Új taktikákkal próbálnak adatokat kicsalni a vállalatoktól

Új, gyorsan fejlődő kémprogramtámadás-sorozatot fedeztek fel, amelynek keretében már több mint 2000 iparvállalatot ért támadás világszerte.

A 2021-es év első felében a Kaspersky ICS CERT szakértői egy furcsa anomáliára figyeltek fel az ICS-számítógépek által blokkolt kémprogram-fenyegetések statisztikáiban. Bár a támadásokban használt malware a jól ismert kémprogram-családokba – pl. Agent Tesla/Origin Logger, HawkEye és mások – tartozik, ezek a támadások azzal tűnnek ki a többi közül, hogy egy-egy támadás nagyon csekély számú (néhány, illetve pár tucatnyi) célpontra irányul, és hogy nagyon rövid az egyes kártékony minták élettartama.

(Fotó: shutterstock)

A 2021. első félévében az ICS-számítógépeken blokkolt 58 586 kémprogram-minta mélyrehatóbb elemzéséből kiderült, hogy mintegy 21,2 százalékuk tartozott ebbe az új, korlátozott hatókörű, rövid élettartamú támadássorozatba. Az életciklusuk mindössze nagyjából 25 nap, ami sokkal rövidebb, mint egy „hagyományos” kémprogram-kampány élettartama.

Bár ezek a „rendellenes” kémprogram-minták rövid életűek és nem terjesztik őket széles körben, mégis aránytalanul nagy arányban képviseltetik magukat az összes kémprogram-támadás között. Ázsiában például minden ötödik kémprogrammal támadott számítógépet az egyik „rendellenes” kémprogram-minta támadta meg (2,1 százalék a 11,9 százalékból).

Azon ICS-számítógépek aránya, amelyben kémprogramot blokkoltak 2021. első felében

Figyelemre méltó, hogy e kampányok zöme ügyesen megírt adathalász e-maileken keresztül terjed egyik iparvállalatról a másikra. Az áldozat rendszerébe történt behatolást követően a támadó a következő támadást végrehajtó parancs- és vezérlőszerverként használja az eszközt. Az áldozat levelezőlistájához való hozzáférés birtokában a bűnözők visszaélhetnek a vállalati e-mailekkel, és még tovább terjeszthetik a kémprogramot.

Egy áldozat kontaktlistájával való visszaélés révén terjesztett támadás keretében küldött e-mail

A Kaspersky ICS CERT telemetria-adatai szerint világszerte több mint 2000 ipari szervezetet ölel fel az a rosszindulatú infrastruktúra, amelynek segítségével a kiberbandák az említett szervezetekkel kapcsolatban álló szervezetekre és üzleti partnereikre is kiterjesztik a támadást. Becsléseink szerint a támadások eredményeképpen feltört vagy ellopott vállalati fiókok teljes száma meghaladhatja a 7000-et.

Az ICS-számítógépekről megszerzett érzékeny adatok sokszor különböző piactereken bukkannak fel. A Kaspersky szakemberei több mint 25 különböző olyan piacteret találtak, amelyeken az ipari kampányok keretében ellopott hitelesítési adatokat árulták. Az említett piacterek elemzésből kiderült, hogy nagy kereslet mutatkozik a vállalati fiókok, különösen a távoli asztal fiókok (RDP) hitelesítési adatai iránt. Az elemzett piactereken árult RDP-fiókok több mint 46 százaléka amerikai vállalatok tulajdonában áll, míg a többi Ázsiából, Európából és Latin-Amerikából származik. Az eladásra kínált összes RDP-fiók csaknem 4 százaléka (majdnem 2000 fiók) iparvállalatokhoz tartozott.

A másik növekvő piac a „kémprogram mint szolgáltatás” piaca. Mióta néhány népszerű kémprogram forráskódja nyilvánossá vált, az online üzletek előszeretettel árulják őket szolgáltatás formájában: a fejlesztők nemcsak a malware-t kínálják eladásra termékként, hanem licencet is a malware létrehozásához, valamint hozzáférést a malware létrehozásához előkonfigurált infrastruktúrához.

„A 2021-es év folyamán a kiberbűnözők széles körben alkalmaztak kémprogramokat az ipari számítógépek támadásához. Jelenleg egy új, gyorsan fejlődő trendet láthatunk az ipari fenyegetési környezetben. Hogy elkerüljék a támadás észlelését, a bűnözők lecsökkentik a támadások méretét, és minden egyes malware-minta használatát is korlátozzák, mégpedig úgy, hogy gyorsan kikényszerítik egy újonnan létrehozott mintára cserélését. De emellett más taktikáik is vannak, például széles körben visszaélnek a vállalati levelezési infrastruktúrával a malware-ek terjesztéséhez. Ez eltér attól, amit korábban a kémprogramok kapcsán megfigyeltünk, és arra számítunk, hogy az ilyen jellegű támadások az előttünk álló évben erőre kapnak majd” – fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

Véleményvezér

Dupla annyi különadót fizetett a Lidl az államnak, mint amennyi nyeresége lett

Dupla annyi különadót fizetett a Lidl az államnak, mint amennyi nyeresége lett 

Mohó volt az állam, ami elég gyakori probléma manapság.
Elkészült a világ első olyan robotja, amely már beszél és reagál, természetesen Tesla - video

Elkészült a világ első olyan robotja, amely már beszél és reagál, természetesen Tesla - video 

8 millió forint lesz az ára az új szuper robotnak.
Titkos viszonyra derült fény Donald Trump és Putyin között

Titkos viszonyra derült fény Donald Trump és Putyin között 

Újabb botránykönyv érkezik a piacra.
Hatalmas bakot lőtt Orbán Viktor

Hatalmas bakot lőtt Orbán Viktor 

Lesz-e bocsánatkérés egy ilyen fajsúlyos tárgyi tévedés után?
Kamu jelenléti íveket írtak alá a fideszes EP-képviselők

Kamu jelenléti íveket írtak alá a fideszes EP-képviselők 

Eddig se feszítették szét a munka istrángját a fideszes EP-képviselők.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo