Cyberprzestępcy mogą sprzedawać przepustowość sieci bez wiedzy ofiary

02-09-2021, 15:08

Platformy umożliwiające dzielenie się ruchem sieciowym zwane „proxyware”, takie jak Honeygain, IPRoyal Pawns, Nanowire, Peer2Profit czy PacketStream są coraz częściej wykorzystywane przez cyberprzestępców do zarabiania na atakach. Uzyskany nielegalnie dostęp do sieci pozwala cyberprzestępcom zatrzeć ślady prowadzące do źródeł ataków. Wszelkie działania prowadzone z wykorzystaniem skradzionej przepustowości są ukryte pod adresem IP ofiary.

Platformy „proxyware” umożliwiają udostępnienie części przepustowości sieci innym użytkownikom. Oczywiście za opłatą. Z tego rozwiązania korzystają m.in. firmy marketingowe testujące kampanie online w różnych regionach geograficznych. Z kolei użytkownicy prywatni mogą w ten sposób obejść ograniczenia wynikające z braku dostępu np. do serwisów streamingowych czy platform gamingowych w określonym kraju. Wykorzystują oni sieć z miejsca, gdzie usługa działa, nie ruszając się z fotela. Wraz ze wzrostem popularności tego rozwiązania, zainteresowali się nim również cyberprzestępcy, którzy zaczęli wykorzystywać je w kampaniach malware. Najbardziej oczywistym rodzajem ataku jest przejęcie przepustowości bez wiedzy użytkownika np. na potrzeby kopania kryptowalut. 

Skala zjawiska jakim jest nielegalne wykorzystanie „proxyware” staje się coraz większa. Ma to związek ze wzrostem popularności samego narzędzia. Potwierdzają to niedawno opublikowano dane dotyczące Honeygain, jednej z najpopularniejszych platform proxyware, pochodzące z „2021 User Experience and Awareness Survey”. W tegorocznej edycji badania wzięło udział, aż 250 tys. użytkowników narzędzia. To ponad 16 razy więcej niż w 2020 r. 

 

Dostawca rozwiązań informatycznych Sebitu

Nowy rodzaj ataków to nowe wyzwania dla zespołów IT

Wykorzystanie „proxyware” to nowy trend, ale jak podkreślają specjaliści Cisco Talos, o ogromnym potencjale rozwoju. Uzyskany nielegalnie dostęp do sieci pozwala cyberprzestępcom zatrzeć ślady prowadzące do źródeł ataków. Wszelkie działania prowadzone z wykorzystaniem skradzionej przepustowości są ukryte pod adresem IP ofiary. Dzięki temu wydaje się, że pochodzą one z sieci godnych zaufania, co usypia czujność specjalistów ds. cyberbezpieczeństwa i utrudnia dostosowanie konwencjonalnych systemów bezpieczeństwa, które analizują m.in. listę zablokowanych adresów IP. 

Nowe formy ataków wiążą się z nowymi wyzwaniami dla specjalistów ds. bezpieczeństwa, w szczególności w tych organizacjach gdzie dostęp do Internetu jest ograniczony lub sieć jest oznaczona jako „domowa”. Eksperci Cisco podkreślają, że istnieją także platformy, które umożliwiają dzielenie się ruchem sieciowym wprost z centrum danych. Dlatego warto, aby organizacje rozważyły wprowadzenie zakazu korzystania z platform typu „proxyware” w pracy. Punkty końcowe nie powinny nawiązywać połączenia z sieciami za ich pośrednictwem. Specjaliści Cisco Talos rekomendują wdrożenie kompleksowych mechanizmów zapewniających bezpieczne logowanie i dystrybuujących alerty, aby zapewnić efektywne lokalizowanie i odpowiadanie na przypadki prób połączenia z „proxyware”, gdyż może to świadczyć o tym, że doszło do ataku. 

Więcej informacji na blogu Cisco Talos >>


Przepisy na coś słodkiego z kremem Nutella
Tematy pokrewne:  

tag proxywaretag proxytag Cisco Talostag ataki
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy