Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin. Prognozy na 2017 rok

Tagi:

Mija kolejny rok i jeśli chodzi o istotne wydarzenia dotyczące bezpieczeństwa informacji, tworzą one doskonały materiał na książkę historyczną. Dramat, intryga i wyzysk stanowiły plagę 2016 roku. Podsumowując niektóre z bardziej godnych uwagi historii, po raz kolejny próbowaliśmy wybiec w przyszłość, przewidując, jak będzie kształtował się krajobraz zagrożeń w 2017 r. Prognozy, które przedstawimy, opierają się na trendach zaobserwowanych w trakcie naszych badań. Mamy nadzieję, że nasze obserwacje będą inspirujące zarówno dla badaczy jak i osób przyglądającym się scenie analizy zagrożeń. 

 

predictions_2017_eng_1_auto.jpg

Nasza kronika

Nasze zeszłoroczne prognozy okazały się trafne, a niektóre z nich spełniły się wcześniej niż przewidywaliśmy. Dla tych, którzy nie pamiętają, o czym pisaliśmy w zeszłym roku, przypominamy poniżej kilka ważniejszych prognoz: 

Ataki APT: Przewidywaliśmy mniejszy nacisk na przetrwanie oraz większą tendencję do ukrywania się poprzez pozostawanie na widoku poprzez stosowanie w atakach ukierunkowanych szkodliwego oprogramowania komercyjnego. Tak też się stało. Świadczy o tym zarówno wzrost ilości szkodliwego oprogramowania bezplikowego lub rezydującego w pamięci jak również niezliczona liczba odnotowanych ataków ukierunkowanych na aktywistów oraz firmy, w których wykorzystywano unikatowe szkodliwe oprogramowanie, takie jak NJRat oraz Alienspy/Adwind.

Oprogramowanie ransomware: Rok 2016 można ogłosić rokiem oprogramowania ransomware. Szkodliwe oprogramowanie finansowe zorientowane na wyłudzenia sprowadzało się praktycznie do oprogramowania ransomware, a skuteczniejsze kampanie wyłudzeń wykorzystywały zasoby do tworzenia szkodliwego oprogramowania z mniej dochodowych kampanii. 

Więcej ataków na banki: Wskazując na groźbę wzrostu przestępczości finansowej na najwyższym poziomie, nasze przypuszczenia dotyczyły ataków na takie instytucje jak giełda. Jednak prognozę tę potwierdziły ataki na sieć SWIFT, które spowodowały milionowe straty poprzez wykorzystanie „sprytnego”, odpowiednio umieszczonego szkodnika.

Ataki internetowe: Obszar niespełniających norm urządzeń połączonych z internetem, do niedawna często ignorowany, w końcu zaczął rzutować na nasze życie za sprawą „nieprzyjemnego” botnetu IoT, który spowodował przerwy w działaniu popularnych serwisów internetowych oraz utrudnił życie tym, którzy byli zależni od określonego dostawcy usług DNS.

Kompromitacja: Kompromitacja i szantaż zaznaczyły się dość mocno, strategiczne i masowe ujawnianie informacji wywoływały problemy osobiste, polityczne i dotyczące reputacji.  Musimy przyznać, że skala i ofiary niektórych z tych wycieków były dla nas prawdziwym zaskoczeniem.

predictions_2017_eng_2_auto.jpg

Co przyniesie rok 2017?

Budzące strach ataki APT

Wzrost liczby tworzonych na zamówienie i pasywnych implantów

Jakkolwiek trudno jest przekonać firmy i duże przedsiębiorstwa, aby stosowały środki bezpieczeństwa, trzeba umieć przyznać, kiedy środki te zaczynają być niewystarczające lub zawodzą. Wskaźniki infekcji są doskonałą metodą rozpowszechniania cech znanego szkodliwego oprogramowania, takich jak hashe, domeny czy cechy wykonywania, które pozwalają ofiarom rozpoznać aktywną infekcję. Jednak coraz wyraźniejsza część ugrupowań cyberszpiegowskich zabezpiecza się przed tymi ogólnymi metodami - co pokazała niedawna kampania ProjectSauron APT, wykorzystująca specjalnie stworzoną platformę szkodliwego oprogramowania, w której każda funkcja była dopasowywana do indywidualnej ofiary, co uniemożliwiało wykrycie innych infekcji. Nie znaczy to jednak, że potencjalne ofiary nie mogą już nic zrobić. Wskazuje jednak na konieczność szerszego stosowania dobrych reguł Yara, które pozwalają przeprowadzić skanowanie w całym przedsiębiorstwie, zbadać i zidentyfikować cechy w nieużywanych binariach i przeskanować pamięć pod kątem fragmentów znanych ataków.

