Ny rapport tipsar om hur företag kan upptäcka och störa kriminella värdtjänster

Visibilitet och att spåra samband mellan hoten är effektiva verktyg för att göra cyberkriminalitet olönsamt

Trend Micro presenterar idag en rapport med tips till företag hur de kan identifiera och störa kriminell verksamhet på marknaden för värdtjänster, på engelska kallad hosting. Rapporten kartlägger de strategier och den infrastruktur som byggts för värdtjänster som möjliggör cyberkriminell verksamhet. Detta för att hjälpa IT-säkerhetsteam och brottsbekämpande organ upptäcka, försvara sig mot och störa grupperna bakom dessa tjänster.

Nyckeln till att komma åt och lösa upp kriminella grupper är att förstå dem, deras affärsmodeller och vad som motiverar dem. Samtidigt behöver vi bekämpa industrin för så kallade bulletproof-värdar, på vilken majoriteten av den globala cyberkriminaliteten är uppbyggd. En bulletproof-värd är en värdtjänst som tillåter aktiviteter som vanligtvis inte tillåts av legitima värdleverantörer, så som skadlig kod, begränsat innehåll, stulet material och liknande. Dessa värdar kommer antingen att ignorera anmälningar om missbruk, eller ge en tidig varning till kunderna om anmälningar så att de har tid att anpassa sin verksamhet. I vissa fall erbjuder de även ytterligare tjänster, till exempel möjligheten för cyberkriminella att dölja sin identitet för eventuella utredare.

 – Allt fler företag idag har ett säkerhetscenter och möjligheten till att jobba med detection-and-response (XDR) vilket gör att säkerhetsteam idag kan undersöka och utreda händelser i större utsträckning än tidigare, säger Johnny Krogsboll, Technical Director Nordics på Trend Micro. På den här komplexitetsnivån måste du förstå hur cyberbrottslingar arbetar för att strategiskt kunna försvara företaget mot angripare. 

Bulletproof-värdar (BPH) kan ses som roten i den cyberkriminella infrastrukturen och använder därför sofistikerade affärsmodeller för att överleva insatser för att ta ner dem. De är till exempel ofta flexibla och professionella, och erbjuder en lång rad av tjänster för att tillgodose sina (kriminella) kunders behov.

– Vi hoppas att denna rapport ger värdefull insyn i hur cyberkriminell verksamhet är uppbyggd, och att företag kan använda sig av rapporten för att störa och förhindra bulletproof-värdar så de inte längre kan tjäna pengar på dessa kriminella aktiviteter, säger Johnny Krogsboll.

Den nya rapporten ger exempel på flera effektiva metoder för att hjälpa utredare att identifiera dessa värdar, däribland:

• Identifiera vilka block av IP-nummer som finns på offentliga svartlistor, eller kan knytas till ett stort antal anmälningar om överträdelser, då detta indikerar en bulletproof-värd.
• Analysera beteendet hos autonoma system och liknande informationsmönster för att kunna flagga aktivitet som sannolikt förknippas med bulletpoof-värdar.
• När en värd har upptäckts, använd signaturinsamling för att upptäcka andra som kan vara länkade till samma leverantör.

Rapporten ger även exempel på metoder för brottsbekämpande myndigheter och företag hur de kan störa underjordiska värdar, utan att behöva identifieras eller ta ner sina servrar. Bland dessa tips finns bland annat:

• Skicka in korrekt dokumenterade anmälningar om missbruk till den misstänkta värden och leverantörer uppströms.
• Lägg upp bulletproof-värdarnas IP-nummer på väletablerade och offentliga svartlistor
• Öka driftskostnaderna för värden, genom att störa och försvåra verksamheten.
• Förstör bulletproof-värdens rykte i den cyberkriminella världen, kanske via hemliga konton där ni ifrågasätter säkerheten hos den kriminella värdleverantören, eller tar upp eventuellt samarbete med myndigheter.

För att läsa rapporten i sin helhet, ladda ner den nedan eller se här.