Új, gyorsan fejlődő kémprogramtámadás-sorozatot fedeztek fel a Kaspersky szakértői, melynek keretében már több mint 2000 iparvállalatot ért támadás világszerte. A mainstream kémprogram-támadásokkal ellentétben ezek a támadások azzal tűnnek ki, hogy korlátozott számú célpontra irányulnak, és az egyes kártékony minták élettartama nagyon rövid. A tanulmány több mint 25 olyan piacteret említ, ahol a lopott adatokkal kereskednek - derül ki a Kaspersky jelentéséből.
A 2021-es év első felében a Kaspersky ICS CERT szakértői egy furcsa anomáliára figyeltek fel az ICS-számítógépek által blokkolt kémprogram-fenyegetések statisztikáiban. Bár a támadásokban használt malware a jól ismert kémprogram-családokba – pl. Agent Tesla/Origin Logger, HawkEye és mások – tartozik, ezek a támadások azzal tűnnek ki a többi közül, hogy egy-egy támadás nagyon csekély számú (néhány, illetve pár tucatnyi) célpontra irányul, és hogy nagyon rövid az egyes kártékony minták élettartama.
A 2021. első félévében az ICS-számítógépeken blokkolt 58 586 kémprogram-minta mélyrehatóbb elemzéséből kiderült, hogy mintegy 21,2%-uk tartozott ebbe az új, korlátozott hatókörű, rövid élettartamú támadássorozatba. Az életciklusuk mindössze nagyjából 25 nap, ami sokkal rövidebb, mint egy „hagyományos” kémprogram-kampány élettartama.
Bár ezek a „rendellenes” kémprogram-minták rövid életűek és nem terjesztik őket széles körben, mégis aránytalanul nagy arányban képviseltetik magukat az összes kémprogram-támadás között. Ázsiában például minden ötödik kémprogrammal támadott számítógépet az egyik „rendellenes” kémprogram-minta támadta meg (2,1% a 11,9%-ból).
Azon ICS-számítógépek aránya, amelyben kémprogramot blokkoltak 2021. első felében
Figyelemre méltó, hogy e kampányok zöme ügyesen megírt adathalász e-maileken keresztül terjed egyik iparvállalatról a másikra. Az áldozat rendszerébe történt behatolást követően a támadó a következő támadást végrehajtó parancs- és vezérlőszerverként használja az eszközt. Az áldozat levelezőlistájához való hozzáférés birtokában a bűnözők visszaélhetnek a vállalati e-mailekkel, és még tovább terjeszthetik a kémprogramot.
Egy áldozat kontaktlistájával való visszaélés révén terjesztett támadás keretében küldött e-mail
A Kaspersky ICS CERT telemetria-adatai szerint világszerte több mint 2000 ipari szervezetet ölel fel az a rosszindulatú infrastruktúra, amelynek segítségével a kiberbandák az említett szervezetekkel kapcsolatban álló szervezetekre és üzleti partnereikre is kiterjesztik a támadást. Becsléseink szerint a támadások eredményeképpen feltört vagy ellopott vállalati fiókok teljes száma meghaladhatja a 7000-et.
Az ICS-számítógépekről megszerzett érzékeny adatok sokszor különböző piactereken bukkannak fel. A Kaspersky szakemberei több mint 25 különböző olyan piacteret találtak, amelyeken az ipari kampányok keretében ellopott hitelesítési adatokat árulták. Az említett piacterek elemzésből kiderült, hogy nagy kereslet mutatkozik a vállalati fiókok, különösen a távoli asztal fiókok (RDP) hitelesítési adatai iránt. Az elemzett piactereken árult RDP-fiókok több mint 46%-a amerikai vállalatok tulajdonában áll, míg a többi Ázsiából, Európából és Latin-Amerikából származik. Az eladásra kínált összes RDP-fiók csaknem 4%-a (majdnem 2000 fiók) iparvállalatokhoz tartozott.
A másik növekvő piac a „kémprogram mint szolgáltatás” piaca. Mióta néhány népszerű kémprogram forráskódja nyilvánossá vált, az online üzletek előszeretettel árulják őket szolgáltatás formájában: a fejlesztők nemcsak a malware-t kínálják eladásra termékként, hanem licencet is a malware létrehozásához, valamint hozzáférést a malware létrehozásához előkonfigurált infrastruktúrához.
„A 2021-es év folyamán a kiberbűnözők széles körben alkalmaztak kémprogramokat az ipari számítógépek támadásához. Jelenleg egy új, gyorsan fejlődő trendet láthatunk az ipari fenyegetési környezetben. Hogy elkerüljék a támadás észlelését, a bűnözők lecsökkentik a támadások méretét, és minden egyes malware-minta használatát is korlátozzák, mégpedig úgy, hogy gyorsan kikényszerítik egy újonnan létrehozott mintára cserélését. De emellett más taktikáik is vannak, például széles körben visszaélnek a vállalati levelezési infrastruktúrával a malware-ek terjesztéséhez. Ez eltér attól, amit korábban a kémprogramok kapcsán megfigyeltünk, és arra számítunk, hogy az ilyen jellegű támadások az előttünk álló évben erőre kapnak majd” – fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
A Kaspersky szakemberei a következőket javasolják egy iparvállalat, valamint annak partnerhálózati tevékenységei és üzleti tevékenységei megfelelő védeleméhez:
Alkalmazzanak kéttényezős hitelesítést a vállalati e-mailekhez való hozzáférésre és az egyéb olyan internetre kinéző szolgáltatásokra (pl. RDP, VPN-SSL átjárók, stb.), amelyeket egy támadó arra használhat, hogy hozzáférést szerezzen a vállalat belső infrastruktúrájához és az üzleti tevékenység szempontjából kritikusan fontos adataihoz.
Ügyeljenek arra, hogy minden végpont számára – az IT és az OT hálózatokon egyaránt – megfelelően konfigurált, folyamatosan frissített modern végpontvédelmi megoldással biztosítsanak védelmet.
Rendszeresen részesítsék oktatásban a dolgozókat azzal kapcsolatban, hogy miként kezeljék biztonságosan a bejövő e-mailjeiket, és hogyan védjék meg a rendszereiket azoktól a malware-ektől, amelyeket az e-mail csatolmányok tartalmazhatnak.
Rendszeresen ellenőrizzék a levélszemét mappákat, ne pusztán ürítsék őket.
Kísérjék figyelemmel, hogy milyen mértékben vannak kitéve a szervezet fiókjai a webnek.
Használjanak sandbox megoldásokat, amelyek a bejövő e-mail-forgalomban lévő csatolmányok automatikus tesztelésére szolgálnak. Figyeljenek azonban arra, hogy a sandbox megoldás úgy legyen konfigurálva, hogy ne hagyja ki a „megbízható” forrásokból származó e-maileket, így a partnerektől és a vállalattal kapcsolatban álló szervezetektől származó e-maileket sem, hiszen senki sem élvez 100%-os védettséget a biztonsági veszélyek ellen.
Teszteljék a kimenő e-mailek csatolmányait annak biztosítására, hogy ne legyenek kompromittáltak.