ProjectSauron uwydatnił również inny wyrafinowany trend, który stanie się jeszcze bardziej widoczny, a który dotyczy „pasywnego implantu.” Oparty na sieci backdoor, który egzystuje w pamięci lub jest sterownikiem na bramie internetowej, który otwiera tylne drzwi, czeka spokojnie, aż magiczne bajty obudzą jego funkcjonalność. Do momentu obudzenia przez swojego „pana” pasywne implanty nie zdradzą się niczym, co wskazywałoby na aktywną infekcję, przez co istnieje niewielkie prawdopodobieństwo, że zostaną wykryte przez kogokolwiek, poza osobami najbardziej paranoicznymi, lub w ramach szerszego działania reakcji na incydent. Należy pamiętać, że implanty te nie posiadają predefiniowanej infrastruktury kontroli (command-and-control), z którą można by je skorelować. Jest to zatem narzędzie dla najbardziej ostrożnych osób atakujących, które muszą zapewnić dostęp do atakowanej sieci w każdej chwili. 

 

predictions_2017_eng_3_auto.jpg

Ulotne infekcje

PowerShell stał się wymarzonym narzędziem administratorów systemu Windows, jednocześnie przyciąga różnej maści twórców szkodliwego oprogramowania zainteresowanych ukradkową implementacją oraz możliwościami rekonesansu, które nie zostaną zarejestrowane przez standardowe konfiguracje. Szkodliwe oprogramowanie dla PowerShella przechowywane w pamięci lub w rejestrze może „mieć używanie” we współczesnych systemach Windows. Idąc dalej, spodziewamy się „ulotnych” infekcji: szkodliwego oprogramowania rezydującego w pamięci, którego celem jest ogólny rekonesans oraz gromadzenie danych uwierzytelniających nie zaś przetrwanie. W wysoce wrażliwych środowiskach ukradkowi cyberprzestępcy zadowolą się możliwością działania do ponownego uruchomienia, które usunie ich infekcję z pamięci, co pozwoli uniknąć podejrzeń lub potencjalnej straty operacyjnej na skutek wykrycia ich szkodliwego oprogramowania przez ofiary lub badaczy. Ulotne infekcje podkreślą potrzebę proaktywnej i wyrafinowanej heurystyki w zaawansowanych rozwiązaniach antywirusowych (patrz: Kontrola systemu).

predictions_2017_eng_4_auto.jpg

Szpiegostwo staje się mobilne

Wiele ugrupowań cyberprzestępczych stosowało w przeszłości implanty mobilne, w tym: SofacyRedOctober oraz CloudAtlas, jak również klienci HackingTeam oraz pakietu szkodliwego oprogramowania dla systemu iOS - NSO Pegasus. Było to jednak uzupełnienie kampanii, które w głównej mierze opierały się na zestawach narzędzi dla desktopów. W związku z brakiem entuzjazmu dla wdrażania technologii dla systemów operacyjnych przeznaczonych dla urządzeń stacjonarnych oraz ze względu na fakt, że coraz większa część cyfrowego życia przeciętnego użytkownika zostaje przeniesiona do „jego kieszeni”, spodziewamy się wzrostu liczby kampanii szpiegostwa mobilnego. Czynnikiem sprzyjającym takim kampaniom będzie z pewnością trudność w uzyskaniu narzędzi kryminalistycznych dla najnowszych mobilnych systemów operacyjnych.

predictions_2017_eng_5_auto.jpg

Przyszłość ataków finansowych

Słyszeliśmy, że chciałbyś obrabować bank...

Informacje o tegorocznych atakach na sieć SWIFT wywołały poruszenie w całej branży usług finansowych ze względu na ich skalę - straty oszacowano na wiele milionów dolarów. Takie posunięcie stanowiło naturalną ewolucję dla takich graczy jak gang Carbanak a także innych interesujących ugrupowań cyberprzestępczych. Jednak tego rodzaju incydenty nadal stanowią „robotę” ugrupowań cyberprzestępczych w stylu APT posiadających pewien rozmach i ugruntowane możliwości. Z pewnością nie oni jedyni są zainteresowani napadem na bank w celu zdobycia pokaźnej kwoty.

