemelor de securitate.
Ajunse în rețeaua afectată, aceste aplicații oferă atacatorilor un access complet la sistemul compromis: vizualizare în timp real a desktopului, transfer de fișiere, comenzi la distanță și control total asupra PC-urilor. Unique în procedură, infractorii au încercat să creeze o rețea de control redundant, activând apoi conturi de administrator și instalând soluții legitime precum SimpleHelp, o platformă de suport remote cunoscută și utilizată în mod curent. În momentul în care aceste aplicații erau descoperite și eliminate, altele își preluau încărcătura, ceea ce face dificilă detectarea și oprirea operațiunilor ilegale.
Monitorizare clandestină pentru momentul “perfect” al atacurilor ransomware
Nici controlul asupra sistemelor nu s-a oprit aici. Actorii rău-voitori au folosit funcțiile avansate ale software-urilor pentru monitorizare pentru a urmări activitatea utilizatorilor și a pregăti lansarea atacurilor cu ransomware. În anumite incidente, au introdus reguli automate de alertare care le notifice atunci când angajații păstrau portofele de criptomonede, platforme de schimb sau servicii financiare online active. În plus, au monitorizat conexiunile către servicii de control remote precum RDP, AnyDesk, TeamViewer sau VNC – semn clar că scopul lor era să detecteze orice prezență a unor administratori legitimi, pentru a nu fi descoperiți.
Aceasta nu reprezintă doar un mod de a depista momentul în care pot acționa, ci și o observație în timp real a activității interne din companii, indicând o pregătire minuțioasă pentru lansarea atacurilor ransomware. Deși în aceste cazuri doar unul a dus la efectivul extaz al activării criptomunelui malițios, cercetătorii afirmă că ambele incidente ar putea fi opera aceluiași grup, bazându-se pe infrastructura tehnică utilizată.
Pericolul ascuns: software-ul legitimi devine armă în mâinile infractorilor
Această metodă de a folosi aplicații comerciale pentru control remote și monitorizare este un semnal de alarmă pentru toți operatorii de afaceri. Într-o epocă în care siguranța digitală devine un factor critic, utilizarea normală a unor programe legitime nu mai reprezintă garanție de securitate. Specialiștii în domeniu subliniază că organizațiile trebuie să fie extrem de vigilente în privința instalărilor neautorizate de astfel de aplicații, chiar dacă sunt certificate și considerate sigure.
În plus, incidentele analizate demonstrează vulnerabilitatea crasă a sistemelor de acces la distanță, în special în contextul compromiterii credențialelor SSL VPN. Implementarea autentificării multifactor devine, așadar, o obligație pentru minimizarea riscurilor, deoarece doar astfel pot fi împiedicate încercările de infiltrare sofisticate, precum cele utlilizate de această grupare.
Pe măsură ce cercetările în domeniul securității cibernetice avansează, devine tot mai clar că infractorii adoptă din ce în ce mai frecvent tactici care le permit să se ascundă în traficul obișnuit de rețea și să profite de legitimitatea anumitor aplicații. Astfel, riscul ca aceste metode să devină standard în arsenalul criminalității digitale continuă să crească, iar mediul de afaceri trebuie să fie pregătit pentru provocări din ce în ce mai sofisticate, adaptate noilor realități tehnologice.
