مجرمان سایبری از خدمات و تکنولوژیهای مبتنی بر Cloud استقبال میکنند تا حملات خود را به سازمانها سرعت بخشند و سود بیشتری کسب نمایند. پیشروی این امر تا حد زیادی به واسطهی مجرمان سایبری بوده که دسترسی به Clouds Of Logs را می فروشند و اینها در واقع Cacheهایی از اطلاعات اعتباری دزدیده شده بعلاوه اطلاعات دیگری که در Cloud قرار دارند می باشند.
بر اساس گفته Trend Micro، این رویکرد مبتنی بر Cloud موجب میشود که اطلاعات راحتتر در دسترس خریداران قرار گرفته وآنها با استفاده از این دادهها حملات ثانویهای را اجرا مینمایند. همچنین عاملان مخرب ابزار مبتنی بر Cloud را برای خریداران فراهم میکنند تا آنها بتوانند دادههای مورد نیاز برای انجام فعالیتهای مخرب خود را تجزیه و تحلیل و استخراج کنند.
سرعت حملات سایبری به Cloud
حرکت به سمت Cloud برای مجرمان سایبری دارای همان مزیتی است که برای سازمانهای قانونی دارد و این مزیت، سرعت است. با اتخاذ رویکرد Cloud زمان بین دزدیده شدن داده ها و استفاده شدن آن علیه یک سازمان از چند هفته به چند روز یا حتی چند ساعت کاهش مییابد.
با معرفی خدمات و تکنولوژیهای مبتنی بر Cloud، مجرمان میتوانند دادهها را بدزدند، خریداری کنند و با استفاده از آنها حملات خود را با سرعت بیشتری انجام دهند. آنها این فرایند را به زمان لازم برای خریداری ابزار در یک حراجی در مقایسه با خریداری از یک سایت آنلاین تشبیه میکنند.
همچنین با وجود تراکنشهای سریعتر، سازمانها نمیتوانند شروع و اجرای سریع این حملات را پیشبینی کنند، زیرا این حملات توسط دزدی دادهها ممکن شده و مجرمان در زمان کوتاهی آنها را برنامهریزی کردهاند و درنتیجه زمان کمتری برای شناسایی و پاسخ آنها وجود دارد.
بررسی مشکل Big Data
مهاجمان به حملات بیشتر Cloud روی آوردهاند تا بتوانند به حجم بالای داده های سازمان ها دست یابند. Trend Micro تخمین زده است که Cacheها نشانگر چندین ترابایت داده هستند. در سال های اخیر دزدی اطلاعات اعتباری کاربران افزایش یافته است و مهاجمین مقادیر زیادی از اطلاعات اعتباری و آدرسهای ایمیل یا نام های Domain مربوط را جمعآوری کردهاند. دادههای دیگری که دزدیده میشوند معمولاً شامل Keystrokes، اطلاعات اعتباری احراز هویت به پورتالهای آنلاین، بانکهای آنلاین، ویژگیهای Session احراز هویت شده، اطلاعات قابل شناسایی شخصی یا PII، اسکنهای اسناد، گزارشهای مالیاتی، رسیدها، جزئیات پرداخت حساب بانکی مثلاً کارتهای اعتباری و غیره است.
هر 14 ثانیه، یک حمله سایبری! راهکار FBI، Europol و HPE چیست؟
ویدیوهای بیشتر در مورد امنیت
حملات باج افزاری و افزایش نقل و انتقالات غیر مجاز داده ها
مواردی که باعث تشدید این امر میشود آن است که نقل و انتقال غیر مجاز دادهها تقریباً برای هر نوع حملهای ازجمله باج افزارها، Botnetها، Keyloggerها، exploit kitsها و موارد مخرب دیگر، عادی شده است. اطلاعات جمعآوری شده، شامل Browsing History، Cookieها، Keyloggers، اطلاعات اعتباری، Tokenهای احراز هویت و اطلاعات در مورد محیط قربانی باشد که میتوان برای فرار از سیستم های ضد تقلب و غیره آنها را مورد استفاده قرار داد. تمام این موارد به این معنی هستند که مجرمان سایبری درست مثل سازمانهای قانونی دارای مشکل Big Data هستند. باید گفت Exploit کردن پتانسیل مقادیر زیادی از داده بدون ابزار لازم برای بخشبندی آن دشوار است.
این امر موجب شده است که مجرمان سایبری به سراغ شیوههای کاری مبتنی بر پرداخت پول برای دسترسی بروند تا درآمد بیشتری از منابع دزدی خود کسب کنند و به مهاجمین دیگر این توانایی را بدهند که بهسادگی دادههایی را که برای حملات خود نیاز دارند، از Cloudها و Logهای فروشندگان شناسایی کنند.