W związku ze wzrostem zainteresowania ze strony cyberprzestępców, oczekujemy wyłonienia się pośredników w atakach na system SWIFT w ugruntowanym podziemiu wielopoziomowej działalności przestępczej. Przeprowadzenie takiego napadu wymaga wstępnego dostępu, wyspecjalizowanego oprogramowania, cierpliwości i – wreszcie - zorganizowania pranie brudnych pieniędzy. Każdy z tych kroków stwarza możliwość działającym już przestępcom świadczenia swoich usług za opłatą, jednak brakującym ogniwem jest wyspecjalizowane szkodliwe oprogramowanie umożliwiające przeprowadzenie ataków SWIFT. Spodziewamy się „utowarowienia” tych ataków za pośrednictwem oferowania na sprzedaż wyspecjalizowanych zasobów na podziemnych forach lub za pośrednictwem modelu „jako usługa”.

predictions_2017_eng_6_auto.jpg

Odporne systemy płatnicze

Ponieważ systemy płatnicze stały się jeszcze popularniejsze i powszechnie stosowane, spodziewaliśmy się większego zainteresowania nimi ze strony przestępców. Wydaje się jednak, że implementacje są szczególnie odporne, ponieważ nie odnotowano żadnych poważniejszych ataków.  Chociaż klienci mogą poczuć ulgę, powód do zmartwienia mają sami dostawcy systemów płatniczych, ponieważ cyberprzestępcy uderzają w tych ostatnich poprzez bezpośrednie ataki na infrastrukturę systemów płatniczych. Niezależnie od tego, czy ataki te spowodują bezpośrednie straty finansowe czy jedynie przestoje i zakłócenia, spodziewamy się, że rozpowszechnienie wykorzystywania tych systemów przyciągnie do nich większą uwagę cyberprzestępców.

predictions_2017_eng_7_auto.jpg

Nieuczciwe, kłamliwe ransomware

Jakkolwiek wszyscy nienawidzimy (nie bez powodu) oprogramowania ransomware, większość szkodników tego typu polega na nietypowym zaufaniu między ofiarą a osobą atakującą. Proceder ten opiera się na zasadzie, że osoba atakująca będzie przestrzegała cichej umowy zawartej z ofiarą, zgodnie z którą po otrzymaniu zapłaty zostaną zwrócone „zablokowane" pliki. Cyberprzestępcy wykazywali zadziwiające pozory profesjonalizmu jeśli chodzi o spełnienie swoich zobowiązań, dzięki czemu proceder ten mógł istnieć. Jednak, ponieważ rosnąca popularność ransomware powoduje, że na ścieżkę tę decydują się wkroczyć przestępcy „niższej klasy", prawdopodobnie pojawi się coraz więcej oprogramowania „ransomware", w którym nie zobaczymy już tej swoistej gwarancji jakości czy ogólnych umiejętności kodowania pozwalających dotrzymać obietnicę.    

Przewidujemy pojawienie się „amatorskiego” oprogramowania ransomware, które blokuje pliki lub dostęp do systemu lub po prostu kasuje pliki, zmusza ofiarę do zapłacenia okupu, nie dostarczając niczego w zamian. Pod tym względem ransomware niewiele będzie się różnił od ataków, których celem jest wyczyszczenie danych, i spodziewamy się, że ekosystem związany z tym oprogramowaniem odczuje skutki „kryzysu zaufania”. Być może nie zniechęci to większych, bardziej profesjonalnych grup do kontynuowania swoich kampanii wyłudzających, ale może spowodować, w obliczu coraz większej epidemii ransomware, porzucenie nadziei, że skuteczną radą dla ofiar takich ataków jest „po prostu zapłać okup”.

predictions_2017_eng_8_auto.jpg

Duży czerwony przycisk

Niesławny szkodnik Stuxnet być może otworzył puszkę Pandory, realizując potencjał ataków na systemy przemysłowe, niemniej był on stworzony z myślą o długotrwałym sabotażu bardzo konkretnych celów. Chociaż infekcja rozprzestrzeniła się w skali globalnej, szkody uboczne zostały ograniczone i nie doszło do przemysłowego Armagedonu. Od tego czasu każda pogłoska czy doniesienie o wypadku przemysłowym lub niewyjaśnionej eksplozji będzie stanowić oś teorii cybersabotażu.

