Experții Kaspersky au descoperit o nouă serie de campanii de spyware, care evoluează rapid, atacând peste 2.000 de companii industriale din întreaga lume. Spre deosebire de multe campanii de spyware mainstream, aceste atacuri ies în evidență datorită numărului limitat de ținte în fiecare atac și duratei de viață foarte scurte a fiecărei mostre rău intenționate. Studiul a identificat mai mult de 25 de piețe unde sunt vândute date furate. Acestea, dar și alte constatări au fost publicate în noul raport Kaspersky ICS CERT.
În prima jumătate a anului 2021, experții Kaspersky ICS CERT au observat o anomalie curioasă în statisticile privind amenințările spyware blocate pe computerele ICS. Deși malware-ul utilizat în aceste atacuri aparține unor familii de spyware bine-cunoscute, cum ar fi Agent Tesla/Origin Logger, HawkEye și alții, aceste atacuri ies în evidență față de mainstream prin numărul foarte limitat de ținte în fiecare atac (de la un număr foarte mic până la câteva zeci de ținte) și durata de viață foarte scurtă a fiecărui eșantion rău intenționat.
O analiză mai atentă a 58.586 de mostre de spyware, blocate pe computere ICS în primul semestru al 2021, a arătat că aproximativ 21,2% dintre ele făceau parte din această nouă serie de atacuri cu rază limitată și durată scurtă de viață. Ciclul lor de viață este de aproximativ 25 de zile, o perioadă mult mai scurtă decât durata de viață a unei campanii de spyware „tradiționale”.
Deși fiecare dintre aceste mostre de spyware „anormale” dispare repede și nu este distribuită pe scară largă, ele reprezintă o pondere disproporționat de mare a tuturor atacurilor de spyware. În Asia, de exemplu, fiecare al șaselea computer atacat cu spyware a fost atins de unul dintre eșantioanele de spyware „anormale” (2,1% din 11,9%).
De remarcat că majoritatea acestor campanii sunt răspândite de la o companie industrială la alta prin e-mailuri de tip phishing bine concepute. Odată pătruns în sistemul victimei, atacatorul folosește dispozitivul ca server C2 (comandă și control) pentru următorul atac. Cu acces la lista de corespondență a victimei, infractorii pot abuza de e-mailul corporativ și pot răspândi și mai mult programul spyware.
Potrivit telemetriei Kaspersky ICS CERT, peste 2.000 de organizații industriale din întreaga lume au fost încorporate în infrastructura rău intenționată și utilizate de cybergangs pentru a răspândi atacurile lor către alte organizații și parteneri de afaceri. Estimăm că numărul total de conturi corporative compromise sau furate ca urmare a acestor atacuri este de peste 7.000.
Datele importante obținute de la calculatoarele ICS ajung adesea pe diverse piețe. Experții Kaspersky au identificat peste 25 de piețe diferite unde au fost vândute acreditările furate în cadrul acestor campanii industriale. Analiza piețelor a evidențiat o cerere mare pentru acreditări pentru conturile corporative, în special pentru Remote Desktop Accounts (RDP). Peste 46% din toate conturile RDP vândute pe piețele analizate sunt deținute de companii din SUA, în timp ce restul provin din Asia, Europa și America Latină. Aproape 4% (aproape 2.000 de conturi) din toate conturile RDP vândute aparțineau companiilor industriale.
O altă piață în creștere este Spyware-as-a-Service. Deoarece codurile sursă ale unor programe spyware populare au fost făcute publice, acestea au devenit foarte disponibile în magazinele online sub forma unui serviciu – dezvoltatorii vând nu numai malware ca produs, ci și o licență pentru un generator de malware și acces la infrastructură preconfigurată pentru a construi malware.
„Pe parcursul anului 2021, infractorii cibernetici au folosit pe scară largă spyware pentru a ataca computerele industriale. Astăzi asistăm la o nouă tendință care evoluează rapid în peisajul amenințărilor industriale. Pentru a evita detectarea, criminalii reduc dimensiunea fiecărui atac și limitează utilizarea fiecărui eșantion de malware, impunând rapid înlocuirea acestuia cu unul proaspăt construit. Alte tactici includ utilzarea abuzivă masivă a infrastructurii de e-mail corporative pentru a răspândi programe malware. Acest lucru este diferit de tot ceea ce am observat înainte în software-ul spyware și anticipăm ca astfel de atacuri să câștige teren în anul următor”, comentează Kirill Kruglov, expert în securitate la Kaspersky ICS CERT.
Citiți mai multe despre campaniile neobișnuite de spyware pe ICS CERT.
Pentru a afla mai multe despre amenințările la adresa ICS și a marilor companii industriale în 2022, consultați previziunile amenințărilor ICS pentru 2022.
Pentru a asigura o protecție adecvată a unei companii industrial, dar și a operațiunilor partenerilor acesteia, experții Kaspersky recomandă:
• Implementați autentificarea în doi factori pentru accesul la e-mailul corporativ și alte servicii (inclusiv RDP, gateway-uri VPN-SSL etc.) care ar putea fi utilizate de un atacator pentru a obține acces la infrastructura internă a companiei și la datele sale critice.
• Asigurați-vă că întregul nivel endpoint, atât rețelele IT, cât și cele OT, sunt protejate cu o soluție modernă de securitate la nivel endpoint, care este configurată corespunzător și este actualizată la zi.
• Pregătiți-vă în mod regulat personalul pentru a gestiona în siguranță e-mailurile primite și pentru a-și proteja sistemele de programele malware care pot fi ascunse în documentele și link-urile primite pe e-mail.
• Verificați în mod regulat folderele de spam în loc să le goliți.
• Monitorizați expunerea conturilor organizației dumneavoastră la web.
• Utilizați soluții sandbox concepute pentru a testa automat documentele în traficul de e-mail de intrare. Cu toate acestea, asigurați-vă că soluția sandbox este configurată pentru a nu sări peste e-mailuri din surse „de încredere”, inclusiv organizații partenere și de contact, deoarece nimeni nu este 100% protejat de compromisul securității.
• Testați fișierele atașate din e-mailurile expediate de organizație pentru a vă asigura că datele conținute de acestea nu sunt compromise.