پرداخت برای دسترسی در Cloud Economy
Trend Micro به این نتیجه رسید که مشتریان پول پرداخت میکنند تا با استفاده از ابزارها در بازههای قیمتی متنوع به Cloudهایی از Logها دسترسی داشته باشند. بستههایی که تنها اجازهی دسترسی و دانلود محدود را میدهند در بازهی 100 دلار هستند. اشتراکهای ماهیانه هم ارائه میشود و برخی از مجرمان سایبری قیمت هر ماه را بین 300 تا 1000 دلار تعیین میکنند. یکی از این عاملان مخرب ادعا کرده است که Dataset خود را به صورت هفتگی با حسابهای دزدی بروزرسانی میکند. این سرویس یک اشتراک Premium را به قیمت 300 دلار برای چهار مشتری اول ارائه میدهد ولی قیمت ادامهی دسترسی 1000 دلار است. این دادهها ممکن است نسبت به کشور یا منطقه، نوع داده، اینکه آیا دادهها در کمپینهای دیگر مورداستفاده قرارگرفتهاند یا خیر، نام سازمان قربانی یا بخش و پارامترهای دیگر دستهبندی شوند.
بیشتر بخوانید: چکلیست مقابله با حملات سایبری
بررسی انواع حملات سایبری مهاجمان
بر اساس گفته Trend Micro «مجرمان فقط باید به دنبال دادههایی بگردند که مورد نیازشان است تا فرصتی را برای انجام سریعتر جرم خود پیدا کنند؛ زیرا دیگر نیازی نیست خودشان دادههای مورد نیازشان را پیدا کنند. مجرمانی که به این Datasetها دسترسی پیدا میکنند تخصصهای متفاوتی نیز دارند. برخی از این مهاجمان فقط به فعالیتها نظم و ترتیب میدهند، درحالی که تخصص مهاجمان دیگر روی حمله به سازمانهای مالی و جستجوی اطلاعات اعتباری مربوط به بانکداری است. اطلاعات اعتباری برای دسترسی به پورتالهای پلتفرم Cloud نیز به مهاجمانی که در فروش خدمات اختصاصی تخصص دارند فروخته میشود. چنین اطلاعات اعتباری را میتوان برای ایجاد Instanceهایی از ماشینهای مجازی مورد استفاده قرار داد که در بازارهای زیرزمینی به فروش میرسند.
بسیاری از فروشندگان به تعداد محدودی از افراد Log فروخته یا دسترسی میدهند. آنها همچنین از روشهایی مثل علامتگذاری داده و دیگر روشهای ردیابی، برای اعمال SLAهای خود استفاده میکنند. این محدودیتها شامل قیمت های ثابت برای تعداد کل Objectهایی که در روز مورد دسترسی قرارگرفتهاند، محدودیت در تعداد فایلهایی که اجازهی دانلود دارند، یا اعمال Policyهای شکل دهی به ترافیک میباشد. پلتفرمهای دیگر نیز دسترسی به Cloud را به یک دستگاه در هر اکانت محدود میکنند. برخی پلتفرمها نیز برای شروع دسترسی به سرویس نیازمند اطلاعات اعتباری VPN هستند.
بیشتر بخوانید: حملات سایبری حدود ۱۰ میلیون سابقه ی پزشکی شرکت بیمه ای Excellus را افشا کرده است !
بررسی آینده ی Cloud
با رشد کسب و کارهایی که دسترسی به Cloudهایی از Log را میفروشند، در آینده ممکن است برنامههای درآمدزایی متنوعی ایجاد گردد. Trend Micro توضیح میدهد: «برای مثال مجرمان سایبری میتوانند به دنبال سوابق Sessionهای کاربران احراز هویت شده در پورتالهای Cloud بگردند. اگر یک عامل مخرب یک Console Session را از یک ارائهکنندهی خدمات Cloud بدزدد، میتواند کنترل کاملی روی منابع Cloud قربانی داشته باشد. این یعنی کسب دسترسی به سیستمهای Cloud و Storage موجود، سپس این عاملان میتوانند دادههای ارزشمندی را از این منابع بیرون بکشند و سپس آنها را به صورت زیرزمینی به فروش برسانند. پژوهشگران همچنین پیش بینی میکنند که عوامل مخرب، ابزاری را توسعه دهند که توسط یادگیری ماشینی یا ML قدرت میگیرند و بدین صورت فرآیندهای استخراج و تجزیه و تحلیل را تسریع کنند.
