Connect with us

technokrata

Új taktikákkal próbálnak vállalati hitelesítési adatokat szerezni a kiberbűnözők

vállalati

Adatvédelem

Új taktikákkal próbálnak vállalati hitelesítési adatokat szerezni a kiberbűnözők

Új taktikákkal próbálnak vállalati hitelesítési adatokat szerezni a kiberbűnözők

Új, gyorsan fejlődő kémprogramtámadás-sorozatot fedeztek fel a Kaspersky szakértői, melynek keretében már több mint 2000 iparvállalatot ért támadás világszerte.

A mainstream kémprogram-támadásokkal ellentétben ezek a támadások azzal tűnnek ki, hogy korlátozott számú célpontra irányulnak, és az egyes kártékony minták élettartama nagyon rövid. A tanulmány több mint 25 olyan piacteret említ, ahol a lopott adatokkal kereskednek, derül ki – más megállapítások mellett – az új Kaspersky ICS CERT jelentésből.

A 2021-es év első felében a Kaspersky ICS CERT szakértői egy furcsa anomáliára figyeltek fel az ICS-számítógépek által blokkolt kémprogram-fenyegetések statisztikáiban. Bár a támadásokban használt malware a jól ismert kémprogram-családokba – pl. Agent Tesla/Origin Logger, HawkEye és mások – tartozik, ezek a támadások azzal tűnnek ki a többi közül, hogy egy-egy támadás nagyon csekély számú (néhány, illetve pár tucatnyi) célpontra irányul, és hogy nagyon rövid az egyes kártékony minták élettartama.

A 2021. első félévében az ICS-számítógépeken blokkolt 58 586 kémprogram-minta mélyrehatóbb elemzéséből kiderült, hogy mintegy 21,2%-uk tartozott ebbe az új, korlátozott hatókörű, rövid élettartamú támadássorozatba. Az életciklusuk mindössze nagyjából 25 nap, ami sokkal rövidebb, mint egy „hagyományos” kémprogram-kampány élettartama.

Bár ezek a „rendellenes” kémprogram-minták rövid életűek és nem terjesztik őket széles körben, mégis aránytalanul nagy arányban képviseltetik magukat az összes kémprogram-támadás között. Ázsiában például minden ötödik kémprogrammal támadott számítógépet az egyik „rendellenes” kémprogram-minta támadta meg (2,1% a 11,9%-ból).

Figyelemre méltó, hogy e kampányok zöme ügyesen megírt adathalász e-maileken keresztül terjed egyik iparvállalatról a másikra. Az áldozat rendszerébe történt behatolást követően a támadó a következő támadást végrehajtó parancs- és vezérlőszerverként használja az eszközt. Az áldozat levelezőlistájához való hozzáférés birtokában a bűnözők visszaélhetnek a vállalati e-mailekkel, és még tovább terjeszthetik a kémprogramot.

A Kaspersky ICS CERT telemetria-adatai szerint világszerte több mint 2000 ipari szervezetet ölel fel az a rosszindulatú infrastruktúra, amelynek segítségével a kiberbandák az említett szervezetekkel kapcsolatban álló szervezetekre és üzleti partnereikre is kiterjesztik a támadást. Becsléseink szerint a támadások eredményeképpen feltört vagy ellopott vállalati fiókok teljes száma meghaladhatja a 7000-et.

Az ICS-számítógépekről megszerzett érzékeny adatok sokszor különböző piactereken bukkannak fel. A Kaspersky szakemberei több mint 25 különböző olyan piacteret találtak, amelyeken az ipari kampányok keretében ellopott hitelesítési adatokat árulták. Az említett piacterek elemzésből kiderült, hogy nagy kereslet mutatkozik a vállalati fiókok, különösen a távoli asztal fiókok (RDP) hitelesítési adatai iránt. Az elemzett piactereken árult RDP-fiókok több mint 46%-a amerikai vállalatok tulajdonában áll, míg a többi Ázsiából, Európából és Latin-Amerikából származik. Az eladásra kínált összes RDP-fiók csaknem 4%-a (majdnem 2000 fiók) iparvállalatokhoz tartozott.

