Περίληψη άρθρου:

Οι υπηρεσίες επιβολής του νόμου χρησιμοποιούν ψυχολογικές τακτικές για να διαταράξουν τις συμμορίες ransomware, στο στόχαστρο βρίσκονται οι ρώσοι εγκληματίες που έχουν προκαλέσει σημαντικές οικονομικές απώλειες. Υπονομεύοντας την εμπιστοσύνη των εγκληματιών και με τη χρήση εξατομικευμένων μηνυμάτων, η αστυνομία στοχεύει να επιβραδύνει τις δραστηριότητές τους και να δημιουργήσει διαφωνία στα εγκληματικά δίκτυα. Αυτές οι ψυχολογικές προσπάθειες έχουν επιτύχει να επηρεάσουν τις εγκληματικές επιχειρήσεις, οδηγώντας σε συλλήψεις και κυρώσεις. Επιπλέον, οι ερευνητές διερευνούν τρόπους για να εκμεταλλευτούν τις ανθρώπινες αδυναμίες των επιτιθέμενων μέσω της ψυχολογίας προκειμένου να ενισχύσουν τις άμυνες της ασφάλειας στον κυβερνοχώρο και να αποτρέψουν αποτελεσματικά τις δραστηριότητες του εγκλήματος στον κυβερνοχώρο.

 

Κύρια σημεία του άρθρου:

  • Οι υπηρεσίες επιβολής του νόμου χρησιμοποιούν ψυχολογικές τακτικές για να διαταράξουν τις συμμορίες ransomware, στοχεύοντας στους Ρώσους εγκληματίες που έχουν προκαλέσει οικονομικές απώλειες.
  • Η αστυνομία στοχεύει να επιβραδύνει τις εγκληματικές δραστηριότητες και να δημιουργήσει διαφωνία σε εγκληματικές οργανώσεις υπονομεύοντας την εμπιστοσύνη των κακοποιών με εξατομικευμένα μηνύματα.
  • Αυτές οι προσπάθειες κατάφεραν να επηρεάσουν τις επιχειρήσεις των εγκληματιών, οδηγώντας σε συλλήψεις και κυρώσεις.
  • Οι ερευνητές διερευνούν τρόπους για να εκμεταλλευτούν τις ανθρώπινες αδυναμίες των επιτιθέμενων μέσω της ψυχολογίας προκειμένου  να ενισχύσουν τις άμυνες ασφάλειας στον κυβερνοχώρο και να αποτρέψουν αποτελεσματικά τις δραστηριότητες στον κυβερνοχώρο.
  • Ανάγκη των εγκληματιών για αναγνώριση τους οδηγεί σε λάθη.
  • Δίνονται στο ευρύ κοινό τα στοιχεία των χάκερ.

 

Αναλυτικά το άρθρο:

Η αστυνομία χρησιμοποιεί διακριτικές ψυχολογικές επιχειρήσεις εναντίον συμμοριών ransomware για να σπείρει διχόνοια στις τάξεις τους - και να τις ξεγελάσει ώστε να βγουν από τις σκιές.

Οι Ρώσοι εγκληματίες του κυβερνοχώρου είναι σχεδόν ανέγγιχτοι. Εδώ και χρόνια, οι χάκερς που εδρεύουν στη χώρα εξαπολύουν καταστροφικές επιθέσεις ransomware εναντίον νοσοκομείων, κρίσιμων υποδομών και επιχειρήσεων, προκαλώντας απώλειες δισεκατομμυρίων. Ωστόσο, είναι εκτός της εμβέλειας των δυτικών αστυνομικών δυνάμεων και αγνοούνται σε μεγάλο βαθμό από τις ρωσικές αρχές. Όταν η αστυνομία θέτει εκτός λειτουργίας τους διακομιστές και τους ιστότοπους των εγκληματιών, συχνά επιστρέφουν στο hacking μέσα σε λίγες εβδομάδες.

