Criminalii cibernetici folosesc noi tactici pentru a ataca companiile industriale
criminali ciberneticihackeriatacuri cibernetice
Expertii in securitate cibernetica de la Kaspersky au descoperit o noua serie de campanii de spyware, care evolueaza rapid, atacand peste 2.000 de companii industriale din intreaga lume. Spre deosebire de multe campanii de spyware mainstream, aceste atacuri ies in evidenta datorita numarului limitat de tinte in fiecare atac si duratei de viata foarte scurte a fiecarei mostre rau intentionate. Studiul a identificat mai mult de 25 de piete unde sunt vandute date furate. Acestea, dar si alte constatari au fost publicate in noul raport Kaspersky ICS CERT.
In prima jumatate a anului 2021, expertii Kaspersky ICS CERT au observat o anomalie curioasa in statisticile privind amenintarile spyware blocate pe computerele ICS. Desi malware-ul utilizat in aceste atacuri apartine unor familii de spyware bine-cunoscute, cum ar fi Agent Tesla/Origin Logger, HawkEye si altii, aceste atacuri ies in evidenta fata de mainstream prin numarul foarte limitat de tinte in fiecare atac (de la un numar foarte mic pana la cateva zeci de tinte) si durata de viata foarte scurta a fiecarui esantion rau intentionat.
O analiza mai atenta a 58.586 de mostre de spyware, blocate pe computere ICS in primul semestru al 2021, a aratat ca aproximativ 21,2% dintre ele faceau parte din aceasta noua serie de atacuri cu raza limitata si durata scurta de viata. Ciclul lor de viata este de aproximativ 25 de zile, o perioada mult mai scurta decat durata de viata a unei campanii de spyware "traditionale".
Desi fiecare dintre aceste mostre de spyware "anormale" dispare repede si nu este distribuita pe scara larga, ele reprezinta o pondere disproportionat de mare a tuturor atacurilor de spyware. In Asia, de exemplu, fiecare al saselea computer atacat cu spyware a fost atins de unul dintre esantioanele de spyware „anormale” (2,1% din 11,9%).
Potrivit telemetriei Kaspersky ICS CERT, peste 2.000 de organizatii industriale din intreaga lume au fost incorporate in infrastructura rau intentionata si utilizate de cybergangs pentru a raspandi atacurile lor catre alte organizatii si parteneri de afaceri. Estimam ca numarul total de conturi corporative compromise sau furate ca urmare a acestor atacuri este de peste 7.000.
Datele importante obtinute de la calculatoarele ICS ajung adesea pe diverse piete.
Au fost identificate peste 25 de piete diferite unde au fost vandute acreditarile furate in cadrul acestor campanii industriale. Analiza pietelor a evidentiat o cerere mare pentru acreditari pentru conturile corporative, in special pentru Remote Desktop Accounts (RDP). Peste 46% din toate conturile RDP vandute pe pietele analizate sunt detinute de companii din SUA, in timp ce restul provin din Asia, Europa si America Latina. Aproape 4% (aproape 2.000 de conturi) din toate conturile RDP vandute apartineau companiilor industriale.
O alta piata in crestere este Spyware-as-a-Service. Deoarece codurile sursa ale unor programe spyware populare au fost facute publice, acestea au devenit foarte disponibile in magazinele online sub forma unui serviciu – dezvoltatorii vand nu numai malware ca produs, ci si o licenta pentru un generator de malware si acces la infrastructura preconfigurata pentru a construi malware.
"Pe parcursul anului 2021, infractorii cibernetici au folosit pe scara larga spyware pentru a ataca computerele industriale. Astazi asistam la o noua tendinta care evolueaza rapid in peisajul amenintarilor industriale. Pentru a evita detectarea, criminalii reduc dimensiunea fiecarui atac si limiteaza utilizarea fiecarui esantion de malware, impunand rapid inlocuirea acestuia cu unul proaspat construit.
Alte tactici includ utilzarea abuziva masiva a infrastructurii de e-mail corporative pentru a raspandi programe malware. Acest lucru este diferit de tot ceea ce am observat inainte in software-ul spyware si anticipam ca astfel de atacuri sa castige teren in anul urmator", comenteaza Kirill Kruglov, expert in securitate la Kaspersky ICS CERT.
RSS Flux RSS 2.0
Sitemap XML