A másik növekvő piac a „kémprogram mint szolgáltatás” piaca. Mióta néhány népszerű kémprogram forráskódja nyilvánossá vált, az online üzletek előszeretettel árulják őket szolgáltatás formájában: a fejlesztők nemcsak a malware-t kínálják eladásra termékként, hanem licencet is a malware létrehozásához, valamint hozzáférést a malware létrehozásához előkonfigurált infrastruktúrához.

„A 2021-es év folyamán a kiberbűnözők széles körben alkalmaztak kémprogramokat az ipari számítógépek támadásához. Jelenleg egy új, gyorsan fejlődő trendet láthatunk az ipari fenyegetési környezetben. Hogy elkerüljék a támadás észlelését, a bűnözők lecsökkentik a támadások méretét, és minden egyes malware-minta használatát is korlátozzák, mégpedig úgy, hogy gyorsan kikényszerítik egy újonnan létrehozott mintára cserélését. De emellett más taktikáik is vannak, például széles körben visszaélnek a vállalati levelezési infrastruktúrával a malware-ek terjesztéséhez. Ez eltér attól, amit korábban a kémprogramok kapcsán megfigyeltünk, és arra számítunk, hogy az ilyen jellegű támadások az előttünk álló évben erőre kapnak majd”

– fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

A „rendellenes” kémprogram-kampányokról az ICS CERT oldalon található bővebb információ.

A 2022-es évben az ICS-re és az iparvállalatokra leselkedő fenyegetésekkel kapcsolatos bővebb információkért tekintse meg a 2022-re vonatkozó ICS fenyegetés-előrejelzéseket.

A Kaspersky szakemberei a következőket javasolják egy iparvállalat, valamint annak partnerhálózati tevékenységei és üzleti tevékenységei megfelelő védeleméhez:

  • Alkalmazzanak kéttényezős hitelesítést a vállalati e-mailekhez való hozzáférésre és az egyéb olyan internetre kinéző szolgáltatásokra (pl. RDP, VPN-SSL átjárók, stb.), amelyeket egy támadó arra használhat, hogy hozzáférést szerezzen a vállalat belső infrastruktúrájához és az üzleti tevékenység szempontjából kritikusan fontos adataihoz.
  • Ügyeljenek arra, hogy minden végpont számára – az IT és az OT hálózatokon egyaránt – megfelelően konfigurált, folyamatosan frissített modern végpontvédelmi megoldással biztosítsanak védelmet.
  • Rendszeresen részesítsék oktatásban a dolgozókat azzal kapcsolatban, hogy miként kezeljék biztonságosan a bejövő e-mailjeiket, és hogyan védjék meg a rendszereiket azoktól a malware-ektől, amelyeket az e-mail csatolmányok tartalmazhatnak.
  • Rendszeresen ellenőrizzék a levélszemét mappákat, ne pusztán ürítsék őket.
  • Kísérjék figyelemmel, hogy milyen mértékben vannak kitéve a szervezet fiókjai a webnek.
  • Használjanak sandbox megoldásokat, amelyek a bejövő e-mail-forgalomban lévő csatolmányok automatikus tesztelésére szolgálnak. Figyeljenek azonban arra, hogy a sandbox megoldás úgy legyen konfigurálva, hogy ne hagyja ki a „megbízható” forrásokból származó e-maileket, így a partnerektől és a vállalattal kapcsolatban álló szervezetektől származó e-maileket sem, hiszen senki sem élvez 100%-os védettséget a biztonsági veszélyek ellen.
  • Teszteljék a kimenő e-mailek csatolmányait annak biztosítására, hogy ne legyenek kompromittáltak.

További Adatvédelem

Népszerű

Hirdetés

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

motoros

Smart home

Érkezik a leggyorsabb videócsengő

2022. június 28. kedd
klímaberendezések
google

SmartWatch

Menő szíjakkal jön a Google Pixel Watch

2022. június 23. csütörtök

Dotkom

Műszaki-Magazin.hu