Cyberprzestępcy mogą monetyzować przepustowość sieci bez wiedzy użytkowników

Cyberprzestępcy znajdują nowe sposoby, aby zarabiać na atakach. Jak podaje Cisco Talos, coraz częściej robią to z wykorzystaniem platform umożliwiających dzielenie się ruchem sieciowym zwane „proxyware”, takie jak Honeygain, IPRoyal Pawns, Nanowire, Peer2Profit czy PacketStream. W niepowołanych rękach umożliwiają one wykorzystanie przepustowości sieci użytkowników bez ich wiedzy, działając w tle na zainfekowanym urządzeniu. W niektórych przypadkach cyberprzestępcy wyłączają alerty bezpieczeństwa, które mogłyby ostrzec zaatakowanego użytkownika.

Platformy „proxyware” umożliwiają udostępnienie części przepustowości sieci innym użytkownikom. Oczywiście za opłatą. Z tego rozwiązania korzystają m.in. firmy marketingowe testujące kampanie online w różnych regionach geograficznych. Z kolei użytkownicy prywatni mogą w ten sposób obejść ograniczenia wynikające z braku dostępu np. do serwisów streamingowych czy platform gamingowych w określonym kraju. Wykorzystują oni sieć z miejsca, gdzie usługa działa, nie ruszając się z fotela. Wraz ze wzrostem popularności tego rozwiązania, zainteresowali się nim również cyberprzestępcy, którzy zaczęli wykorzystywać je w kampaniach malware. Najbardziej oczywistym rodzajem ataku jest przejęcie przepustowości bez wiedzy użytkownika np. na potrzeby kopania kryptowalut.

Skala zjawiska, jakim jest nielegalne wykorzystanie „proxyware”, staje się coraz większa. Ma to związek ze wzrostem popularności samego narzędzia. Potwierdzają to niedawno opublikowane dane dotyczące Honeygain, jednej z najpopularniejszych platform proxyware, pochodzące z „2021 User Experience and Awareness Survey”. W tegorocznej edycji badania wzięło udział, aż 250 tys. użytkowników narzędzia. To ponad 16 razy więcej niż w 2020 r.

Nowy rodzaj ataków to nowe wyzwania dla zespołów IT

Wykorzystanie „proxyware” to nowy trend, ale jak podkreślają specjaliści Cisco Talos, o ogromnym potencjale rozwoju. Uzyskany nielegalnie dostęp do sieci pozwala cyberprzestępcom zatrzeć ślady prowadzące do źródeł ataków. Wszelkie działania prowadzone z wykorzystaniem skradzionej przepustowości są ukryte pod adresem IP ofiary. Dzięki temu wydaje się, że pochodzą one z sieci godnych zaufania, co usypia czujność specjalistów ds. cyberbezpieczeństwa i utrudnia dostosowanie konwencjonalnych systemów bezpieczeństwa, które analizują m.in. listę zablokowanych adresów IP.

Nowe formy ataków wiążą się z nowymi wyzwaniami dla specjalistów ds. bezpieczeństwa, w szczególności w tych organizacjach, gdzie dostęp do Internetu jest ograniczony lub sieć jest oznaczona jako „domowa”. Eksperci Cisco podkreślają, że istnieją także platformy, które umożliwiają dzielenie się ruchem sieciowym wprost z centrum danych. Dlatego warto, aby organizacje rozważyły wprowadzenie zakazu korzystania z platform typu „proxyware” w pracy. Punkty końcowe nie powinny nawiązywać połączenia z sieciami za ich pośrednictwem. Specjaliści Cisco Talos rekomendują wdrożenie kompleksowych mechanizmów zapewniających bezpieczne logowanie i dystrybuujących alerty, aby zapewnić efektywne lokalizowanie i odpowiadanie na przypadki prób połączenia z „proxyware”, gdyż może to świadczyć o tym, że doszło do ataku.