A zatem wypadek przemysłowy wywołany przez cybersabotaż z pewnością nie wykracza poza sferę możliwości. Ponieważ infrastruktura krytyczna oraz systemy produkcyjne nadal są połączone z internetem, i często są w niewielkim stopniu zabezpieczone lub w ogóle nie posiadają ochrony, te kuszące cele wciąż będą ostrzyły apetyt posiadających dobre zasoby cyberprestępców, którzy chcą wywołać zamęt. Należy zauważyć w tym miejscu, że abstrahując od aspektu związanego z wywoływaniem niepokoju, tego rodzaju ataki będą wymagały pewnych umiejętności i intencji. Ataki cyberszantażu będą towarzyszyły rosnącym napięciom geopolitycznym oraz zorientowaniu grup cyberprzestępczych o ugruntowanej pozycji na ukierunkowaną destrukcję lub zakłócenie istotnych usług.

 

predictions_2017_eng_9_auto.jpg

Przepełniony internet odpłaca się

Innymi słowy pomocny gość

Od dawna wieszczyliśmy, że słabe zabezpieczenia Internetu Rzeczy (lub Zagrożeń) w końcu się na nas zemszczą i oto nadszedł ten czas. Jak mogliśmy przekonać się ostatnio w przypadku botnetu Mirai, słabe zabezpieczenia urządzeń niepotrzebnie wyposażonych w dostęp do internetu dają przestępcom możliwość siania zamętu w niemal bezkarny sposób. Chociaż dla niektórych nie będzie to żadną niespodzianką, kolejny krok może okazać się szczególnie interesujący, ponieważ przewidujemy, że hakerzy z samozwańczej straży obywatelskiej mogą wziąć sprawy w swoje ręce. 

Idea łatania znanych i zgłoszonych luk w zabezpieczeniach otaczana jest swoistą czcią jako usankcjonowanie ciężkiej (i często niewynagradzanej) pracy badaczy bezpieczeństwa. Ponieważ producenci urządzeń Internetu Rzeczy nadal wypuszczają niezabezpieczone urządzenia, które powodują problemy na szeroką skalę, hakerzy z samozwańczej straży obywatelskiej mogą postanowić działań na własną rękę. A jaki sposób jest lepszy niż odbicie problemu do samych producentów poprzez masowe „psucie” tych podatnych na ataki urządzeń. Ponieważ botnety IoT nadal są wykorzystywane do rozpowszechniania ataków DDoS oraz spamu, odpowiedź immunologiczna ekosystemu może polegać na tym, że urządzenia te zaczną być całkowicie wyłączane, ku rozgoryczeniu klientów i producentów. Być może czeka nas Internet Zepsutych Urządzeń.

 

predictions_2017_eng_10_auto.jpg

Milczące migające pudełka

Ugrupowanie ShadowBrokers opublikowało szeroki wachlarz działających exploitów dla zapór sieciowych wielu różnych producentów. Niedługo po tym pojawiły się doniesienia o wykorzystaniu tych exploitów na wolności, podczas gdy producenci próbowali rozgryźć wykorzystane luki w zabezpieczeniach i opublikować łaty. Jednak zakres skutków tego incydentu nie jest jeszcze znany. Co zdołali uzyskać cyberprzestępcy przy pomocy tych exploitów? Jakie implanty mogą pozostawać w ukryciu w podatnych na ataki urządzeniach? 

Abstrahując od tych konkretnych exploitów, widać, że istnieje większy problem integralności urządzeń, który wymaga dalszych badań odnośnie urządzeń, które są krytyczne dla „granic” sieci przedsiębiorstwa. Pytanie, na które wciąż nie ma odpowiedzi, brzmi: „dla kogo pracuje twoja zapora sieciowa?”  

predictions_2017_eng_11_auto.jpg

Kim ty do diabła jesteś?

Fałszywe flagi i operacje psychologiczne to nasz ulubiony temat i nie jest żadną niespodzianką, że przewidujemy wzrost kilku trendów w tym obszarze.

