Το αγγλόφωνο κυβερνοεγκληματικό οικοσύστημα, κοινώς γνωστό ως “The COM”, έχει μετατραπεί από μια εξειδικευμένη κοινότητα εμπόρων λογαριασμών μέσων κοινωνικής δικτύωσης σε μια εξελιγμένη, οργανωμένη επιχείρηση που τροφοδοτεί μερικές από τις πιο επιβλαβείς κυβερνοεπιθέσεις στον κόσμο.
Αυτό που ξεκίνησε ως απλά φόρουμ για την εμπορία σπάνιων λαβών μέσων κοινωνικής δικτύωσης έχει εξελιχθεί σε μια επαγγελματική εγκληματική αγορά με γνώμονα τις υπηρεσίες που στοχεύει πολυεθνικές εταιρείες, κυβερνητικούς φορείς και κρίσιμες υποδομές σε όλο τον κόσμο.
Η ανάπτυξη του COM επιταχύνθηκε κατά τη διάρκεια της έκρηξης των κρυπτονομισμάτων μεταξύ 2020 και 2021, όταν οι εγκληματίες του κυβερνοχώρου άλλαξαν την εστίασή τους από την κλοπή λογαριασμών στα μέσα κοινωνικής δικτύωσης στην εξάντληση ψηφιακών πορτοφολιών που περιέχουν εκατομμύρια δολάρια.
Αυτή η αλλαγή εισήγαγε νέες μεθόδους επίθεσης και στρατηγικές δημιουργίας εσόδων που άλλαξαν θεμελιωδώς το τοπίο του εγκλήματος στον κυβερνοχώρο.
Το οικοσύστημα λειτουργεί πλέον ως μια ολοκληρωμένη αλυσίδα εφοδιασμού όπου εξειδικευμένοι ρόλοι συνεργάζονται άψογα για την εκτέλεση συντονισμένων επιθέσεων.
Αναλυτές ασφαλείας CloudSEK αναγνωρισθείς ότι η λειτουργική δομή του COM αντικατοπτρίζει νόμιμα επιχειρηματικά μοντέλα.
Διαφορετικοί παράγοντες απειλών ειδικεύονται σε συγκεκριμένους ρόλους—μερικοί χειρίζονται την κοινωνική μηχανική μέσω κλήσεων vishing, άλλοι διαχειρίζονται την κλοπή διαπιστευτηρίων και εξειδικευμένες ομάδες χειρίζονται την εκκένωση δεδομένων και το ξέπλυμα χρήματος.
Αυτή η εξειδίκευση επιτρέπει στις εγκληματικές επιχειρήσεις να κλιμακώνονται γρήγορα ενώ κατανέμεται ο κίνδυνος σε πολλούς ανεξάρτητους παράγοντες.
Η εμφάνιση ομάδων όπως το Lapsus$ και το ShinyHunters απέδειξε την εξέλιξη του The COM σε θεατρικές λειτουργίες με γνώμονα τη δημοσιότητα.
Το Lapsus$ έγινε διαβόητο για την παραβίαση μεγάλων εταιρειών τεχνολογίας, συμπεριλαμβανομένων των NVIDIA, Samsung και Microsoft, χειραγωγώντας το προσωπικό υποστήριξης πελατών μέσω της κοινωνικής μηχανικής.
Η ομάδα πρωτοστάτησε σε μια προσέγγιση «διαρροής και καυχησιολογίας», χλευάζοντας δημόσια τα θύματα και τις αρχές επιβολής του νόμου, ενώ απειλούσε τη δημοσιοποίηση δεδομένων για την επιτάχυνση των πληρωμών για λύτρα.
Ο Μηχανισμός Επίθεσης: Στοχεύοντας την Ανθρώπινη Περίμετρο
Οι ερευνητές ασφαλείας του CloudSEK σημείωσαν ότι το πιο αποτελεσματικό όπλο του COM είναι η κοινωνική μηχανική και όχι τα τεχνικά κατορθώματα.
Ο κύριος φορέας μόλυνσης περιλαμβάνει ανθρώπινη χειραγώγηση μέσω πληρωμάτων vishing που υποδύονται το προσωπικό υποστήριξης IT, τους παρόχους τηλεπικοινωνιών ή το προσωπικό του εταιρικού γραφείου υποστήριξης.
Αυτοί οι χειριστές εξαπατούν τους υπαλλήλους να αποκαλύψουν διαπιστευτήρια, να εγκρίνουν απομακρυσμένη πρόσβαση ή να εκτελέσουν εντολές συστήματος που επιτρέπουν στους εισβολείς να εισέλθουν στα εταιρικά δίκτυα.
Η τεχνική λειτουργεί μέσω μιας απλής αρχής: ο συμβιβασμός ενός ατόμου είναι ευκολότερος από τον συμβιβασμό μιας συσκευής. Οι επιτιθέμενοι χρησιμοποιούν λεπτομερές προφίλ θυμάτων που συλλέγονται μέσω πληροφοριών ανοιχτού κώδικα και παραβιασμένων δεδομένων, επιτρέποντας εξαιρετικά στοχευμένες καμπάνιες.
Μόλις εισέλθουν στα δίκτυα, οι εισβολείς αξιοποιούν νόμιμα εργαλεία όπως το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας και τις υπηρεσίες cloud για να μετακινηθούν πλευρικά, αποφεύγοντας τον εντοπισμό συνδυάζοντας με την κανονική κίνηση διαχείρισης.
Αυτή η προσέγγιση έχει αποδειχθεί καταστροφικά αποτελεσματική ακόμη και σε οργανισμούς με προηγμένη υποδομή ασφάλειας, καθιστώντας τα μέτρα ασφαλείας που εστιάζονται στον άνθρωπο όλο και πιο κρίσιμα για τις στρατηγικές άμυνας των επιχειρήσεων που προχωρούν.