Τώρα οι ερευνητές προσθέτουν ολοένα και περισσότερο μια νέα διάσταση στους τρόπους διακοπής των δραστηριοτήτων τους: να μπλέκουν με το μυαλό των εγκληματιών του κυβερνοχώρου. Για να το θέσουμε ωμά, τρολάρουν τους χάκερ.

Τους τελευταίους μήνες, οι δυτικοί αξιωματούχοι επιβολής του νόμου έχουν στραφεί σε ψυχολογικά μέτρα ως έναν πρόσθετο τρόπο για να επιβραδύνουν τους Ρώσους χάκερ και να φτάσουν στην καρδιά του εκτεταμένου οικοσυστήματος του κυβερνοεγκλήματος. Αυτές οι εκκολαπτόμενες ψυχολογικές προσπάθειες περιλαμβάνουν ενέργειες για τη διάβρωση της περιορισμένης εμπιστοσύνης που έχουν οι εγκληματίες μεταξύ τους, σπρώχνοντας ανεπαίσθητες σφήνες μεταξύ των εύθραυστων εγωισμών των χάκερ και στέλνοντας στους παραβάτες εξατομικευμένα μηνύματα που δείχνουν ότι παρακολουθούνται.

«Δεν πρόκειται ποτέ να φτάσουμε στον πυρήνα αυτών των οργανωμένων εγκληματικών συμμοριών, αλλά αν μπορούμε να ελαχιστοποιήσουμε τον αντίκτυπο που έχουν μειώνοντας την ικανότητά τους να κλιμακώνονται, τότε αυτό είναι καλό», λέει ο Don Smith, αντιπρόεδρος έρευνας απειλών στην εταιρεία ασφάλειας Secureworks. «Όλα αυτά τα μικρά πράγματα, τα οποία από μόνα τους μπορεί να μην αποτελούν δολοφονικό χτύπημα, προσθέτουν τριβή», λέει. «Μπορείτε να αναζητήσετε ρωγμές, να τις ενισχύσετε και να δημιουργήσετε περαιτέρω διχόνοια και δυσπιστία, ώστε να επιβραδύνεται αυτό που κάνουν οι κακοί».

Πάρτε την επιχείρηση Cronos. Τον Φεβρουάριο, μια παγκόσμια επιχείρηση επιβολής του νόμου, με επικεφαλής την Εθνική Υπηρεσία Εγκλήματος (NCA) του Ηνωμένου Βασιλείου, διείσδυσε στην ομάδα LockBit ransomware, η οποία σύμφωνα με τις αρχές έχει αποσπάσει περισσότερα από 500 εκατομμύρια δολάρια από τα θύματα της, και έθεσε εκτός λειτουργίας τα συστήματά της. Οι ερευνητές της NCA επανασχεδίασαν τον ιστότοπο διαρροής της LockBit, όπου δημοσίευε τα κλεμμένα δεδομένα των θυμάτων της, και χρησιμοποίησαν τον ιστότοπο για να δημοσιεύσουν τις εσωτερικές λειτουργίες της LockBit.

Επιδεικνύοντας τον έλεγχο και τα δεδομένα που είχαν, οι διωκτικές αρχές δημοσίευσαν εικόνες του συστήματος διαχείρισης της LockBit και εσωτερικές συνομιλίες. Οι ερευνητές δημοσίευσαν επίσης τα ονόματα χρηστών και τα στοιχεία σύνδεσης 194 «συνεργαζόμενων» μελών της LockBit. Επίσης τον Μάιο δώθηκαν και τα επώνυμα των μελών.

Η επιχείρηση αστυνόμευσης προκάλεσε επίσης την αποκάλυψη του «LockBitSupp», του εγκέφαλου πίσω από την ομάδα, και δήλωσαν ότι «συνεργάστηκαν» με τις διωκτικές αρχές. Ο Ρώσος υπήκοος Dmitry Yuryevich Khoroshev κατηγορήθηκε για τη λειτουργία του LockBit τον Μάιο, μετά τη δημοσίευση ενός ρολογιού αντίστροφης μέτρησης πολλών ημερών στον κατασχεθέντα ιστότοπο του LockBit και τολμηρών γραφικών που τον κατονόμαζαν ως οργανωτή της ομάδας.

