Muddled Libra to jedna z najaktywniejszych zorganizowanych grup cyberprzestępczych, która wyspecjalizowała się w socjotechnikach i manipulacji psychologicznej . Ich ostatnie ataki spowodowały zakłócenia pracy linii lotniczych, braki w dostawach żywności do sklepów spożywczych oraz wielomiliardowe straty finansowe. Grupa często obiera za cel pracowników centrów usług biznesowych i call centers, aby włamać się do wewnętrznych systemów tych firm i ich klientów. Badacze z jednostki badawczej Unit 42 w Palo Alto Networks przestrzegają, że Polska może być szczególnie zagrożona ze względu na znaczny udział branży usług biznesowych, która zatrudnia ok. 490 tysięcy pracowników .

W przeciwieństwie do tradycyjnych grup ransomware, które działają według przewidywalnych schematów, grupa Muddled Libra nauczyła się zmieniać i rozszerzać swoją działalność. To przejaw bardzo niepokojącego trendu polegającego na profesjonalizacji kolejnych grup cyberprzestępców. To, co zaczęło się od niewielkich ataków socjotechnicznych, przekształciło się w wyrafinowane, zespołowe operacje zdolne do sparaliżowania całych organizacji.

 

Z materiału dowiesz się:

  • jak działają najlepiej zorganizowane grupy cyberprzestępców na świecie;
  • jakie grupy pracowników i branże są najbardziej narażone na cyberataki;
  • jak AI może pomóc w zwalczaniu zmasowanych cyberataków.

 

Najnowsze badania Unit 42 ujawniają, w jaki sposób Muddled Libra (znana również jako Scattered Spider) przekształciła się z garstki cyberprzestępców skupionych na kryptowalutach w rozproszoną sieć wyspecjalizowanych zespołów, które stanowią bezprecedensowe zagrożenie dla firm i instytucji na całym świecie.
Najważniejsza przewaga Muddled Libra nad innymi organizacjami cyberprzestępczymi polega na strukturze organizacyjnej. Zamiast działać jako monolit, grupa podzieliła się na co najmniej siedem odrębnych zespołów, a każdy z nich specjalizuje się w określonym obszarze i realizuje wyznaczone cele. Takie modułowe podejście zapewnia niespotykaną elastyczność i wydajność ataków.

 

„Rosnący poziom cyfryzacji i stosunkowo niski próg wejścia do branży IT umożliwiają nawet małym grupom cyberprzestępców działać na dużą skalę. Ta profesjonalizacja cyberprzestępczości to bardzo niepokojące zjawisko. Na tak zwanym czarnym rynku otworzyła się przestrzeń dla zupełnie nowej i bardzo dochodowej działalności przestępczej angażującej tysiące ludzi na całym świecie. Ta działalność jest bardzo niebezpieczna już nie tylko dla zwykłych użytkowników internetu, ale także dla coraz większych – wydawałoby się dobrze zabezpieczonych – firm prywatnych i podmiotów z sektora publicznego. Grupa Muddled Libra wyspecjalizowała się w atakach socjotechnicznych wymierzonych w tzw. pracowników pierwszej linii obsługi klienta. Podszywając się pod osobę potrzebującą pomocy, są w stanie uzyskać dostęp do sieci wewnętrznej firmy, aby ją sparaliżować lub dokonać wielomilionowych wyłudzeń” – mówi Tomasz Pietrzyk, szef zespołu ds. rozwiązań technicznych Palo Alto Networks.

 

Zespół badaczy Unit 42 w Palo Alto Networks przestrzega, że incydenty z udziałem Muddled Libra należą do najtrudniejszych w zwalczaniu. Chodzi tu nie tylko o poziom zorganizowania grupy, ale przede wszystkim o jej determinację. Niestety grupa Muddled Libra zawsze wraca, a skutki kolejnych ataków mogą być bardzo dotkliwe. Jednak siła tej hakerskiej grupy drzemie nie tylko w ich zdolnościach organizacyjnych. Co szczególnie zaskakujące grupa wykazuje głębokie zrozumienie współczesnych środowisk biznesowych. Analitycy Palo Alto Networks odkryli, że zespoły realizujące ataki robią dogłębne rozpoznanie i skrupulatnie analizują branże, które planują zaatakować.

