Criminalii cibernetici folosesc noi tactici pentru a ataca companiile industriale
calendar_month 20 Ian 2022, 14:23
Expertii Kaspersky au descoperit o noua serie de campanii de spyware, care evolueaza rapid, atacand peste 2.000 de companii industriale din intreaga lume. Spre deosebire de multe campanii de spyware mainstream, aceste atacuri ies in evidenta datorita numarului limitat de tinte in fiecare atac si duratei de viata foarte scurte a fiecarei mostre rau intentionate. Studiul a identificat mai mult de 25 de piete unde sunt vandute date furate. Acestea, dar si alte constatari au fost publicate in noul raport Kaspersky ICS CERT.
In prima jumatate a anului 2021, expertii Kaspersky ICS CERT au observat o anomalie curioasa in statisticile privind amenintarile spyware blocate pe computerele ICS. Desi malware-ul utilizat in aceste atacuri apartine unor familii de spyware bine-cunoscute, cum ar fi Agent Tesla/Origin Logger, HawkEye si altii, aceste atacuri ies in evidenta fata de mainstream prin numarul foarte limitat de tinte in fiecare atac (de la un numar foarte mic pana la cateva zeci de tinte) si durata de viata foarte scurta a fiecarui esantion rau intentionat.
O analiza mai atenta a 58.586 de mostre de spyware, blocate pe computere ICS in primul semestru al 2021, a aratat ca aproximativ 21,2% dintre ele faceau parte din aceasta noua serie de atacuri cu raza limitata si durata scurta de viata. Ciclul lor de viata este de aproximativ 25 de zile, o perioada mult mai scurta decat durata de viata a unei campanii de spyware „traditionale”.
Desi fiecare dintre aceste mostre de spyware „anormale” dispare repede si nu este distribuita pe scara larga, ele reprezinta o pondere disproportionat de mare a tuturor atacurilor de spyware. In Asia, de exemplu, fiecare al saselea computer atacat cu spyware a fost atins de unul dintre esantioanele de spyware „anormale” (2,1% din 11,9%).
De remarcat ca majoritatea acestor campanii sunt raspandite de la o companie industriala la alta prin e-mailuri de tip phishing bine concepute. Odata patruns in sistemul victimei, atacatorul foloseste dispozitivul ca server C2 (comanda si control) pentru urmatorul atac. Cu acces la lista de corespondenta a victimei, infractorii pot abuza de e-mailul corporativ si pot raspandi si mai mult programul spyware.
Potrivit telemetriei Kaspersky ICS CERT, peste 2.000 de organizatii industriale din intreaga lume au fost incorporate in infrastructura rau intentionata si utilizate de cybergangs pentru a raspandi atacurile lor catre alte organizatii si parteneri de afaceri. Estimam ca numarul total de conturi corporative compromise sau furate ca urmare a acestor atacuri este de peste 7.000.
Datele importante obtinute de la calculatoarele ICS ajung adesea pe diverse piete. Expertii Kaspersky au identificat peste 25 de piete diferite unde au fost vandute acreditarile furate in cadrul acestor campanii industriale. Analiza pietelor a evidentiat o cerere mare pentru acreditari pentru conturile corporative, in special pentru Remote Desktop Accounts (RDP). Peste 46% din toate conturile RDP vandute pe pietele analizate sunt detinute de companii din SUA, in timp ce restul provin din Asia, Europa si America Latina. Aproape 4% (aproape 2.000 de conturi) din toate conturile RDP vandute apartineau companiilor industriale.
O alta piata in crestere este Spyware-as-a-Service. Deoarece codurile sursa ale unor programe spyware populare au fost facute publice, acestea au devenit foarte disponibile in magazinele online sub forma unui serviciu – dezvoltatorii vand nu numai malware ca produs, ci si o licenta pentru un generator de malware si acces la infrastructura preconfigurata pentru a construi malware.
„Pe parcursul anului 2021, infractorii cibernetici au folosit pe scara larga spyware pentru a ataca computerele industriale. Astazi asistam la o noua tendinta care evolueaza rapid in peisajul amenintarilor industriale. Pentru a evita detectarea, criminalii reduc dimensiunea fiecarui atac si limiteaza utilizarea fiecarui esantion de malware, impunand rapid inlocuirea acestuia cu unul proaspat construit. Alte tactici includ utilzarea abuziva masiva a infrastructurii de e-mail corporative pentru a raspandi programe malware. Acest lucru este diferit de tot ceea ce am observat inainte in software-ul spyware si anticipam ca astfel de atacuri sa castige teren in anul urmator”, comenteaza Kirill Kruglov, expert in securitate la Kaspersky ICS CERT.
Cititi mai multe despre campaniile neobisnuite de spyware pe ICS CERT.
Pentru a afla mai multe despre amenintarile la adresa ICS si a marilor companii industriale in 2022, consultati previziunile amenintarilor ICS pentru 2022.
Pentru a asigura o protectie adecvata a unei companii industrial, dar si a operatiunilor partenerilor acesteia, expertii Kaspersky recomanda:
Implementati autentificarea in doi factori pentru accesul la e-mailul corporativ si alte servicii (inclusiv RDP, gateway-uri VPN-SSL etc.) care ar putea fi utilizate de un atacator pentru a obtine acces la infrastructura interna a companiei si la datele sale critice.
Asigurati-va ca intregul nivel endpoint, atat retelele IT, cat si cele OT, sunt protejate cu o solutie moderna de securitate la nivel endpoint, care este configurata corespunzator si este actualizata la zi.
Pregatiti-va in mod regulat personalul pentru a gestiona in siguranta e-mailurile primite si pentru a-si proteja sistemele de programele malware care pot fi ascunse in documentele si link-urile primite pe e-mail.
Verificati in mod regulat folderele de spam in loc sa le goliti.
Monitorizati expunerea conturilor organizatiei dumneavoastra la web.
Utilizati solutii sandbox concepute pentru a testa automat documentele in traficul de e-mail de intrare. Cu toate acestea, asigurati-va ca solutia sandbox este configurata pentru a nu sari peste e-mailuri din surse „de incredere”, inclusiv organizatii partenere si de contact, deoarece nimeni nu este 100% protejat de compromisul securitatii.
Testati fisierele atasate din e-mailurile expediate de organizatie pentru a va asigura ca datele continute de acestea nu sunt compromise.
Noutati