Kasperskys it-sikkerhedseksperter har afsløret en ny serie af spywarekampagner, der har angrebet mere end 2.000 industrivirksomheder verden over.
I modsætning til mange almindelige spywarekampagner adskiller disse angreb sig ved at have et begrænset antal mål og en meget kort levetid.
Dernæst ændre spywarekampagnen sig og går efter nye mål, også kun i kortere perioder. Kaspersky har identificeret mere end 25 markedspladser, der sælger de stjålne data. Disse, og andre resultater, er netop offentliggjort i den nye Kaspersky ICS CERT-rapport.
I første halvdel af 2021 bemærkede Kaspersky ICS CERT-eksperter en besynderlig anomali i statistikkerne over spyware, der havde blokeret ICS-computere. Selvom malwaren var kendt fra andre spyware-familier, som Agent Tesla/Origin Logger og HawkEye, skilte de sig alligevel ud ved kun at have et meget begrænset antal mål for hvert angreb (fra en 4-5 virksomheder til et par dusin) og en meget kort levetid.
En nærmere analyse af 58.586 prøver af spyware, der blev blokeret på ICS-computere i den første halvår af 2021, viste, at ca. 21,2 procent af dem var en del af denne nye serie af spyware. Deres livscyklus er begrænset til ca. 25 dage, hvilket er en meget kortere levetid end traditionelle spywarekampagner.
Selv om hver af disse “unormale” spywareprøver har en kort levetid og ikke er særlig udbredte, tegner de sig for en uforholdsmæssig stor del af alle spywareangreb. I Europa blev f.eks. hver niende computer, der blev angrebet med spyware, ramt af en af de “unormale” spywaretyper (0,7 % ud af 6,3 %).
Spredes fra den ene industrivirksomhed til den næste
De fleste af disse spywarekampagner spredes fra den ene industrivirksomhed til den næste via veludformede phishing-e-mails. Når først de it-kriminelle har trængt ind i offerets it-system, bruger de enheden som en C2-server (kommando og kontrol) for det næste angreb. Med adgang til offerets mailingliste kan de it-kriminelle misbruge virksomhedens e-mail og sprede spywaren endnu mere.
Ifølge Kaspersky ICS CERT-telemetri er mere end 2.000 industrivirksomheder i verden blevet indlemmet i denne ondsindede infrastruktur og blevet misbrugt af it-kriminelle bander til at sprede angrebene til deres samarbejdspartnere. Kaspersky anslår, at det samlede antal kompromitterede eller stjålne virksomhedskonti, som følge af disse angreb, er mere end 7.000.
Data sælges på markedspladser
De følsomme data, der er stjålet fra ICS-computere, ender ofte på forskellige markedspladser. Kaspersky har identificeret mere end 25 forskellige markedspladser, hvor de stjålne legitimationsoplysninger sælges.
En analyse viste blandt andet, at der var stor efterspørgsel efter legitimationsoplysninger til virksomhedskonti, især til Remote Desktop Accounts (RDP). Over 46 procent af alle RDP-konti, der sælges på de undersøgte markedspladser, ejes af virksomheder i USA, mens resten stammer fra Asien, Europa og Latinamerika. Næsten 4 procent (næsten 2.000 konti) af de solgte RDP-konti tilhørte industrivirksomheder.
Et andet marked i vækst er Spyware-as-a-Service
Siden kildekoderne til nogle af de populære spywareprogrammer er blevet offentliggjort, er de nu til at købe ’som-en-service’ i forskellige onlinebutikker. Udviklerne sælger altså både malwaren som et produkt, men også via licens til en malware-bygger og som giver adgang til en infrastruktur, der er forudkonfigureret til at bygge malware.
”I hele 2021 har cyberkriminelle i stor udstrækning brugt spyware til at angribe industricomputere. I dag er vi vidne til en ny og hurtigt voksende tendens i det industrielle trusselslandskab. For at undgå at blive opdaget, gennemfører de it-kriminelle små og hurtige angreb, og skifter hurtigt til et andet ny-udviklet angreb. De it-kriminelle misbruger også i omfattende grad virksomhedernes e-mail-infrastruktur til at sprede malware. Dette er anderledes end noget, vi før har set inden for spyware, og vi forventer, at sådanne angreb vil vinde frem i det kommende år,” siger Kirill Kruglov, it-sikkerhedsekspert hos Kaspersky ICS CERT.
For at sikre tilstrækkelig beskyttelse af en industrivirksomhed, deres partneres netværksoperationer og forretning, anbefaler Kaspersky følgende:
- Implementer to-faktor-autentifikation til virksomhedens e-mailadgang og andre internetvendte tjenester (herunder RDP, VPN-SSL-gateways osv.), som kan bruges af it-kriminelle til at få adgang til virksomhedens interne infrastruktur og forretningskritiske data.
- Sikre at alle endpoints, både på IT- og OT-netværket, er beskyttet med en moderne sikkerhedsløsning for endpoints, der er korrekt konfigureret og holdes opdateret.
- Gennemfør regelmæssig uddannelse af medarbejderne, så de kan håndtere deres indgående e-mails sikkert og beskytte it-systemerne mod malware, som ofte findes i vedhæftede filer i e-mails.
- Gennemfør regelmæssig kontrol af spam-mapperne i stedet for blot at tømme dem.
- Overvåg eksponering af din organisations konti på internettet.
- Brug sandbox-løsninger, der er designet til automatisk at teste vedhæftede filer i den indgående e-mailtrafik. Sørg dog for, at din sandbox-løsning er konfigureret til ikke at springe e-mails fra “betroede” kilder over, heller ikke dem I normalt arbejder sammen med, da ingen er 100 procent beskyttet mod sikkerhedskompromittering.
- Test vedhæftede filer i udgående e-mails for at sikre, at du ikke er kompromitteret.