Will Lyne, szef cybernetyki w National Crime Agency, przemawia na konferencji Infosecurity Europe w tym tygodniu na temat cyberprzestępczości. Mówi się, że oprogramowanie ransomware i inne odmiany cyberataku na społeczeństwo są utowarowani poza tradycyjnym pochodzeniem rosyjskich koderów ekspertów.
Lyne pracuje w organach ścigania od ponad 15 lat. W latach 2011–2013 pracował w Afganistanie, przeprowadzając dochodzenia w sprawie przeciwdziałania narkotykom z partnerami lokalnymi, wojskowymi i międzynarodowymi, zanim dołączył do krajowej jednostki ds. Cyberprzestępczości w 2013 r.. Został przydzielony do działu cybernetycznego FBI w Waszyngtonie w latach 2016–2020.
Odgrywał wiodącą rolę w głośnych przypadkach, w tym zakłóceń Evelcorp Cyberprzestępczość i Operacja destabilizujektóry zakłócił wielomiliardową globalną rosyjską sieć nielegalnych finansów.
Lyne pracuje obecnie nad doktoratem na University of Cambridge Institute of Criminology, koncentrując się na ekosystemie, który generuje oprogramowanie ransomware.
W wywiadzie przed InfoSec powiedział, że Ransomware jest zagrożeniem cyberprzestępczością o najwyższym priorytecie dla Wielkiej Brytanii i przeszło od „Niszowego problemu cyberprzestępczości pod koniec 2010 roku do problemu bezpieczeństwa narodowego.
„W 2021 r. Mieliśmy naprawdę znaczące ataki, takie jak atak ransomware Rurociąg kolonialny– powiedziała Lyne – „To naprawdę wyniosło oprogramowanie ransomware i sprawiło, że było go szersze”.
W InfoSec mówi na panelu o nazwie Ransomware 3.0: Jak atakujący zmieniają swoje myślenieobok Jeremy Banks, wiceprzewodniczącego zespołu cyberprzestępczości NPCC w National Police Chiefs Council; Magnus Jelen, główny dyrektor reagowania na incydenty w Wielkiej Brytanii i EMEA w Coveware autorstwa Veeam; oraz Jen Ellis, założyciel NextJensecurity.
Ekosystem oprogramowania ransomware
Co oznacza „ekosystem” w kontekście oprogramowania ransomware? Lyne powiedział, że uważa, że oprogramowanie ransomware za produkt lub objaw ekosystemu cyberprzestępczości, który najlepiej jest zrozumieć jako zbiór poszczególnych aktorów zagrożenia i możliwości technicznych, które są dostępne w Internecie, i które łączą się i wchodzą w interakcje w celu tworzenia kroków cyberprzestępczości.
„Ekosystem umożliwia cyberprzestępczość” – powiedział. „Oprogramowanie ransomware jest najbardziej zgubne z zagrożeniami cyberprzestępcznymi i najbardziej znaczące, na które patrzymy w tej chwili. Jest to nasze prioryteczne zagrożenie cyberprzestępczością w ramach krajowej jednostki ds. Cyberprzestępczości. Jest to kwestia bezpieczeństwa narodowego i myślę, że nadal będzie naszym najwyższym priorytetem.”
Powiedział, że szkoda jest dla społeczeństwa i jest nie tylko finansowa, ale psychologiczna, społeczna i ekonomiczna. „To jest jak narkotyki – szkoda nie tylko dla osób biorących ich” – powiedziała Lyne.
Powiedział Rozproszony pająk Cyberprzestępczość, która wydaje się być za niedawnymi atakami ataków na sprzedawców detalicznych, w szczególności Marks & Spencer, jest interesująca jako instancja obecnych trendów. To nie jest grupa rosyjskojęzyczna, ale anglojęzyczna i najprawdopodobniej obsadzona przez młodych mężczyzn w wieku nastolatków i 20 lat, bez potrzeby zaawansowanych umiejętności kodowania komputerowego. To nastolatki.
„Widzimy niższe bariery wejścia [to cyber crime]z obniżonymi kosztami zakupów i umiejętnościami językowymi potrzebnymi do wejścia ”-powiedziała Lyne-„ Tradycyjnie musiałbyś być rosyjskim, z reputacją w ekosystemie, umiejętności kodowania i tak dalej ”.
Powiedział też, że ta demokratyzacja cyberprzestępczości do wzrostu generatywnej sztucznej inteligencji. „Chociaż 10 lat temu możesz kupić jakieś możliwości cybernetyczne i narzędzia online, teraz możesz uzyskać potężniejsze – jest tańsze i łatwiejsze” – powiedziała Lyne. „Wymagane oprzyrządowanie jest teraz bardziej dostępne, więc otwiera pole na nierosyjskie grupy kryminalne. Widzimy, jak miejscowi dojrzewa i poruszają się do Rosji niż Rosja. Rozproszony pająk jest tego objawem”.
Ale nawet tradycyjne rosyjskie grupy cyberprzestępczości nie są jak hierarchiczne operacje mafijne sycylijskie. Powiedział, że bardziej przypominają luźno zarządzane startupy technologiczne niż dobrze prowadzone, duże firmy IT. „EvelCorp miał dobrze rozumianą hierarchię, ale większość nie”-dodała Lyne. „Działają z„ minimalnym opłacalnym produktem ”, aby zarobić pieniądze, które chcą”.
Niemniej jednak zagrożenie ransomware ewoluuje.
„Mieliśmy oprogramowanie ransomware towarowe, a potem miałeś oprogramowanie ransomware, a podwójne wymuszenie pojawiło się w miejscu, w którym kradną poufne dane od ofiar, a następnie wykorzystują je jako dodatkową dźwignię”-powiedział. „Coraz częściej widzimy wymuszenie bez szyfrowania, w których grupy po prostu kradają dane od ofiar i wymuszają je.
„Widzimy również przesunięcie aktorów zagrożenia od wykorzystywania dużych scentralizowanych platform, dużych rynków, w których chodzą i uzyskują poświadczenia dla potencjalnych ofiar, podczas gdy widzimy, jak wiele z tych interakcji przeznacza się na bardziej handel peer-to-peer w ekosystemie”-dodała Lyne.
Zakończył wywiad przed konferencją z Computer Weekly z apelacją do specjalistów ds. Bezpieczeństwa informacji, aby rozważyli dołączenie do krajowej agencji przestępczej.
„Uwielbiam tę pracę” – powiedziała Lyne. „Tak, stoimy w obliczu złych kolesi, ale zapewnia to motywację z powodu szkody, jaką wyrządzają wrażliwym członkom społeczeństwa. Możemy coś zmienić dla społeczności w górę i w dół kraju. To trudna praca. Grupy te trudno jest zapewnić wpływowe operacje.
„Nie możemy tego zrobić w izolacji” – dodał. „Z zagrożeniem narkotyków wiemy wiele, skąd narkotyki są uprawiane, do tego, kim są dealerzy na ulicy. Przy cyberprzestępczości istnieje ogromna wiedza w sektorze prywatnym i akademickim. Zakłócenie blokady i Evil Corp istniał kalejdoskop krajowych i międzynarodowych partnerów organów ścigania, aby to dostarczyć.
„Bardzo dobrze współpracujemy w sektorze publicznym, z naszymi partnerami w zakresie policji lub partnerów w całym rządzie – lepiej niż kiedykolwiek – zarówno na szczeblu krajowym, jak i międzynarodowym” – powiedziała Lyne. „Ale lepiej współpracujemy również z sektorem prywatnym niż kiedykolwiek, a to jest naprawdę ważne dla nas, aby móc robić to, co robimy. To ważna praca”.