«Η LockBit υπερηφανευόταν για το εμπορικό σήμα και την ανωνυμία της, εκτιμώντας αυτά τα πράγματα πάνω από οτιδήποτε άλλο», λέει ο Paul Foster, διευθυντής της διεύθυνσης ηγεσίας απειλών στην NCA. «Η επιχείρησή μας κατέρριψε αυτή την ανωνυμία και υπονόμευσε πλήρως το εμπορικό σήμα, απομακρύνοντας τους εγκληματίες του κυβερνοχώρου από τη χρήση των υπηρεσιών τους». Η NCA λέει ότι εξέτασε προσεκτικά την επιχείρηση, με τις προσπάθειές της να ανακατασκευάσει τον ιστότοπο της LockBit να οδηγούν στην ευρεία διακωμώδηση της ομάδας στο διαδίκτυο και να καθιστούν το εμπορικό σήμα της «τοξικό» για τους εγκληματίες του κυβερνοχώρου που είχαν συνεργαστεί μαζί της.

«Αναγνωρίσαμε ότι μια τεχνική διαταραχή από μόνη της δεν θα κατέστρεφε απαραίτητα τη LockBit, επομένως η πρόσθετη διείσδυση και ο έλεγχός μας, παράλληλα με τις συλλήψεις και τις κυρώσεις σε συνεργασία με τους διεθνείς εταίρους μας, ενίσχυσε τον αντίκτυπό μας στη LockBit και δημιούργησε μια πλατφόρμα για περισσότερες δράσεις επιβολής του νόμου στο μέλλον», αναφέρει η Foster.

Όταν τα μέλη της LockBit συνδέονταν στα συστήματα διαχείρισης της ομάδας, λάμβαναν ένα εξατομικευμένο μήνυμα που έλεγε ότι οι αρχές είχαν συγκεντρώσει το όνομα χρήστη, τα στοιχεία του πορτοφολιού κρυπτονομισμάτων, τις εσωτερικές συνομιλίες και τις συνομιλίες με θύματα και τις διευθύνσεις IP. Όπως σημειώνουν οι ερευνητές της εταιρείας κυβερνοασφάλειας Analyst1, αυτές οι «ψυχολογικές τακτικές» στόχευαν σε δύο τομείς: «τη φήμη της μάρκας και τις διαπροσωπικές σχέσεις μεταξύ των φορέων».

Οι προσπάθειες υπερβαίνουν την κατάσχεση της LockBit. Τον Απρίλιο, η Μητροπολιτική Αστυνομία του Λονδίνου διέκοψε την LabHost, μια υπηρεσία που επέτρεπε στους απατεώνες να δημιουργούν ιστοσελίδες phishing για να εξαπατούν τους ανθρώπους ώστε να παραδίδουν τα email και τους κωδικούς τους. Περίπου 800 εγκληματίες χρήστες της LabHost έλαβαν εξατομικευμένα βιντεοσκοπημένα μηνύματα από την αστυνομία που περιέγραφαν λεπτομερώς «όλα τα δεδομένα που έχουμε για εσάς". Περιλαμβάνονταν οι χώρες στις οποίες στόχευαν τα θύματα, καθώς και οι διευθύνσεις IP που είχαν χρησιμοποιήσει. «Σας παρακολουθούσαμε κάθε φορά που μας επισκεπτόσασταν», λέει η φωνή στο βίντεο.

