O nouă serie de atacuri cibernetice demonstrează o tendință alarmantă în domeniul securității informatice: infractorii globali se „difuzează” tot mai des în zonele considerate până acum sigure, folosind instrumente legitime de administrare și monitorizare IT pentru a-și ascunde activitatea malițioasă. Această metodă subtilă, pe de o parte, le permite hackerilor să evite detectarea și să mențină accesul pe termen lung în rețelele țintă, iar pe de altă parte, pune în pericol organizațiile care se bazează pe instrumente comerciale pentru gestionarea infrastructurii IT.

### Utilizarea aplicațiilor legitime pentru control și monitorizare, arma secretă a infractorilor

Cercetările din ultimul timp au scos la iveală modul în care membrii grupului de ransomware cunoscut ca Crazy profită de aplicații de monitorizare și administrare ca să mențină controlul asupra sistemelor compromise. În cel puțin un incident documentat, atacatorii au instalat soft-ul Net Monitor for Employees Professional – un program comercial destinat gestionării și supravegherii angajaților – folosind utilitarul standard Windows Installer, msiexec.exe. Această metodă a avut un avantaj clar: instalarea a fost realizată din surse oficiale, reducând semnificativ suspiciunile și șansele de detectare automatică de către sistemele de securitate.

Odată activat, programul le-a oferit hackerilor acces complet la tabletele sau calculatoarele lor țintă, permițându-le să vizualizeze în timp real ecranul, să transfere fișiere, să execute comenzi și chiar să controleze desktop-ul de la distanță, eliminând necesitatea malware-ului clasic de tip backdoor. Pentru a-și consolida accesul și a asigura o prezență permanentă, infractorii au încercat să activeze și contul de administrator local, apoi au instalat și un alt instrument de suport remote, SimpleHelp, pe care l-au descărcat tot prin comenzi PowerShell și camuflat sub denumiri aparent inofensive, precum fișiere asociate cu OneDrive sau Visual Studio.

Această strategie de „mască” a activității legitime ca fiind administrare IT obișnuită le permite atacatorilor să se amestece în traficul de rutină al rețelei, dificultând identificarea activităților malițioase. În plus, cercetările au scos în evidență încercări de dezactivare a soluțiilor de protecție precum Windows Defender, prin oprirea și ștergerea serviciilor asociate, în încercarea de a zădărnici contramăsurile automate de identificare.

### Monitorizarea internă a activității, un nou vector de intensificare a atacurilor

Însă grupul Crazy nu s-a limitat doar la menținerea controlului. În timpul unui atac, infractorii au setat reguli automate de alertare, care îi notifica atunci când utilizatorii accedeau la portofele de criptomonede sau platforme de schimb crypto, indicând o intenție clară de a profita de datele și valorile stocate. În același timp, aceștia monitorizau activitatea pentru orice prezență a aplicațiilor de acces remote precum RDP, TeamViewer, VNC sau AnyDesk, pentru a putea anticipa eventuale intervenții ale administratorilor legitimi sau ale tehnicienilor de suport.

Această supraveghere în timp real le oferea o imagine clară asupra activității interne și le permitea să aleagă momentul optim pentru declanșarea ransomware-ului sau pentru furtul de criptomonede. Deși doar unul dintre incidentele documentate a culminat cu lansarea efectivă a ransomware-ului Crazy, analiștii în securitate sunt de părere că ambele cazuri sunt opera aceluiași grup infracțional sau cel puțin strâns corelate, verificarile infrastructurii de control și fișierele utilizate indicând aceeași origine.

Această tendință îngrijorătoare răspunde unui nou model de abordare în criminalitatea cibernetică, în care soft-ul legitim devine vector de atac, înlocuind malware-ul clasic, cu detectabilitate mai mare. Autorii atacurilor profită de faptul că aceste aplicații sunt folosite în mod curent de numeroase companii, ceea ce le permite să se „piardă” în fluxul normal al activităților digitale. În același timp, compromiterea credențialelor SSL VPN a demonstrat importanța implementării măsurilor de autentificare multifactor (MFA), ca soluție eficientă de a preveni accesul neautorizat.

Pe măsură ce globalizarea și digitalizarea accelerează, aceste metode sofisticate de infiltrare și monitorizare nesupravegheată pot deveni chiar mai frecvente, reprezentând o provocare majoră pentru organizațiile din toate sectoarele. În prezent, specialiștii în securitate avertizează că, în fața acestor noi metode, soluțiile trebuie să fie adaptate rapid, iar percepția asupra aplicațiilor de administrare legitime trebuie revizuită în contextul riscurilor emergente. Cu toate acestea, evoluția tehnologică a atacurilor indică faptul că și criminalitatea cibernetică devine tot mai adaptabilă, solicitând o vigilență constantă din partea tuturor celor care dețin date și infrastructură critică.