Wojny informacyjne

Cyberugrupowania takie jak m.in. Lazarus czy Sofacy stanowiły pionierów jeśli chodzi o tworzenie fałszywych kanałów dla ukierunkowanych „zrzutów” informacji i wyłudzeń. Po ich skutecznym i niezwykle popularnym wykorzystywaniu na przestrzeni kilku ostatnich miesięcy spodziewamy się wzrostu popularności operacji w ramach wojny informacyjnej, której celem jest manipulowanie opinią i ogólny chaos wokół popularnych procesów. Ugrupowania cyberprzestępcze zainteresowane upublicznianiem zhakowanych danych mają niewiele do stracenia, tworząc narrację za pośrednictwem istniejącej lub sfabrykowanej grupy haktywistów. W ten sposób odwracają uwagę od ataku, kierując ją na treść tego rodzaju rewelacji.      

Prawdziwym zagrożeniem jest tutaj nie włamanie hakerskie czy naruszenie prywatności, ale raczej to, że przyzwyczajając się do przyjmowania takich danych jako godnych opublikowania faktów   dziennikarze i zaniepokojeni obywatele otwierają drogę sprytniejszym cyberprzestępcom, którzy chcą manipulować wynikiem poprzez manipulowanie danymi lub ich pomijanie. Podatność na takie operacje w ramach wojny informacyjnej jest najwyższa w historii i mamy nadzieję, że zdolność rozróżniania tych rodzajów informacji przeważy, ponieważ technika ta jest stosowana przez coraz większą liczbę graczy (lub przez tych samych gracz posiadających więcej jednorazowych masek).    

 

predictions_2017_eng_12_auto.jpg

Obietnica odstraszenia

Ponieważ cyberataki zaczynają odgrywać większą rolę w relacjach międzynarodowych, atrybucja stanie się głównym czynnikiem w określaniu przebiegu zabiegów geopolitycznych. Instytucje rządowe będą miały trudny problem do przemyślenia – będą musiały zdecydować, jaki standard atrybucji będzie wystarczający dla zabiegów dyplomatycznych czy publicznych oskarżeń. Ponieważ dokładna atrybucja jest prawie niemożliwa biorąc pod uwagę fragmentaryczną widoczność różnych instytucji publicznych i prywatnych, być może „luźna atrybucja” okaże się dla nich wystarczająco dobra. Chociaż należy zalecać najwyższą ostrożność, trzeba również pamiętać, że bardzo ważne jest to, aby przeprowadzanie cyberataków nie pozostawało bez konsekwencji. Naszym zadaniem jest zadbanie o to, aby odwet nie powodował dalszych problemów, gdy przebiegli cyberprzestępcy przechytrzają tych, którzy chcą dokonać atrybucji. Należy również pamiętać, że w miarę jak zemsta i konsekwencje będą stawały się bardziej prawdopodobne, znacznie wzrośnie wykorzystywanie szkodliwego oprogramowania komercyjnego i opartego na otwartym źródle, a narzędzia takie jak Cobalt Strike oraz Metasploit będą stanowiły przykrywkę dla wiarygodnego „zaprzeczenia”, o którym nie ma mowy w przypadku autorskiego szkodliwego oprogramowania opartego na zamkniętym źródle.          

predictions_2017_eng_13_auto.jpg

Podwojenie stawki na fałszywe flagi

Wprawdzie przykłady wyszczególnione w raporcie dotyczącym fałszywych flag obejmowały odnotowane na wolności przypadki ugrupowań APT wykorzystujących pewne elementy stosowania fałszywych flag, nie odnotowano w tym czasie żadnej „prawdziwej” operacji tego typu. Mówiąc o takiej operacji mamy na myśli operację przeprowadzoną przez ugrupowanie cyberprzestępcze A, która została szczegółowo i całkowicie zorganizowana w stylu i przy użyciu zasobów innego ugrupowania cyberprzestępczego B z zamiarem sprowokowania zemsty ofiary na „niewinnym” cyberugrupowaniu B. Tego rodzaju operacje nie będą miały sensu, jeśli nie będą wywoływały dotkliwego odwetu. Ponieważ zemsta staje się coraz powszechniejsza i bardziej impulsywna, oczekujemy pojawienia się prawdziwych operacji typu „fałszywe flagi”.                     

W takiej sytuacji można spodziewać się, że inwestowanie w fałszywe flagi będzie jeszcze bardziej opłacalne, być może nawet zachęcając do „wrzucania” infrastruktury czy nawet zazdrośnie strzeżonych autorskich zestawów narzędzi do masowego wykorzystania. W ten sposób przebiegli cyberprzestępcy mogą spowodować przejściowe zamieszanie zarówno wśród badaczy jak i ofiar, ponieważ tzw. dzieciaki skryptowe, haktywiści oraz cyberprzestępcy dostaną nagle do rąk autorskie narzędzia zaawansowanego cyberugrupowania, zapewniając tym samym osłonę anonimowości w masie ataków i częściowo ograniczając możliwości atrybucji organom ścigania.       

predictions_2017_eng_14_auto.jpg

Jaka prywatność?