«Αυτά τα μηνύματα δεν απευθύνονται μόνο στους υπάρχοντες συμμετέχοντες στο εγκληματικό οικοσύστημα», λέει ο Smith της Secureworks. «Είναι μηνύματα για ανθρώπους που ίσως βρίσκονται στα πρόθυρα της απόφασης να συμμετάσχουν». Μέσα στο εκτεταμένο οικοσύστημα του κυβερνοεγκλήματος, δεν υπάρχει μεγάλη εμπιστοσύνη μεταξύ των κλεφτών που μπορούν να εξαπατούν ο ένας τον άλλον για εκατομμύρια δολάρια, αλλά η ενίσχυση των διαχωρισμών έχει τη δυνατότητα να καταστήσει δυσκολότερη την οργάνωση αποτελεσματικών εγκληματικών επιχειρήσεων.

Είναι δύσκολο να κατανοήσουμε τον αντίκτυπο που έχουν οι ψυχολογικές επιχειρήσεις, αλλά οι ερευνητές λένε ότι οι εγκληματίες παρακολουθούν πάντα. Από τους 194 συνεργάτες της LockBit, μόνο 69 επέστρεψαν στην πλατφόρμα μετά τη δράση της επιβολής του νόμου τον Φεβρουάριο, λέει η NCA. Οι χάκερ διαβάζουν τις ειδήσεις και την έρευνα για την ασφάλεια στον κυβερνοχώρο, συζητώντας τα σε φόρουμ κυβερνοεγκλήματος στη ρωσική γλώσσα, λένε οι ερευνητές. Το φόρουμ XSS έχει ένα νήμα με τίτλο «Juicy arrests» που έχει περισσότερες από 1.000 αναρτήσεις από το 2017, λέει η Victoria Kivilevich, διευθύντρια έρευνας απειλών στην εταιρεία ασφάλειας KELA, η οποία παρακολουθεί το υπόγειο κυβερνοεγκληματικό δίκτυο.

Οι απόψεις σχετικά με την κατάσχεση της LockBit ήταν διχασμένες μεταξύ των χρηστών του XSS, λέει η Kivilevich. Σε μια ανάρτηση τον Φεβρουάριο, λέει η Kivilevich, ένας κυβερνοεγκληματίας διερωτήθηκε γιατί ο αρχηγός της ομάδας δεν είχε κατονομαστεί ή δεν του είχαν επιβληθεί κυρώσεις. «Έχουν τόσες πολλές πληροφορίες, πρέπει να έχουν τουλάχιστον κάτι γι' αυτόν», αναφέρεται σε μεταφρασμένη ανάρτηση. «Ή ίσως συνεργάζεται μαζί τους». Μια άλλη παρότρυνε τον κόσμο να μην κάνει μιμίδια ή αστεία σχετικά με την κατάσταση. «Καταλαβαίνετε ότι κάποια στιγμή αυτό μπορεί να επηρεάσει και εσάς», έγραψαν.

Ο Kivilevich επισημαίνει άλλες περιπτώσεις όπου κυβερνοεγκληματίες σε φόρουμ έχουν απογοητευτεί ή δυσαρεστηθεί από την επιβολή του νόμου που στοχοποιεί κάποια μέλη. Όταν τα μέλη των ομάδων Conti και Trickbot ransomware υπέστησαν κυρώσεις τον Φεβρουάριο του 2023, το LockBitSupp ρώτησε αν θα υπάρξουν κυρώσεις για τον ηγέτη του Trickbot «Stern» και τον άλλο δράστη υψηλού προφίλ «Baddie». Καθώς άλλα 11 μέλη των Conti και Trickbot υπέστησαν κυρώσεις τον Σεπτέμβριο του 2023, λίγες ημέρες αφότου το WIRED κατονόμασε ένα από τα μέλη, ένας κυβερνοεγκληματίας παραπονέθηκε ότι ορισμένοι από αυτούς που υπέστησαν κυρώσεις «δεν είχαν ποτέ υψηλό προφίλ». Συνέχισαν λέγοντας ότι υπάρχει ένα αίσθημα «αδικίας»: «Ποιο ήταν το νόημα να προσθέσουμε διαχειριστές που δεν αποφάσιζαν πολλά στην επιχείρηση».

