Trend Micro paljastaa tehokkaimmat keinot alamaailman palvelutarjoajien liiketoiminnan häiritsemiseen

Uhkien korreloiminen ja näkyvyys heikentävät verkkorikollisten toiminnan kannattavuutta

Trend Micro julkaisi tänään uuden tutkimuksen, jossa esitellään keskeisiä tapoja laittomalla ja harmaalla vyöhykkeellä toimivien alamaailman palvelutarjoajien tunnistamiseksi ja häiritsemiseksi. Tutkijat hahmottelevat selvityksessään alamaailman palveluja käyttävien tahojen menetelmiä ja toimintatapoja, jotta yritysten tietoturvavastaavat ja viranomaiset voivat tehokkaimmin tunnistaa ja puolustautua verkkorikollisilta sekä häiritä niiden toimintaa.

Verkkorikollisilta puolustautumisen ytimessä on näiden toiminnan, tavoitteiden ja liiketoimintamallien ymmärtäminen. Vasta sen jälkeen on mahdollista aloittaa alamaailman bulletproof hosting (BPH) -palvelutarjoajien toiminnan häiritseminen ja alasajo. Nämä monipuolisia verkkopalveluja tarjoavat toimijat eivät valvo palvelintensa sisältöä tai käyttötarkoitusta. Asiakkaiden toimintaa ei kyseenalaisteta eikä heidän tietojaan paljasteta viranomaisille. Suurin osa maailmanlaajuisesta kyberrikollisuudesta käyttääkin bulletproof hosting -yritysten palveluja hämärätoimiinsa. Osa palvelutarjoajista käyttää kaupallisia tai jopa omia palvelinkeskuksia, mutta osa tunkeutuu haavoittuviin yritysverkkoihin ja perustaa niiden uumeniin luvattomia palvelimiaan omien asiakkaidensa käyttöön.

”Yhä useammilla organisaatioilla on nykyään SOC- ja XDR-kyvykkyydet, joiden ansiosta niiden turvallisuudesta vastaavat osastot voivat toimia myös tutkijoina”, kertoo Kalle Salminen, Trend Micron kyberturva-asiantuntija. ”Yritysten ja organisaatioiden onkin syytä ymmärtää verkkorikollisten toimintaa ja heidän kehittyneitä toimintatapojaan, jotta heiltä voi suojautua tehokkaasti. Toivomme, että tämä tutkimus auttaa organisaatioita ymmärtämään verkkorikollisten toimintatapoja ja ajatusmaailmaa, jotta he voivat käyttää tehokkaita vastatoimia ja iskeä näitä sinne missä se eniten tuntuu – lompakkoon.”

Alamaailman bulletproof hosting -palvelut ovat verkkorikollisten infrastruktuurin ytimessä, minkä myötä niiden ympärille on luotu kehittyneet toiminta- ja liiketoimintamallit, jotka kestävät hyvin yritysten, organisaatioiden ja viranomaisten vastatoimia. Verkkorikolliset tarjoavat palvelujaan ketterästi ja ammattimaisesti vastatakseen asiakkaidensa monipuolisiin tarpeisiin.

Raportissa kuvataan useita tehokkaita menetelmiä, joiden avulla tutkijat voivat tunnistaa alamaailman palvelutarjoajat:

• Tunnista julkisilla kieltolistoilla olevat IP-osoitealueet tai ne, joista on tehty runsaasti julkisia väärinkäyttöilmoituksia. Nämä voivat olla merkki aktiivisesti toimivasta BPH-palvelusta.
• Analysoi järjestelmän autonomista käyttäytymistä ja peering-informaatiota havaitaksesi epänormaali, mahdollisesti BPH:n liittyvä toiminta.
• Kun olet havainnut BPH palvelimen, käytä konepohjaista sormenjälkitunnistusta havaitaksesi muut saman alamaailman palveluntarjoajan luomat BPH-palvelut.

Raportti kertoo myös useista erilaisista tavoista laittomien palvelutarjoajien häiritsemiseksi ilman, että viranomaisten tai yritysten tarvitsee edes tunnistaa tai sammuttaa näiden palvelimia. Näitä ovat muun muassa:

• Lähetä dokumentoidut väärinkäyttöilmoitukset myös epäilyksenalaiselle palvelutarjoajalle, verkko-operaattorille ja muille saman verkon toimijoille.
• Lisää BPH-palvelinten verkko-osoitetiedot tunnetuille kieltolistoille.
• Kasvata BPH:n toiminnan kustannuksia, joka heikentää heidän liiketoiminnan kannattavuutta.
• Heikennä BPH:n nauttimaa luottamusta verkkorikollisten keskuudessa kyseenalaistamalle palvelun luotettavuutta.

Lisätietoja Trend Micron raportissa, jonka voit lukea ja ladata täältä.