Zasłanianie

Wyeliminowanie ostatnich śladów anonimowości w cyberprzestrzeni jest na rękę czy to dla reklamodawców czy dla szpiegów. Dla tych pierwszych, cenną techniką okazało się śledzenie przy użyciu „uporczywych” ciasteczek. Trend ten zostanie prawdopodobnie rozszerzony i połączony z widgetami i innymi nieszkodliwymi dodatkami do popularnych stron internetowych, które pozwalają firmom śledzić indywidualnych użytkowników, gdy wychodzą poza ich domeny, a tym samym uzyskać spójny obraz ich zwyczajów związanych z przeglądaniem stron internetowych (więcej na ten temat poniżej).      

W innych częściach świata atakowanie aktywistów i śledzenie aktywności na portalach społecznościowych, która „podżega do niestabilności” nadal będzie inspirowało do niespodziewanego wyrafinowania, ponieważ duże pieniądze nadal trafiają do nieznanych firm posiadających innowacyjne rozwiązania do śledzenia dysydentów i aktywistów w całym internecie. Działania te ujawniają zwykle duże zainteresowanie tendencjami dotyczącymi portali społecznościowych całych regionów geograficznych oraz wpływem, jaki mają na nie głosy dysydentów. Być może pojawi się nawet ugrupowanie, które będzie tak śmiałe, że włamie się do sieci społecznościowej w celu uzyskania danych osobowych oraz informacji obciążających.    

predictions_2017_eng_15_auto.jpg

Szpiegowska sieć reklam

Żadna technologia nie pozwala tak dobrze przeprowadzić prawdziwie ukierunkowanych ataków jak sieci reklamowe. Ich działanie jest motywowane całkowicie względami finansowymi. Są regulowane w niewielkim zakresie lub w ogóle, o czym świadczą powtarzające się ataki przy użyciu reklam na popularne strony. Sieci reklam zapewniają doskonałe profilowanie celów poprzez połączenie adresów IP, „odcisków palców” pozostawianych w przeglądarce oraz danych dotyczących stron, które użytkownik przegląda i do których się loguje. Tego rodzaju dane użytkownika pozwalają „wybrednemu” cyberprzestępcy wybiórczo wstrzyknąć lub przekierować określone ofiary do swoich szkodliwych funkcji, a tym samym uniknąć w dużej mierze infekcji pobocznych oraz długotrwałej dostępności szkodliwych funkcji, które zwykle zwracają uwagę badaczy bezpieczeństwa. W takiej sytuacji spodziewamy się, że najbardziej zaawansowani przestępcy stosujący cyberszpiegostwo stwierdzą, że tworzenie lub przejmowanie sieci reklamowej jest niewielką inwestycją w stosunku do pokaźnych zysków operacyjnych, która pozwoli im atakować cele, a jednocześnie chronić swoje najnowsze zestawy narzędzi.          

predictions_2017_eng_16_auto.jpg

Pojawienie się hakera samozwańczej straży obywatelskiej

Po tym jak ugrupowanie Hacking Team opublikowało zhakowane informacje w 2015 roku tajemnicza grupa Phineas Fisher udostępniła swój przewodnik dla przyszłych hakerów, w którym podpowiadała, jak „unieszkodliwić” w sieci niesprawiedliwe organizacje oraz podejrzane firmy. Działanie to było w duchu przekonania, że hakerzy działających w imię dobra ogółu są częścią pozytywnej siły, mimo że publikacja ugrupowania HackingTeam wyposażyła aktywne ugrupowania APT w exploity dnia zerowego, a być może nawet zachęciła nowych klientów. Wraz z nasileniem się retoryki konspiracyjnej, napędzanej wiarą, że wycieki i upublicznianie danych stanowią sposób na zniwelowanie asymetrii informacyjnej, więcej osób przyłączy się do ugrupowań hakerskich działających dla dobra ogółu w celu dokonywania „zrzutów” danych oraz zorganizowanych wycieków skierowanych przeciwko podatnym na ataki organizacje.             

predictions_2017_eng_17_auto.jpg