Peste 2000 de organizaţii industriale au fost subordonate şi utilizate de hackeri pentru a propaga noi atacuri

FOTO Shutterstock

Experţii Kaspersky au descoperit o nouă serie de campanii de spyware, care evoluează rapid, atacând peste 2.000 de organizaţii industriale din întreaga lume.

Spre deosebire de multe campanii de spyware convenţionale, aceste atacuri ies în evidenţă datorită numărului limitat de ţinte în fiecare atac şi duratei de viaţă foarte scurte a fiecărei mostre rău intenţionate. 

În prima jumătate a anului 2021, experţii Kaspersky ICS CERT au observat o anomalie curioasă în statisticile privind ameninţările spyware blocate pe computerele ICS. Deşi malware-ul utilizat în aceste atacuri aparţine unor familii de spyware bine-cunoscute, cum ar fi Agent Tesla/Origin Logger, HawkEye şi alţii, aceste atacuri ies în evidenţă faţă de cele convenţionale prin numărul foarte limitat de ţinte urmărite în fiecare atac (de la un număr foarte mic până la câteva zeci de ţinte) şi durata de viaţă foarte scurtă a fiecărui eşantion rău intenţionat.

O analiză mai atentă a 58.586 de mostre de spyware, blocate pe computere ICS în primul semestru al 2021, a arătat că aproximativ 21,2% dintre ele făceau parte din această nouă serie de atacuri cu rază limitată şi durată scurtă de viaţă. Ciclul lor de viaţă este de aproximativ 25 de zile, o perioadă mult mai scurtă decât durata de viaţă a unei campanii de spyware „tradiţionale”.

Deşi fiecare dintre aceste mostre de spyware „anormale” dispare repede şi nu este distribuită pe scară largă, ele reprezintă o pondere disproporţionat de mare a tuturor atacurilor de spyware. În Asia, de exemplu, fiecare al şaselea computer atacat cu spyware a fost atins de unul dintre eşantioanele de spyware „anormale” (2,1% din 11,9%).

De remarcat că majoritatea acestor campanii sunt răspândite de la o companie industrială la alta prin e-mailuri de tip phishing bine concepute. Odată pătruns în sistemul victimei, atacatorul foloseşte dispozitivul ca server C2 (comandă şi control) pentru următorul atac. Cu acces la lista de corespondenţă a victimei, infractorii pot abuza de e-mailul corporativ şi pot răspândi şi mai mult programul spyware.

Potrivit telemetriei Kaspersky ICS CERT, peste 2.000 de organizaţii industriale din întreaga lume au fost încorporate în infrastructura rău intenţionată şi utilizate de cybergangs pentru a răspândi atacurile lor către alte organizaţii şi parteneri de afaceri. Se estimează că numărul total de conturi corporative compromise sau furate ca urmare a acestor atacuri este de peste 7.000.

Datele importante obţinute de la calculatoarele ICS ajung adesea pe diverse pieţe. Experţii Kaspersky au identificat peste 25 de pieţe diferite unde au fost vândute acreditările furate în cadrul acestor organizaţii industriale. Analiza pieţelor a evidenţiat o cerere mare pentru acreditări pentru conturile corporative, în special pentru Remote Desktop Accounts (RDP). Peste 46% din toate conturile RDP vândute pe pieţele analizate sunt deţinute de companii din SUA, în timp ce restul provin din Asia, Europa şi America Latină. Aproape 4% (aproape 2.000 de conturi) din toate conturile RDP vândute aparţineau companiilor industriale.

O altă piaţă în creştere este Spyware-as-a-Service. Deoarece codurile sursă ale unor programe spyware populare au fost făcute publice, acestea au devenit foarte disponibile în magazinele online sub forma unui serviciu – dezvoltatorii vând nu numai malware ca produs, ci şi o licenţă pentru un generator de malware şi acces la infrastructură preconfigurată pentru a construi malware.

Pentru a asigura o protecţie adecvată a unei companii din industrie, dar şi a operaţiunilor partenerilor acesteia, experţii Kaspersky recomandă:

• Implementaţi autentificarea în doi factori pentru accesul la e-mailul corporativ şi alte servicii (inclusiv RDP, gateway-uri VPN-SSL etc.) care ar putea fi utilizate de un atacator pentru a obţine acces la infrastructura internă a companiei şi la datele sale critice.
• Asiguraţi-vă că întregul nivel endpoint, atât reţelele IT, cât şi cele OT, sunt protejate cu o soluţie modernă de securitate la nivel endpoint, care este configurată corespunzător şi este actualizată la zi.
• Pregătiţi-vă în mod regulat personalul pentru a gestiona în siguranţă e-mailurile primite şi pentru a-şi proteja sistemele de programele malware care pot fi ascunse în documentele şi link-urile primite pe e-mail.
• Verificaţi în mod regulat folderele de spam în loc să le goliţi.
• Monitorizaţi expunerea conturilor organizaţiei dumneavoastră la web.
• Utilizaţi soluţii sandbox concepute pentru a testa automat documentele în traficul de e-mail de intrare. Cu toate acestea, asiguraţi-vă că soluţia sandbox este configurată pentru a nu sări peste e-mailuri din surse „de încredere”, inclusiv organizaţii partenere şi de contact, deoarece nimeni nu este 100% protejat de compromisul securităţii.
• Testaţi fişierele ataşate din e-mailurile expediate de organizaţie pentru a vă asigura că datele conţinute de acestea nu sunt compromise.