O nouă serie de atacuri cibernetice scoate în lumină o metodă din ce în ce mai frecventă și periculoasă în lumea criminalității digitale: utilizarea unor instrumente legale pentru administrarea și monitorizarea IT, în scopuri malițioase. De această dată, infractorii au făcut un pas ofensiv, folosind tehnici avansate pentru a păcăli sistemele de securitate, infiltrând rețele corporative prin instrumente de administrare aparent inofensive sau chiar recomandate de producători.
Utilizarea aplicațiilor legitime pentru controlul rețelelor compromise
Unul dintre cele mai îngrijorătoare aspecte ale noii strategii este modul în care atacatorii folosesc software comercial pentru monitorizarea angajaților, precum Net Monitor for Employees Professional, și soluții de acces remote, precum SimpleHelp. Această metodă permite infractorilor să ascundă activitățile lor în fluxul obișnuit de trafic de rețea, fiind percepuți de sistemele de securitate ca activități legitime, chiar utile pentru administrarea IT.
Ce face diferența este modul în care aceștia instalează și activează aceste aplicații. În cazul unei intrusioni documentate, software-ul de monitorizare a fost instalat chiar din sursa oficială, folosind utilitarul Windows Installer, ceea ce a redus șansele de a fi detectată sau suspectată. După activare, aceste soluții le-au oferit atacatorilor control total asupra computerelelor vizate, inclusiv vizualizarea desktopului în timp real, transferul de fișiere, comenzi și control interactiv, făcând sistemele complet administrabile de la distanță, fără a fi nevoie de malware clasic sau code de tip ransomware pentru acces.
Pentru a întări această poziție de control, infractorii au încercat activarea conturilor de administrator local, dar și instalarea de instrumente legitime precum SimpleHelp, camuflate sub denumiri ce imită aplicații cunoscute, precum cele asociate cu OneDrive sau Visual Studio. Această dublă abordare crea un sistem de acces redundat, astfel încât, dacă o metodă era descoperită și eliminată, cealaltă asigura în continuare controlul asupra rețelei compromise.
Un element alarmant reiese și din încercările de dezactivare a sistemului de protecție Windows Defender, prin oprirea și ștergerea serviciilor aferente, pentru a reduce probabilitatea de detectare și intervenție automatizată. Toate acestea indică un grad ridicat de profesionalism și adaptabilitate din partea infractorilor, capabili să folosească și să manipuleze instrumente oficiale pentru scopuri criminale.
Monitorizarea activităților interne pentru sincronizarea atacurilor
Ce e și mai alarmant este faptul că infractorii nu se limitează la menținerea controlului pasiv asupra rețelelor, ci monitorizează cu atenție activitatea internă a companiilor. În timpul unor intervenții, atacatorii configura reguli automate de alertare pentru a fi notificați de fiecare dată când utilizatorii accesează portofele de criptomonede, platforme de schimb valutar sau alte servicii financiare online. În plus, monitorizează dacă și când sunt utilizate aplicații de remote desktop, precum RDP, AnyDesk, TeamViewer sau VNC, pentru a ști dacă alți administratori sau tehnicieni legitimi se conectează la rețea.
Această supraveghere în timp real le oferea o imagine clară asupra activității companiei și le permitea să aleagă momentul optim pentru a lansa ransomware-ul sau pentru a încerca furtul de criptomonede. În unele cazuri, doar unul dintre atacuri s-a materializat, dar specialiștii în securitate consideră că ambele incidente sunt foarte probabil opera unor aceiași actori sau ale aceluiași grup. Această constatare evidențiază o tendință îngrijorătoare în lumea digitală: transformarea aplicațiilor legitime în arme incendiabile în mâinile criminalilor, ceea ce face dificilă diferențierea între activitățile reale și cele malițioase.
Relevanța măsurilor de protecție și perspective pentru viitor
Un aspect deosebit de important relevat de aceste cazuri este compromiterea credențialelor SSL VPN, ceea ce subliniază necesitatea consolidării măsurilor de securitate și implementarea autentificării multiple (MFA) pe toate servicii de acces de la distanță. Fără aceste măsuri, există riscul ca orice sistem de securitate să fie ocolit prin simpla exploatare a unor credențiale compromis.
În contextul evoluției rapide a tehnicilor de atac, cercetătorii avertizează că criminalitatea cibernetică devine din ce în ce mai sofisticată, grupările folosind în mod obișnuit instrumente legitime pentru a-și extinde controlul asupra infrastructurii informatice a companiilor. În fața acestei realități, organizațiile trebuie să fie vigilente și să-și adapteze politicile de securitate, monitorizând nu doar malware-ul tradițional, ci și utilizarea neautorizată a aplicațiilor aprobate în mediul intern.
În final, tendința de a folosi software-uri legale în activități de tip hacking evidențiază fragilitatea actualelor sisteme de securitate și dezvăluie necesitatea unor strategii proactive și educație în domeniul cyber-securității. În condițiile în care infractorii își diversifică metodele, viitorul securității cibernetice va depinde tot mai mult de capacitatea de a detecta și opri, în timp util, aceste exploit-uri subtilizate în rutina zilnică a mediului digital.
