Tehnoloģijas

Kibernoziedznieki izmanto jaunu uzbrukumu taktiku rūpnieciskajām organizācijām uzņēmumu akreditācijas datu iegūšanai

Kibernoziedznieki izmanto jaunu uzbrukumu taktiku rūpnieciskajām organizācijām uzņēmumu akreditācijas datu iegūšanai

Kaspersky” eksperti ir atmaskojuši jaunu, strauji augošu spiegprogrammatūru kampaņu sēriju, kas uzbrukusi vairāk nekā 2000 rūpniecības uzņēmumu visā pasaulē. No vairākuma spiegprogrammatūru kampaņu šie uzbrukumi atšķiras ar ierobežotu upuru skaitu katrā uzbrukumā un katra ļaunprātīgā eksemplāra ļoti īso mūžu. Pētījums konstatēja vairāk nekā 25 tirdzniecības vietas, kur tiek pārdoti nozagtie dati.

Šie un citi fakti ir publicēti jaunajā „Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas (ICS CERT) pārskatā.

2021. gada pirmajā pusē „Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas eksperti ievēroja interesantu anomāliju ražošanas vadības sistēmu datoros bloķēto spiegprogrammatūru draudu statistikā. Lai gan šajos uzbrukumos izmantotās ļaunprogrammatūras pieder pie plaši pazīstamām patēriņa spiegprogrammatūru saimēm, piemēram, „Agent Tesla” / „Origin Logger”, „HawkEye” un citām, šie uzbrukumi atšķiras no vairākuma ar ļoti ierobežotu upuru skaitu katrā uzbrukumā (no dažiem līdz dažiem desmitiem) un katra ļaunprātīgā eksemplāra ļoti īso mūžu.

2021. gada 1. pusgadā ražošanas vadības sistēmu datoros bloķēto 58 586 spiegprogrammatūru eksemplāru padziļināta analīze atklāja, ka aptuveni 21,2 % eksemplāru piederēja pie šīs jaunās ierobežota apjoma un īsa mūža uzbrukumu sērijas. To dzīves cikls ir ierobežots līdz aptuveni 25 dienām, kas ir daudz mazāk par parastas spiegprogrammatūras kampaņas ilgumu.

Lai gan katram no šiem anomālajiem spiegprogrammatūru eksemplāriem ir īss mūžs un tie netiek plaši izplatīti, tie veido nesamērīgi lielu daļu no visiem spiegprogrammatūru uzbrukumiem. Piemēram, Āzijā piektdaļu spiegprogrammatūru uzbrukumiem pakļauto datoru ir skāris kāds no anomālajiem spiegprogrammatūru eksemplāriem (2,1 % no 11,9 %).

Kibernoziedznieki izmanto jaunu uzbrukumu taktiku rūpnieciskajām organizācijām uzņēmumu akreditācijas datu iegūšanai

Ražošanas vadības sistēmu datoru procentuālā daļa, kuros 2021. gada 1. pusgadā tika bloķētas spiegprogrammatūras

Svarīgi, ka lielākā daļa šo kampaņu tiek izplatīta no viena rūpniecības uzņēmuma uz nākamo, izmantojot labi izstrādātas pikšķerēšanas e-vēstules. Kad uzbrucējs ir iekļuvis upura sistēmā, viņš izmanto šo ierīci par nākamā uzbrukuma C2 (komandvadības) serveri. Ar piekļuvi upura adresātu sarakstam noziedznieki var ļaunprātīgi izmantot uzņēmuma e-pastu un izplatīt spiegprogrammatūru vēl tālāk.

