"Kaspersky" eksperti ir atmaskojuši jaunu, strauji augošu spiegprogrammatūru kampaņu sēriju, kas uzbrukusi vairāk nekā 2000 rūpniecības uzņēmumu visā pasaulē.
No vairākuma spiegprogrammatūru kampaņu šie uzbrukumi atšķiras ar ierobežotu upuru skaitu katrā uzbrukumā un katra ļaunprātīgā eksemplāra ļoti īso mūžu. Pētījums konstatēja vairāk nekā 25 tirdzniecības vietas, kur tiek pārdoti nozagtie dati. Šie un citi fakti ir publicēti jaunajā "Kaspersky" ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas (ICS CERT) pārskatā.
2021. gada pirmajā pusē "Kaspersky" ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas eksperti ievēroja interesantu anomāliju ražošanas vadības sistēmu datoros bloķēto spiegprogrammatūru draudu statistikā. Lai gan šajos uzbrukumos izmantotās ļaunprogrammatūras pieder pie plaši pazīstamām patēriņa spiegprogrammatūru saimēm, piemēram, "Agent Tesla" / "Origin Logger", "HawkEye" un citām, šie uzbrukumi atšķiras no vairākuma ar ļoti ierobežotu upuru skaitu katrā uzbrukumā (no dažiem līdz dažiem desmitiem) un katra ļaunprātīgā eksemplāra ļoti īso mūžu.
2021. gada 1. pusgadā ražošanas vadības sistēmu datoros bloķēto 58 586 spiegprogrammatūru eksemplāru padziļināta analīze atklāja, ka aptuveni 21,2 % eksemplāru piederēja pie šīs jaunās ierobežota apjoma un īsa mūža uzbrukumu sērijas. To dzīves cikls ir ierobežots līdz aptuveni 25 dienām, kas ir daudz mazāk par parastas spiegprogrammatūras kampaņas ilgumu.
Tomēr tie veido nesamērīgi lielu daļu no visiem spiegprogrammatūru uzbrukumiem. Piemēram, Āzijā piektdaļu spiegprogrammatūru uzbrukumiem pakļauto datoru ir skāris kāds no anomālajiem spiegprogrammatūru eksemplāriem (2,1 % no 11,9 %).
Svarīgi, ka lielākā daļa šo kampaņu tiek izplatīta no viena rūpniecības uzņēmuma uz nākamo, izmantojot labi izstrādātas pikšķerēšanas e-vēstules. Kad uzbrucējs ir iekļuvis upura sistēmā, tas izmanto šo ierīci par nākamā uzbrukuma C2 (komandvadības) serveri. Ar piekļuvi upura adresātu sarakstam noziedznieki var ļaunprātīgi izmantot uzņēmuma e-pastu un izplatīt spiegprogrammatūru vēl tālāk.
Vairāk nekā 2000 rūpniecisko organizāciju visā pasaulē ir iekļautas ļaunprātīgā infrastruktūrā un kiberbandas tās izmanto, lai izplatītu uzbrukumu uz to kontaktorganizācijām un sadarbības partneriem. Uzbrukumos uzlauzto vai nozagto uzņēmumu kontu kopskaits pārsniedz 7000, lēš "Kaspersky".
Pārdod vismaz 25 vietās
No ražošanas vadības sistēmu datoriem iegūtie konfidenciālie dati bieži nonāk dažādās tirdzniecības vietās. "Kaspersky" eksperti identificēja vairāk nekā 25 tirdzniecības vietas, kur tiek pārdoti šajās rūpnieciskajās kampaņās nozagtie akreditācijas dati. Šo tirdzniecības vietu analīze parādīja, ka ir liels pieprasījums pēc uzņēmumu kontu akreditācijas datiem, ir sevišķi attālās darbvirsmas protokola (RDP) kontiem. Vairāk nekā 46 % visu analizētajās tirdzniecības vietās pārdoto RDP kontu pieder uzņēmumiem ASV, bet pārējie ir Āzijā, Eiropā un Latīņamerikā. Gandrīz 4 % (gandrīz 2000 kontu) visu pārdoto RDP kontu piederēja rūpniecības uzņēmumiem.
Vēl viens augošs tirgus ir spiegprogrammatūras pakalpojums. Kopš ir publiskoti dažu populāru spiegprogrammu pirmkodi, tie ir kļuvuši plaši pieejami tiešsaistes veikalos pakalpojuma veidā: izstrādātāji pārdod ne tikai ļaunprogrammatūru, bet arī ļaunprogrammatūras veidotāja licenci un piekļuvi infrastruktūrai, kas ir iepriekš konfigurēta ļaunprogrammatūras veidošanai.
"Tas atšķiras no visa, ko līdz šim esam novērojuši saistībā ar spiegprogrammatūrām, un mēs prognozējam, ka šogad šādi uzbrukumi pastiprināsies," komentē "Kaspersky" ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas drošības eksperts Kirils Kruglovs.
Ko darīt?
Lai nodrošinātu rūpniecības uzņēmuma, tā partneru tīkla darbības un uzņēmējdarbības pietiekamu aizsardzību, "Kaspersky" eksperti iesaka rīkoties šādi.
• Ieviest divfaktoru autentifikāciju piekļuvei uzņēmuma e-pastam un citiem pakalpojumiem ar piekļuvi internetam (tostarp RDP, VPN-SSL vārtejām utt.), ko uzbrucējs var izmantot, lai piekļūtu uzņēmuma iekšējai infrastruktūrai un uzņēmējdarbībai izšķirīgi svarīgiem datiem.
• Nodrošināt, lai visas galiekārtas gan informācijas, gan operāciju tehnoloģiju tīklā ir aizsargātas ar modernu galiekārtu drošības risinājumu, kas ir pareizi konfigurēts un tiek atjaunināts.
• Regulāri mācīt darbiniekiem, kā droši rīkoties ar ienākošajām e-vēstulēm un aizsargāt sistēmas no ļaunprogrammatūrām, kas var būt ietvertas e-vēstules pielikumā.
• Regulāri pārbaudīt surogātpasta mapes, nevis tikai iztukšot tās.
• Uzraudzīt organizācijas kontu redzamību tīmeklī.
• Izmantot izmēģināšanas vides risinājumus, kas ir paredzēti automātiskai pielikumu pārbaudei ienākošajā e-pasta plūsmā. Tomēr raudzīties, lai izmēģināšanas vides risinājums ir konfigurēts tā, ka neizlaiž e-vēstules no "uzticamiem" avotiem, tostarp sadarbības un kontaktu organizācijām, jo neviens nav 100% pasargāts no drošības pārkāpumiem.
• Pārbaudīt izejošo e-vēstuļu pielikumus, lai pārliecinātos, ka paša konts nav uzlauzts.