Η Andréanne Bergeron, διευθύντρια έρευνας στην εταιρεία ασφάλειας GoSecure, η οποία ειδικεύεται στην εγκληματική συμπεριφορά και την παρέμβαση της αστυνομίας, λέει ότι μπορεί να υπάρξουν δύο αποτελέσματα από την κατονομασία ορισμένων εγκληματιών και όχι άλλων. Εκείνοι που κατονομάζονται μπορεί να «αισθάνονται ότι είναι άδικο να τιμωρούνται ενώ άλλοι κυκλοφορούν ελεύθεροι» και μπορεί να καταλήξουν να συνεργάζονται με τις αρχές επιβολής του νόμου ως αποτέλεσμα.

Η Bergeron λέει επίσης ότι οι κακόβουλοι χάκερ συχνά «αποζητούν την αναγνώριση» για τις πράξεις τους. «Όταν οι συνάδελφοί τους λαμβάνουν όλα τα “εύσημα”, ακόμη και αν αυτό περιλαμβάνει την επιβολή κυρώσεων, αυτά τα μη κατονομαζόμενα άτομα μπορεί να αισθάνονται υποχρεωμένα να αποκαλυφθούν για να κερδίσουν αναγνώριση», λέει η Bergeron. «Αυτή η επιθυμία για αναγνώριση μπορεί να τους οδηγήσει σε επικίνδυνες συμπεριφορές, εκθέτοντας ενδεχομένως τους εαυτούς τους στις αρχές στην προσπάθειά τους για επικύρωση».

Ενώ η επιβολή του νόμου μπορεί να χρησιμοποιεί κάποιες ψυχολογικές τακτικές παράλληλα με τις πιο παραδοσιακές τεχνικές καταστροφές και κυρώσεις, υπάρχει επίσης επιστημονική έρευνα που εξετάζει τους τρόπους με τους οποίους η ψυχολογία του κυβερνοχώρου μπορεί να διαταράξει τους εγκληματίες χάκερ. Η ερευνητική υπηρεσία της αμερικανικής κοινότητας πληροφοριών, η Intelligence Advanced Research Projects Activity (Iarpa), έχει ξεκινήσει εργασίες σε ένα έργο για τη δημιουργία νέων αμυντικών συστημάτων κυβερνοασφάλειας με την εκμετάλλευση των ανθρώπινων αδυναμιών των επιτιθέμενων.

Η ψυχολογία μπορεί να χρησιμοποιηθεί ως ένας τρόπος για να «κατανοήσουμε, να προβλέψουμε και να επηρεάσουμε» τη συμπεριφορά των κυβερνοεπιτιθέμενων, λέει η Kimberly Ferguson-Walter, υπεύθυνη του προγράμματος Iarpa που ηγείται του έργου. Η έρευνα, η οποία βρίσκεται σε αρχικό στάδιο, επιδιώκει να δημιουργήσει εργαλεία και μεθόδους για την αξιοποίηση των ανθρώπινων αδυναμιών των κυβερνοεγκληματιών με βάση τις καθιερωμένες αρχές της ψυχολογίας. Για παράδειγμα, εάν ένας επιτιθέμενος νιώθει ότι είναι ασφαλής όταν παραβιάζει ένα σύστημα, μπορεί να εμπλακεί σε πιο επικίνδυνη συμπεριφορά και να εκτεθεί.

«Αν μπορείτε να αποτρέψετε κάποιον από το να επιτεθεί στο δίκτυό σας, αυτό είναι το καλύτερο που μπορείτε να κάνετε», λέει η Ferguson-Walter. «Νομίζω ότι όσο πιο φοβισμένοι ή αβέβαιοι είναι για το πώς λειτουργούν οι άμυνες, τόσο καλύτερες είναι οι πιθανότητες να το κάνετε αυτό».

Πηγή:Cops Are Just Trolling Cybercriminals Now