Członkowie grupy mają szeroką wiedzę na temat konkretnych środowisk oprogramowania, znają procesy biznesowe w atakowanej branży, potrafią manipulować infrastrukturą chmurową i prowadzą szeroko zakrojone, skuteczne kampanie socjotechniczne. Specjaliści zajmujący się cyberbezpieczeństwem wiedzą doskonale, że najtrudniejszym do zabezpieczenia „systemem operacyjnym” w każdej organizacji są pracownicy. Wiedzą to również cyberprzestępcy specjalizujący się w atakach opartych na socjotechnikach.

Grupa Muddled Libra opanowała do perfekcji metody inżynierii społecznej, które całkowicie omijają tradycyjne zabezpieczenia techniczne i koncentrują się na manipulowaniu pracownikami. Centra operacyjne ds. bezpieczeństwa w wielu organizacjach regularnie prowadzą ćwiczenia polegające na symulowaniu ataków, co do pewnego stopnia przekłada się na wzrost świadomości zagrożeń wśród pracowników. Niestety Palo Alto Networks dostrzega, że reagowanie na sytuacje kryzysowe na najwyższym szczeblu kierowniczym jest często niewystarczające.

Istnienie takich grup jak Muddled Libra dowodzi, że organizacje nie mogą już polegać wyłącznie na przywracaniu kopii zapasowych w przypadku ataków wymierzonych w ich infrastrukturę ze względu na wielopoziomowe scenariusze wyłudzeń okupu. Nie tylko brak dostępu do zaszyfrowanych danych, ale także ryzyko ich ujawnienia przez cyberprzestępców skłania wiele zaatakowanych firm do zapłacenia okupu. Ponadto cyberprzestępcy zaczęli coraz śmielej używać funkcji sztucznej inteligencji, co dodatkowo utrudnia skuteczne zwalczanie zagrożeń. Przykładowo, atakujący wykorzystują funkcję klonowania i fałszowania głosu, aby manipulować pracownikami działu pomocy technicznej w celu uzyskania dostępu do firmowych sieci.

 

„AI nie tylko doskonale sprawdza się w ulepszaniu ataków socjotechnicznych, ale przede wszystkim może przyspieszać pracę cyberprzestępców. Dzięki modelom językowym można zautomatyzować niektóre etapy ataków, co przykładowo zwiększa liczbę ofiar z tysiąca do dziesiątek tysięcy itd. Do tej pory potencjał najzdolniejszych cyberprzestępców ograniczała zwykła ludzka wydajność, jednak automatyzacja ataków i popularyzacja AI doprowadziła do tego, że jeden człowiek może wykonać pracę, która jeszcze niedawno wymagała kilkuosobowego zespołu” – dodaje Tomasz Pietrzyk.

 

Specjaliści z Palo Alto Networks podkreślają, że reakcja obronna wymaga podobnych działań. Chodzi o wykorzystanie uczenia maszynowego i sztucznej inteligencji do analizy zachowań i wykrywania anomalii w chronionej infrastrukturze zamiast polegania na tradycyjnych zabezpieczeniach opartych na statycznych regułach i sygnaturach.

Złożoność i wpływ operacji Muddled Libra sygnalizują szerszą transformację w cyberprzestępczości. Ich sukces w zakresie inżynierii społecznej i ataków opartych na chmurze tworzy wzór, który inne podmioty stanowiące zagrożenie nieuchronnie przyjmą i dostosują. Organizacje, które chcą się skutecznie przed tym bronić, muszą kompleksowo zająć się zarówno słabościami technicznymi, jak i edukacją pracowników na każdym szczeblu – od szeregowego pracownika po CEO. Warto także zwrócić uwagę, że skuteczne zwalczanie cyberataków zależy również od kultury organizacyjnej firmy, jej odporności i zdolności reagowania na kryzysy oraz od efektywnego wdrożenia i utrzymania poszczególnych technologii zabezpieczających. Biorąc pod uwagę narastający problem firm z zatrudnieniem specjalistów IT, coraz większego znaczenia w efektywnej ochronie przed zagrożeniami nabiera platformowe podejście do budowy systemów bezpieczeństwa, wykorzystanie automatyzacji i sztucznej inteligencji.