Sajber kriminalci koriste nove taktike za napad na industrijske organizacije - Sve u cilju dobijanja korporativnih kredencijala

Stručnjaci kompanije Kaspersky su otkrili novu, brzo evoluirajuću seriju spajver kampanja, koje su napale preko 2.000 industrijskih preduzeća širom sveta. Za razliku od mnogih mejnstrim spajver kampanja, ovi napadi se ističu zbog ograničenog broja meta u svakom napadu, i veoma kratkog životnog veka svakog malicioznog uzorka. Istraživanje je identifikovalo više od 25 tržišta na kojima se prodaju ukradeni podaci. Ovi i drugi nalazi su objavljeni u novom ICS CERT izveštaju kompanije Kaspersky.

ICS CERT stručnjaci kompanije Kaspersky su tokom prve polovine 2021. godine primetili neobičnu anomaliju u statistici o spajver pretnjama blokiranim na ICS računarima. Iako malver korišćen u ovim napadima pripada poznatim porodicama spajvera kao što su Agent Tesla/Origin Logger, HawkEye i druge, ovi napadi se izdvajaju od mejnstrim napada po veoma ograničenom broju meta u svakom napadu (od par meta do nekoliko desetina) i vrlo kratkom životnom veku svakog malicioznog uzorka.

Detaljnija analiza 58.586 uzoraka spajvera blokiranog na ICS računarima u prvoj polovini 2021. otkrila je da je oko 21,2% njih deo ove nove serije napada ograničenog opsega i kratkog životnog veka. Njihov životni ciklus ograničen je na oko 25 dana, što je dosta manje od životnog veka 'tradicionalne' spajver kampanje.

Iako je svaki od ovih "anomalnih" uzoraka spajvera kratkog životnog veka i nije široko rasprostranjen, oni obuhvataju nesrazmerno veliki udeo svih spajver napada. U Aziji, na primer, svaki šesti računar napadnut spajverom pogođen je jednim od "anomalnih" uzoraka spajvera (2,1% od 11,9%).

Primetno je da se većina ovih kampanja širi sa jednog industrijskog preduzeća na drugo putem dobro izrađenih fišing i-mejlova. Nakon što prodre u sistem žrtve, napadač koristi uređaj kao next-attack C2 (command i control) server. Uz pristup mejling listi žrtve, kriminalci mogu da zloupotrebljavaju korporativni i-mejl i još dalje šire spajver.

Prema Kaspersky ICS CERT telemetriji, više od 2.000 industrijskih organizacija širom sveta inkorporirano je u malicioznu infrastrukturu i sajber bande ih koriste za širenje napada na njihove kontakt organizacije i poslovne partnere. Procenjuje se da je ukupan broj kompromitovanih ili ukradenih korporativnih naloga kao rezultat ovih napada veći od 7.000.

Osetljivi podaci preuzeti sa ICS računara često završe na različitim tržištima. Stručnjaci kompanije Kaspersky su identifikovali više od 25 različitih tržišta na kojima su prodavani ukradeni podaci iz ovih industrijskih kampanja. Analiza tih tržišta ukazala je na veliku potražnju za podacima potrebnim za logovanje na korporativne naloge, posebno za Remote Desktop naloge (RDP). Više od 46% svih RDP naloga prodatih na analiziranim tržištima nalazi se u vlasništvu kompanija iz SAD, dok ostali potiču iz Azije, Evrope i Latinske Amerike. Gotovo 4% (skoro 2.000 naloga) svih prodatih RDP naloga pripadalo je industrijskim preduzećima.

Još jedno rastuće tržište je Spyware-as-a-Service. Budući da su izvorni kodovi nekih popularnih spajver programa objavljeni javno, postali su vrlo dostupni u onlajn prodavnicama u vidu usluge – programeri ne prodaju samo malver kao proizvod već i licencu za izradu malvera i pristup unapred konfigurisanoj infrastrukturi za izradu malvera.

- Tokom 2021. godine, sajber kriminalci su u velikoj meri koristili spajver za napad na industrijske računare. Danas primećujemo novi, brzo evoluirajući trend u oblasti industrijskih pretnji. Kako bi izbegli otkrivanje, kriminalci smanjuju veličinu svakog napada i ograničavaju upotrebu svakog uzorka malvera tako što ga brzo zamenjuju novim. Ostale taktike uključuju ogromnu zloupotrebu korporativne i-mejl infrastrukture za širenje malvera. Ovo se razlikuje od svega što smo ranije primetili kada je reč o spajveru i očekujemo da će takvi napadi dobiti na snazi u godini koja je pred nama - komentariše Kiril Kruglov (Kirill Kruglov), ICS CERT stručnjak za bezbednost u kompaniji Kaspersky.

Saznajte više o ‘anomalnim’ spajver kampanjama na ICS CERT.

Da biste saznali više o pretnjama po ICS i industrijska preduzeća u 2022. godini, pročitajte ICS predikcije pretnji za 2022.

Da biste osigurali adekvatnu zaštitu industrijskog preduzeća, funkcionisanje njegove partnerske mreže i poslovanja, stručnjaci kompanije Kaspersky predlažu sledeće:

• Implementirajte dvofaktorsku autentifikaciju za pristup korporativnom i-mejlu i druge internet servise (uključujući RDP, VPN-SSL gateways, itd.) koje bi napadač mogao da upotrebi za osiguravanje pristupa internoj infrastrukturi vaše kompanije i podacima ključnim za poslovanje.

• Vodite računa da su sve krajnje tačke, kako na IT tako i na OT mrežama, zaštićene modernim endpoint bezbednosnim rešenjem koje je ispravno konfigurisano i ažurirano.

• Redovno obučavajte svoje zaposlene kako bi osigurali bezbedan pristup dolaznim i-mejlovima i zaštitili svoje sisteme od malvera koga priloženi fajlovi u i-mejlu mogu da sadrže.

• Redovno proveravajte spam foldere umesto da ih samo brišete.

• Nadgledajte izloženost naloga svoje organizacije vebu.

• Koristite sandbox rešenja dizajnirana za automatsko testiranje priloženih fajlova u dolaznom i-mejl saobraćaju. Ipak, proverite da li je vaše sandbox rešenje konfigurisano tako da ne preskače i-mejlove koji dolaze od "pouzdanih" izvora, uključujući partnerske i kontakt organizacije, jer niko nije 100% zaštićen od ugrožavanja bezbednosti.

• Testirajte priložene fajlove u odlaznim i-mejlovima kako biste bili sigurni da nisu kompromitovani.