În prima jumătate a anului 2021, experții Kaspersky ICS CERT au observat o anomalie curioasă în statisticile privind amenințările spyware blocate pe computerele ICS. Deși malware-ul utilizat în aceste atacuri aparține unor familii de spyware bine-cunoscute, cum ar fi Agent Tesla/Origin Logger, HawkEye și alții, aceste atacuri ies în evidență față de mainstream prin numărul foarte limitat de ținte în fiecare atac (de la un număr foarte mic până la câteva zeci de ținte) și durata de viață foarte scurtă a fiecărui eșantion rău intenționat.
O analiză mai atentă a 58.586 de mostre de spyware, blocate pe computere ICS în primul semestru al 2021, a arătat că aproximativ 21,2% dintre ele făceau parte din această nouă serie de atacuri cu rază limitată și durată scurtă de viață. Ciclul lor de viață este de aproximativ 25 de zile, o perioadă mult mai scurtă decât durata de viață a unei campanii de spyware „tradiționale”.
Deși fiecare dintre aceste mostre de spyware „anormale” dispare repede și nu este distribuită pe scară largă, ele reprezintă o pondere disproporționat de mare a tuturor atacurilor de spyware. În Asia, de exemplu, fiecare al șaselea computer atacat cu spyware a fost atins de unul dintre eșantioanele de spyware „anormale” (2,1% din 11,9%).
De remarcat că majoritatea acestor campanii sunt răspândite de la o companie industrială la alta prin e-mailuri de tip phishing bine concepute. Odată pătruns în sistemul victimei, atacatorul folosește dispozitivul ca server C2 (comandă și control) pentru următorul atac. Cu acces la lista de corespondență a victimei, infractorii pot abuza de e-mailul corporativ și pot răspândi și mai mult programul spyware.
Potrivit telemetriei Kaspersky ICS CERT, peste 2.000 de organizații industriale din întreaga lume au fost încorporate în infrastructura rău intenționată și utilizate de cybergangs pentru a răspândi atacurile lor către alte organizații și parteneri de afaceri. Estimăm că numărul total de conturi corporative compromise sau furate ca urmare a acestor atacuri este de peste 7.000.
Datele importante obținute de la calculatoarele ICS ajung adesea pe diverse piețe. Experții Kaspersky au identificat peste 25 de piețe diferite unde au fost vândute acreditările furate în cadrul acestor campanii industriale. Analiza piețelor a evidențiat o cerere mare pentru acreditări pentru conturile corporative, în special pentru Remote Desktop Accounts (RDP). Peste 46% din toate conturile RDP vândute pe piețele analizate sunt deținute de companii din SUA, în timp ce restul provin din Asia, Europa și America Latină. Aproape 4% (aproape 2.000 de conturi) din toate conturile RDP vândute aparțineau companiilor industriale.
O altă piață în creștere este Spyware-as-a-Service. Deoarece codurile sursă ale unor programe spyware populare au fost făcute publice, acestea au devenit foarte disponibile în magazinele online sub forma unui serviciu – dezvoltatorii vând nu numai malware ca produs, ci și o licență pentru un generator de malware și acces la infrastructură preconfigurată pentru a construi malware.
„Pe parcursul anului 2021, infractorii cibernetici au folosit pe scară largă spyware pentru a ataca computerele industriale. Astăzi asistăm la o nouă tendință care evoluează rapid în peisajul amenințărilor industriale. Pentru a evita detectarea, criminalii reduc dimensiunea fiecărui atac și limitează utilizarea fiecărui eșantion de malware, impunând rapid înlocuirea acestuia cu unul proaspăt construit. Alte tactici includ utilzarea abuzivă masivă a infrastructurii de e-mail corporative pentru a răspândi programe malware. Acest lucru este diferit de tot ceea ce am observat înainte în software-ul spyware și anticipăm ca astfel de atacuri să câștige teren în anul următor”, comentează Kirill Kruglov, expert în securitate la Kaspersky ICS CERT.
Citiți mai multe despre campaniile neobișnuite de spyware pe ICS CERT.
Pentru a afla mai multe despre amenințările la adresa ICS și a marilor companii industriale în 2022, consultați previziunile amenințărilor ICS pentru 2022.
Pentru a asigura o protecție adecvată a unei companii industrial, dar și a operațiunilor partenerilor acesteia, experții Kaspersky recomandă:
Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) este un proiect global lansat de Kaspersky în 2016 pentru a coordona eforturile vânzătorilor de sisteme de automatizare, proprietarilor și operatorilor de instalații industriale și cercetătorilor în securitate IT pentru a proteja companiile industriale de atacurile cibernetice. Kaspersky ICS CERT își dedică eforturile în primul rând identificării amenințărilor potențiale și existente care vizează sistemele de automatizare industrială și Industrial Internet of Things. Kaspersky ICS CERT este membru activ și partener al organizațiilor internaționale de top care dezvoltă recomandări privind protejarea companiilor industriale împotriva amenințărilor cibernetice. ics-cert.kaspersky.com/