Cyberprzestępcy z różnych krajów współpracują, by zwiększyć szkodliwy zasięg
Brazylijskie i rosyjskie podziemie cyberprzestępcze to dwa z najbardziej widocznych rynków dla badaczy cyberbezpieczeństwa ze względu na ich stosunkową otwartość, wysoki poziom aktywności oraz dużą liczbę forów internetowych wykorzystywanych przez przestępców do celów wzajemnej komunikacji. W przeszłości oba rynki rozwijały się niezależnie od siebie, tworząc odrębne techniki cyberataków dostosowane do warunków lokalnych (np. szkodliwe oprogramowanie "Boletos" w Brazylii czy szkodliwe oprogramowanie atakujące usługi bankowości mobilnej w Rosji). Jednak dochodzenie przeprowadzone przez badaczy z Kaspersky Lab pokazuje, że brazylijscy i rosyjskojęzyczni przestępcy rozwinęli w ostatnich latach system współpracy. Brazylijscy przestępcy wyszukują próbki na rosyjskich forach przestępczych, kupując nowe oprogramowanie i szkodliwe programy lub oferując swoje usługi. Jest to handel dwustronny, a współpraca przyspiesza ewolucję szkodliwego oprogramowania.
Przykłady wzięte z życia
Oznaki współpracy zauważono na jednym forum przestępczym odwiedzanym przez rosyjskojęzycznych użytkowników. W jednym z wymienionych tematów użytkownik o nazwie Doisti74 wyraził zainteresowanie kupnem brazylijskich "loaderów", które w żargonie cyberprzestępczym oznaczają udane instalacje szkodliwego oprogramowania na zaatakowanych komputerach zlokalizowanych w Brazylii.
Inny przypadek pokazuje, jak przestępcy współdzielą szkodliwą infrastrukturę. Kilka miesięcy po tym, jak rodzina rosyjskich trojanów bankowych (Crishi) zaczęła wykorzystywać algorytm generujący domeny w odpornej na ataki organizacji hostingowej na Ukrainie, brazylijscy przestępcy również zaczęli wykorzystywać tę infrastrukturę. Bez pewnej formy współpracy między osobami odpowiedzialnymi ataki w Brazylii oraz tymi, którzy stworzyli algorytm generowania domen, utrudnienie identyfikacji serwerów kontroli dla badaczy i organów ścigania byłoby niemożliwe.
Cyberprzestępcy również pożyczają od siebie nawzajem szkodliwe techniki. Na przykład od przynajmniej 2011 r. brazylijscy przestępcy aktywnie wykorzystują PAC - przestarzałą technologię, która nadal jest obsługiwana przez wiele przeglądarek - celu przekierowywania ofiar na fałszywe strony bankowe. Niecały rok minął od czasu, gdy badacze z Kaspersky Lab odkryli, że ta sama technika jest wykorzystywana w szkodniku Capper - kolejnym trojanie bankowym atakującym rosyjskie banki, stworzonym najprawdopodobniej przez rosyjskojęzycznych przestępców.
To jedynie kilka spośród wielu przykładów współpracy między brazylijskimi i rosyjskojęzycznymi cyberprzestępcami, zaobserwowanych przez badaczy z Kaspersky Lab w ostatnich latach.
"Jeszcze kilka lat temu brazylijskie szkodliwe oprogramowanie bankowe było nieskomplikowane i łatwe do wykrycia. Z czasem jednak cyberprzestępcy zaczęli stosować różne techniki w celu uniknięcia wykrycia, w tym zaciemnianie kodu czy uzyskiwanie uprawnień administratora, przez co szkodliwe oprogramowanie stało się bardziej wyrafinowane i trudniejsze do zwalczania. Stało się tak w wyniku wykorzystania szkodliwych technologii opracowanych przez rosyjskich cyberprzestępców. Co więcej, współpraca ta działa w obu kierunkach. Kaspersky Lab posiada niezrównane doświadczenie, jeśli chodzi o tropienie i zwalczanie rosyjskiego i latynoamerykańskiego cyberpodziemia. Nasi eksperci wykrywają nowe trendy w zakresie szkodliwego oprogramowania na długo zanim staną się powszechne i wykorzystują tę wiedzę, by przeciwdziałać szerzeniu się lokalnej cyberprzestępczości na całym świecie. Według nas najlepszym sposobem zwalczania tego rodzaju międzynarodowego zagrożenia jest przeprowadzanie międzynarodowego dochodzenia w sprawie takiej aktywności. Dochodzenia, podobnie jak cyberprzestępczość, nie powinny mieć żadnych granic" - powiedział Thiago Marques, badacz ds. bezpieczeństwa IT, Kaspersky Lab.
Więcej informacji na temat ewolucji brazylijskiego szkodliwego oprogramowania w ostatnich latach znajduje się na stronie http://r.kaspersky.pl/61tDr.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe są dostępne na stronie http://www.kaspersky.pl/nowosci.