Czarna chmura

Ponieważ przestępcy posiadają kontrolę nad wieloma komputerami w firmie, mogą zorganizować ich zasoby tak samo jak dostawca cloud computing. Powstaje w ten sposób nielegalna chmura, wykorzystująca moce i zasoby przejętych komputerów, która jest udostępniana za pieniądze wszystkim chętnym, prowadzącym nielegalny biznes. Uri Rivner mówi: "Zjawisko to, określane jako dark cloud, jest coraz powszechniejsze, zagrożenie z tej strony jest ponad dziesięciokrotnie większe niż rok temu".

Z usług dark cloud bardzo często korzystają fraudsterzy, na przykład do organizacji kampanii phishingowych lub do promocji swojego podziemnego biznesu. Ze względu na niskie koszty, można oczekiwać dalszego wzrostu zainteresowania podziemnymi usługami, także w modelu cloud computing. Są to masowe usługi, a o rozmiarze podziemia może świadczyć fakt, że badacze rynku podziemnego szacują wolumin fraudów na 1,5 mld dolarów w ciągu roku.

Oni już tu są

Dotychczas cyberprzestępcy korzystali głównie z danych dotyczących prywatnych transakcji zwykłych obywateli. Dopiero niedawno zauważyli, że tysiące komputerów zarażonych pakietem Zeus, to są maszyny korporacyjne. Chociaż nie są przydatne do bezpośredniej kradzieży pieniędzy, z powodzeniem mogą posłużyć do pozyskania informacji poufnej z wnętrza firmy. Takie dane dotąd były traktowane jak śmieci, głównie z tego powodu, że je znacznie trudniej spieniężyć. Teraz przestępcy zauważają, że są tam dane osobowe pracowników, kontakty firmy, część dokumentów handlowych, informacje zdrowotne. Mogą być także informacje związane z biznesem ubezpieczeniowym, jeśli firma działa w tym sektorze. Jest to ogrom danych, ale wymaga odpowiedniej selekcji. "Sprzedaż skradzionej informacji będzie znacznie trudniejsza niż w przypadku skimmingu, ale potencjalnie może otworzyć przed cyberprzestępcami nowy rynek. Ta grupa przestępcza, która jako pierwsza opanuje rynek danych korporacyjnych, osiągnie bardzo duży sukces, gdyż ta nisza jeszcze nie jest wypełniona. Tu na razie nie ma żadnej konkurencji" - mówi Uri Rivner.

Przeskoczenie poza sektor finansowy, do sektora enterprise, jest ważnym sygnałem, gdyż oznacza bezpośrednie zainteresowanie przestępców danymi w przedsiębiorstwie. Wbrew pozorom, pozyskanie tych danych jest bardzo proste - należy do tego celu wykorzystać laptopy pracowników. Ten sam komputer w godzinach pracy służy do czynności służbowych, poza pracą zbliża się do typowego komputera domowego, który jest podatny na infekcje. To samo urządzenie, gdy pracuje jako maszyna konsumencka, może zostać zarażone złośliwym oprogramowaniem w sposób niewidoczny dla firmy. W momencie połączenia z infrastrukturą - albo w biurze, albo za pomocą VPN - organizacja przestępcza uzyskuje coś, co było dotąd rzadko osiągalne, czyli trojan umieszczony wewnątrz firmowej sieci, chronionej zaporą. Trudno oszacować skalę tego procederu, ale wiadomo na pewno, że organizacje przestępcze zaczynają penetrować ten sektor. Jedną z przyczyn jest spowolnienie gospodarcze oraz ograniczone wydatki na ochronę danych w wielu przedsiębiorstwach.

CEO na celowniku

Posiadanie złośliwego oprogramowania wewnątrz sieci firmowej jest nie lada gratką, gdyż umożliwia dokładne rozpoznanie tego, co się w firmie naprawdę dzieje. Dotychczas ataki kierowane przeciw konkretnym osobom w firmie były rzadkością, ale teraz przestępcy zauważają, że być może warto zainteresować się danymi, które posiadają prezesi firm. Jednym ze schematów jest infekcja komputera prezesa firmy, by uzyskać dostęp do istotnych danych, związanych z planami rozwoju firmy.

Do mechanizmów obronnych, które pomogą w ochronie przed takimi atakami, można zaliczyć rozwój rozwiązań DLP, SIEM, utwardzanie systemów operacyjnych w desktopach oraz wirtualizacja aplikacji i desktopów. Nawet jednak mimo stosowania takich zabezpieczeń, można się spodziewać wzrostu ilości ataków kierowanych przeciw firmom.