Să ştiţi că nu toate evenimentele au migrat către formatul virtual. Pe 1 octombrie am participat, alături de partenerul nostru DataEye la un eveniment fizic pe tema “Digitalizare şi criminalitate cibernetică” organizat la Hotel Marshal Garden de ClubAntreprenor.ro şi Ziarul Pozitiv. Prima concluzie? Subiectul este de maxim interes, atât pentru mediul privat cât şi pentru cel public. A doua: nimic nu se compară cu o interacţiune face to face.
Evenimentul (detalii aici) a evidenţiat intensificarea criminalităţii cibernetice în contextul accelerării procesului de digitalizare a economiei şi a administrației publice sub presiunea covid19. Chiar dacă atacurile care exploatează la propriu subiectul covid19 s-au rărit, (conform raportului recent Microsoft Digital Defense, vezi imagine) pe toate celelalte planuri hackerii lucrează intens.
Incidentele asociate criminalităţii cibernetice înregistrează o creştere îngrijorătoare. Situaţia curentă arată astfel:
Cifrele au fost menţionate de Adrian Buciu, specialist, Serviciul de Telecomunicații Speciale, în prezentarea “Provocări mari şi răspunsuri simple în domeniul securităţii cibernetice”, concluzia principală fiind „Fiţi suspicioşi şi vigilenţi, este cea mai simplă metodă de protecţie.” Cifrele nu trebuie să ne sperie, ci doar să ne arate că riscurile sunt în creştere, atacurile pot veni de oriunde, iar invesţiile în securitate cibernetică nu sunt opţionale.
De mare interes a fost şi prezentarea operaţiunii „Cold lake”, finalizată anul trecut prin colaborarea autorităţilor din România, Estonia şi Lituania. Operaţiunea a implicat identificarea, monitorizarea şi capturarea unui grup de criminalitate cibernetică implicat în piratarea cardurilor de credit. Cu ajutorul unor soluţii de phishing procurate de pe darkweb, grupul a reuşit să pirateze 161 carduri de credit şi să genereze un prejudiciu de peste 120.000 euro. Chiar dacă banii erau sustraşi din alte ţări, iar membrii grupului călătoreau intens pentru a şterge urmele, aceștia au fost capturaţi, iar procesul este pe rol.
Tudor Pop, Director General Dataeye, a susţinut o prezentare despre condiţiile în care sunt derulate testele de penetrare. Aceste acţiuni nu sunt prevăzute într-un cadrul legislativ, însă pot fi derulate printr-un mandat din partea beneficiarului. Un astfel de mandat trebuie să includă: perioada de desfășurare a testelor, ce este permis pentru a fi testat şi ce nu este permis a fi testat. De asemenea, a prezentat o serie de misiuni efectuate în ultimii doi ani, în urma cărora toate aplicațiile testate au prezentat vulnerabilități exploatabile. Dacă în general, un astfel de test/audit implică de la 12 până la 20 de ore de testare, în realitate un atacator va petrece mult mai multe ore pentru a reuși să obțină informațiile sau să efectueze tranzacțiile care îl interesează.
Prezenţi la eveniment prin Paul Roman (CEO, PRAS Consulting), am nuanţat situaţia actuală a atacurilor de tip ransomware, care au devenit una dintre cele mai mari şi păguboase ameninţări cibernetice. Premisa prezentării a fost că „ Nimeni nu este complet protejat” şi că 75% dintre sistemele infectate aveau soluţiile de protecţie aduse la zi. Elementul central al prezentării a fost un studiu de caz al unei companii cu 400 de angajaţi distribuiţi în trei locaţii din ţară, care investeşte anual între 100.000 şi 200.000 EUR în reţeaua IT internă şi are o infrastructură bine dezvoltată. Punctul slab a fost însă un server neprotejat, care rula un sistem de operare mai vechi şi era accesibil din internet prin protocolul remote desktop.
Despre Windows Server 2008 R2 şi riscurile utilizării fără suport citeşte şi aici.
Serverul infectat iniţial a fost folosit pentru aflarea altor credenţiale din reţea, cu ajutorul unor programe precum Emotet, Cridex, Botne etc. Folosind drepturile obţinute au fost oprite pe rând soluţiile antivirus şi alte soluţii de protecţie, cum ar fi Shadow Copy. Ulterior au fost criptate toate datele de pe sistemele infectate, bazele de date şi maşinile virtuale au fost oprite, iar fişierele aferente au fost criptate. Au fost criptate back-up-urile, dar nu au fost criptate benzile de back-up deoarece erau stocate offline. Hackerii au cerut 50.000 EUR, recompensă pentru restaurarea serviciilor, sumă care nu a fost însă plătită. Rezolvarea a constat în oprirea conexiunilor la internet pentru întreruperea accesului hackerilor la sistemele IT, restaurarea serviciilor de autentificare şi schimbarea tuturor parolelor compromise şi la final restaurarea sistemelor şi a datelor cu ajutorul back-up-ului existent pe bandă.
Despre Ransomware am scris mai multe în articolul nostru.
Găsiți mai jos filmul evenimentului, pentru o prezentare mai la obiect a informaţiilor livrate.
Mulţumim Ziarul Progresiv şi Club Antreprenor pentru organizare şi strângerea unei audienţe de calitate!
