Nowe taktyki ataków na organizacje przemysłowe, wnioski z nowego raportu Kaspersky.
Eksperci z firmy Kaspersky wykryli nową, szybko ewoluującą serię kampanii cyberszpiegowskich, w ramach której zaatakowano ponad 2 000 przedsiębiorstw przemysłowych na całym świecie. Tym, co wyróżniało ataki na tle typowych kampanii spyware, była ograniczona liczba celów ataku oraz niezwykle krótki okres życia każdej szkodliwej próbki. W badaniu zidentyfikowano ponad 25 rynków, na których sprzedawane są skradzione dane. Te i inne ustalenia zostały opublikowane w nowym raporcie zespołu Kaspersky ICS CERT.
W pierwszej połowie 2021 r. eksperci z Kaspersky ICS CERT zaobserwowali interesującą anomalię w statystykach dotyczących zagrożeń spyware, które zostały zablokowane na komputerach przemysłowych. Szkodliwe oprogramowanie wykorzystane w tego rodzaju atakach należy do dobrze znanych rodzin spyware, takich jak Agent Tesla/Origin Logger, HawkEye itp., niemniej ataki te wyróżniały się na tle innych ograniczoną liczbą celów każdego z nich (od kilku do kilkudziesięciu) oraz bardzo krótkim okresem życia każdej szkodliwej próbki.
Dokładniejsza analiza 58 586 próbek spyware zablokowanych na komputerach przemysłowych w pierwszej połowie 2021 r. ujawniła, że około 21,2% z nich miało związek z nową serią ataków charakteryzującą się ograniczonym zakresem celów oraz krótkim okresem życia, który wynosił około 25 dni, czyli znacznie mniej niż aktywność tradycyjnej kampanii szpiegowskiej.
Chociaż wszystkie te nietypowe próbki spyware mają krótki okres życia i nie są szeroko rozpowszechnione, ich udział we wszystkich atakach spyware jest nieproporcjonalnie duży. Na przykład w Azji celem jednej z takich nietypowych próbek spyware był co piąty komputer zaatakowany przy użyciu oprogramowania szpiegującego (2,1% z 11,9%).
Większość omawianych ataków rozprzestrzenia się z jednego przedsiębiorstwa przemysłowego do drugiego za pośrednictwem odpowiednio skonstruowanych e-maili phishingowych. Po wniknięciu do systemu ofiary atakujący wykorzystuje jej urządzenie jako serwer kontroli w kolejnym ataku. Posiadając dostęp do listy kontaktów ofiary, przestępcy mogą wykorzystać pocztę firmową w celu dalszego rozprzestrzeniania oprogramowania spyware.
Według telemetrii zespołu Kaspersky ICS CERT, ponad 2 000 organizacji przemysłowych na całym świecie zostało wcielonych do szkodliwej infrastruktury i wykorzystanych przez cybergangi do rozszerzenia ataku na organizacje stanowiące ich kontakty oraz partnerów biznesowych. Łączną liczbę kont firmowych, które zostały zhakowane lub skradzione w wyniku tych ataków, szacuje się na ponad 7 000.
Wrażliwe dane pochodzące z komputerów przemysłowych atakowanych w ramach omawianych kampanii spyware często trafiają na różne rynki – eksperci z firmy Kaspersky zidentyfikowali ich ponad 25. Analiza tych rynków wskazuje na duże zapotrzebowanie na dane uwierzytelniające do kont firmowych, zwłaszcza do kont pozwalających na zdalny dostęp (RDP). Ponad 46% wszystkich kont RDP będących przedmiotem obrotu na analizowanych rynkach cyberprzestępczych jest własnością firm w Stanach Zjednoczonych, podczas gdy pozostałe zostały utworzone w Azji, Europie oraz Ameryce Łacińskiej. Niemal 4% (prawie 2 000) wszystkich sprzedawanych kont RDP należało do przedsiębiorstw przemysłowych.
Innym rozwijającym się rynkiem jest Spyware-as-a-Service. Od czasu upublicznienia kodu źródłowego pewnych popularnych programów spyware stały się one powszechnie dostępne w sklepach online w postaci usługi – twórcy nie tylko sprzedają szkodliwe oprogramowanie jako produkt, ale również licencję na kreator szkodliwego oprogramowania oraz dostęp do infrastruktury, która jest przygotowana specjalnie z myślą o generowaniu szkodliwego oprogramowania.
W 2021 roku cyberprzestępcy powszechnie wykorzystywali oprogramowanie spyware do atakowania komputerów przemysłowych. Jesteśmy świadkami nowego, szybko ewoluującego trendu w krajobrazie zagrożeń przemysłowych. Aby uniemożliwić wykrycie ataku, cyberprzestępcy zmniejszają jego skalę i ograniczają wykorzystywanie każdej próbki szkodliwego oprogramowania poprzez szybkie wymuszenie zastąpienia jej nową wersją. Inne techniki obejmują wykorzystywanie firmowej infrastruktury poczty e-mail do rozprzestrzeniania szkodliwego oprogramowania. Nigdy wcześniej nie obserwowaliśmy czegoś podobnego, jeśli chodzi o oprogramowanie spyware – powiedział Kirył Krugłow, ekspert ds. cyberbezpieczeństwa z zespołu Kaspersky ICS CERT.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają przedsiębiorstwom przemysłowym następujące działania pozwalające usprawnić ochronę:
- Stosuj uwierzytelnienie dwuskładnikowe dla dostępu do poczty firmowej oraz innych usług mających połączenie z internetem (w tym RDP, bramy VPN-SSL itd.), które mogłyby zostać wykorzystane przez atakujących w celu uzyskania dostępu do wewnętrznej infrastruktury firmy oraz krytycznych dla działalności danych.
- Zapewnij wszystkim punktom końcowym — zarówno w sieci IT, jak i OT — ochronę przy pomocy współczesnego rozwiązania bezpieczeństwa punktów końcowych, które jest poprawnie skonfigurowane oraz na bieżąco aktualizowane.
- Zadbaj o regularne szkolenia personelu w zakresie bezpiecznej obsługi przychodzących wiadomości e-mail oraz ochrony systemów przed szkodliwym oprogramowaniem, które może ukrywać się w załącznikach do wiadomości.
- Regularnie sprawdzaj foldery spamowe, zamiast ich automatycznego opróżniania.
- Monitoruj widoczność kont organizacji w internecie.
- Stosuj rozwiązania piaskownicy przeznaczone do automatycznego testowania załączników w przychodzącym ruchu e-mail. Zadbaj o takie skonfigurowanie piaskownicy, by proces testowania nie pomijał e-maili z „zaufanych” źródeł.
- Testuj załączniki w wiadomościach wychodzących, aby zapobiec naruszeniu bezpieczeństwa.