20. ledna 2022 – Novou, rychle se rozvíjející sérii spywarových kampaní, které zaútočily na více než 2000 průmyslových podniků po celém světě, odhalili bezpečnostní experti společnosti Kaspersky. Na rozdíl od běžných spywarových kampaní mají jednotlivé útoky omezený počet cílů a velmi krátkou životnost každého škodlivého vzorku. Společnost Kaspersky identifikovala také více než 25 tržišť, kde se prodávají ukradená data. Tato a další zjištění byla zveřejněna v nové zprávě Kaspersky ICS CERT.
V první polovině roku 2021 si odborníci Kaspersky ICS CERT všimli zvláštní anomálie ve statistikách spywarových hrozeb zablokovaných na počítačích průmyslových řídicích systémů (ICS). Malware použitý při těchto útocích patří sice do známých rodin komoditního spywaru, jako je Agent Tesla/Origin Logger, HawkEye a další, tyto útoky však vybočují z hlavního proudu kvůli velmi omezenému počtu cílů každého útoku (maximálně několika desítek) a velmi krátké době působení každého škodlivého vzorku.
Krátká životnost malwaru umožňuje častější útoky
Podrobnější analýzou 58 586 vzorků spywaru zablokovaného v počítačích ICS v prvním pololetí 2021 experti zjistili, že součástí této nové řady útoků s omezeným rozsahem a krátkou životností bylo přibližně 21,2 % z nich. Jejich životní cyklus je omezen na přibližně 25 dní, což je mnohem méně než životnost „normální“ spywarové kampaně.
I když má každý z těchto „anomálních“ vzorků spywaru krátkou životnost a není příliš rozšířen, tvoří neúměrně velký podíl všech spywarových útoků. Například v Asii byl každý pátý počítač napadený spywarem zasažen jedním z „anomálních“ vzorků spywaru (2,1 % z 11,9 %).
Procento počítačů ICS, na kterých byl v 1. pololetí 2021 zablokován spyware
Zajímavé je, že se většina těchto kampaní šíří z jednoho průmyslového podniku do druhého prostřednictvím dobře připravených phishingových e-mailů. Jakmile útočník pronikne do systému oběti, použije pro další útok například C&C server. Pokud se zločincům podaří získat přístup k seznamu kontaktů oběti, mohou zneužít firemní elektronickou poštu a šířit spyware ještě dále.
E-mail odeslaný v rámci útoku šířeného zneužitím seznamu kontaktů oběti
Podle telemetrie Kaspersky ICS CERT bylo celosvětově do škodlivé infrastruktury zapojeno více než 2 000 průmyslových organizací, které kybernetické gangy zneužily k šíření útoku na další organizace a obchodní partnery obětí. Odhadujeme, že celkový počet firemních účtů ohrožených nebo odcizených v důsledku těchto útoků přesahuje 7000.
Citlivé údaje získané z počítačů ICS často končí na různých tržištích. Experti společnosti Kaspersky identifikovali více než 25 různých tržišť, kde se prodávají ukradené přihlašovací údaje z těchto kampaní proti průmyslovým firmám. Analýza těchto tržišť ukázala vysokou poptávku po údajích pro přístup k firemním účtům, zejména k účtům vzdálené plochy (RDP). Více než 46 % všech účtů RDP prodaných na analyzovaných tržištích vlastní společnosti v USA, zbytek pochází z Asie, Evropy a Latinské Ameriky. Téměř 4 % (asi 2000) všech prodávaných účtů RDP patřila průmyslovým podnikům.
Spyware se už prodává i jako služba, včetně kompletní infrastruktury
Dalším rostoucím trhem je poskytování spywaru jako služby (Spyware-as-a-Service). Zdrojové kódy některých populárních spywarových programů byly zveřejněny a dají se získat v internetových obchodech ve formě služby – vývojáři prodávají nejen malware jako produkt, ale poskytují i licence na nástroje pro tvorbu malwaru a přístup k infrastruktuře předkonfigurované pro tvorbu malwaru.
„Kyberzločinci během roku 2021 široce využívali spyware k útokům na průmyslové počítače. Jsme svědky nového, rychle se rozvíjejícího trendu v oblasti průmyslových hrozeb. Aby se zločinci vyhnuli odhalení, zmenšují velikost každého útoku a omezují použití každého vzorku malwaru tím, že ho rychle nahrazují čerstvě sestaveným vzorkem. Mezi další taktiky patří rozsáhlé zneužívání firemní e-mailové infrastruktury k šíření malwaru. To se liší od všeho, co jsme dosud u spywaru pozorovali, a očekáváme, že takové útoky v letošním roce zesílí,“ komentuje Kirill Kruglov, bezpečnostní expert Kaspersky ICS CERT.
Přečtěte si více o „anomálních“ spywarových kampaních na stránkách ICS CERT.
Chcete-li se dozvědět více o očekávaných hrozbách pro ICS a průmyslové podniky v roce 2022, podívejte se na predikci hrozeb pro ICS v roce 2022.
Pokud chcete zajistit odpovídající kybernetickou ochranu svému průmyslovému podniku, zabránit průnikům do své sítě i sítí partnerů, zvažte následující doporučení bezpečnostních expertů společnosti Kaspersky:
- Zaveďte dvoufaktorové ověřování při přístupu k firemní elektronické poště a dalším službám směřujícím do internetu (včetně RDP, VPN-SSL bran atd.), které by mohl útočník využít pro získání přístupu k interní infrastruktuře podniku a důležitým provozním informacím.
- Zajistěte ochranu všechny koncových bodů v sítích informačních technologií (IT) i provozních technologií (OT) pomocí vhodného moderního řešení, které je správně nakonfigurováno a řádně aktualizováno.
- Pravidelně školte zaměstnance, aby dokázali bezpečně zacházet s příchozími e-maily a chránit tak vaše firemní systémy před malwarem, který mohou obsahovat přílohy e-mailů.
- Pravidelně kontrolujte složky se spamem místo toho, abyste je pouze mazali.
- Sledujte dostupnost účtů vaší organizace na webu.
- Používejte sandboxy určené pro automatické testování příloh v příchozím e-mailovém provozu. Sandbox však musí být nakonfigurován tak, aby nevynechával kontroly e-mailů z „důvěryhodných“ zdrojů, včetně partnerských a kontaktních organizací, protože před ani u těch si nemůžete být stoprocentně jisti, že nemohly být zneužity.
- Testujte přílohy v odchozích e-mailech, abyste se ujistili, že jste nebyli napadeni.
O týmu Kaspersky ICS CERT
Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) je globální projekt spuštěný společností Kaspersky v roce 2016, jehož cílem je koordinovat aktivity dodavatelů automatizačních systémů, majitelů a provozovatelů výrobních zařízení a výzkumníků v oblasti IT bezpečnosti při zajišťování ochrany průmyslových podniků před kybernetickými útoky. Kaspersky ICS CERT soustředí svoje úsilí především na identifikaci potenciálních a existujících hrozeb, které cílí na průmyslové automatizační systémy a průmyslový internet věcí (IoT). Kaspersky ICS CERT je aktivním členem a partnerem předních mezinárodních organizací, které vypracovávají doporučení na ochranu průmyslových podniků před kybernetickými hrozbami. Více informací najdete na ics-cert.kaspersky.com.
O společnosti Kaspersky
Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější. Další informace jsou k dispozici na www.kaspersky.com.