Kibernoziedznieki izmanto jaunu uzbrukumu taktiku rūpnieciskajām organizācijām uzņēmumu akreditācijas datu iegūšanai

Uzbrukuma gaitā nosūtīta e-vēstule, kas izplatīta, ļaunprātīgi izmantojot upura kontaktpersonu sarakstu

Uzbrukuma gaitā nosūtīta e-vēstule, kas izplatīta, ļaunprātīgi izmantojot upura kontaktpersonu sarakstu

„Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas telemetrijas dati liecina, ka vairāk nekā 2000 rūpniecisko organizāciju visā pasaulē ir iekļautas ļaunprātīgā infrastruktūrā un kiberbandas tās izmanto, lai izplatītu uzbrukumu uz to kontaktorganizācijām un sadarbības partneriem. Mēs lēšam, ka šajos uzbrukumos uzlauzto vai nozagto uzņēmumu kontu kopskaits pārsniedz 7000.

No ražošanas vadības sistēmu datoriem iegūtie konfidenciālie dati bieži nonāk dažādās tirdzniecības vietās. „Kaspersky” eksperti identificēja vairāk nekā 25 tirdzniecības vietas, kur tiek pārdoti šajās rūpnieciskajās kampaņās nozagtie akreditācijas dati. Šo tirdzniecības vietu analīze parādīja, ka ir liels pieprasījums pēc uzņēmumu kontu akreditācijas datiem, ir sevišķi attālās darbvirsmas protokola (RDP) kontiem. Vairāk nekā 46 % visu analizētajās tirdzniecības vietās pārdoto RDP kontu pieder uzņēmumiem ASV, bet pārējie ir Āzijā, Eiropā un Latīņamerikā. Gandrīz 4 % (gandrīz 2000 kontu) visu pārdoto RDP kontu piederēja rūpniecības uzņēmumiem.

Vēl viens augošs tirgus ir spiegprogrammatūras pakalpojums. Kopš ir publiskoti dažu populāru spiegprogrammu pirmkodi, tie ir kļuvuši plaši pieejami tiešsaistes veikalos pakalpojuma veidā: izstrādātāji pārdod ne tikai ļaunprogrammatūru, bet arī ļaunprogrammatūras veidotāja licenci un piekļuvi infrastruktūrai, kas ir iepriekš konfigurēta ļaunprogrammatūras veidošanai.

„2021. gadā kibernoziedznieki aktīvi izmantoja spiegprogrammatūras, lai uzbruktu rūpnieciskajiem datoriem. Tagad mēs novērojam jaunu, strauji augošu tendenci rūpniecisko apdraudējumu vidē. Lai izvairītos no atklāšanas, noziedznieki samazina katra uzbrukuma apjomu un ierobežo katra ļaunprogrammatūras eksemplāra izmantošanu, ātri aizstājot to ar jaunizveidotu. Cita taktika ietver plašu uzņēmuma e-pasta infrastruktūras ļaunprātīgu izmantošanu, lai izplatītu ļaunprogrammatūras. Tas atšķiras no visa, ko līdz šim esam novērojuši saistībā ar spiegprogrammatūrām, un mēs prognozējam, ka šogad šādi uzbrukumi pastiprināsies,” komentē „Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas drošības eksperts Kirils Kruglovs.

Par anomālajām spiegprogrammatūru kampaņām vairāk lasiet ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas vietnē.

Lai uzzinātu vairāk par ražošanas vadības sistēmu un rūpniecības uzņēmumu apdraudējumiem 2022. gadā, iepazīstieties ar ražošanas vadības sistēmu apdraudējumu prognozēm 2022. gadam.

Lai nodrošinātu rūpniecības uzņēmuma, tā partneru tīkla darbības un uzņēmējdarbības pietiekamu aizsardzību, „Kaspersky” eksperti iesaka rīkoties šādi.

  • Ieviest divfaktoru autentifikāciju piekļuvei uzņēmuma e-pastam un citiem pakalpojumiem ar piekļuvi internetam (tostarp RDP, VPN-SSL vārtejām utt.), ko uzbrucējs var izmantot, lai piekļūtu uzņēmuma iekšējai infrastruktūrai un uzņēmējdarbībai izšķirīgi svarīgiem datiem.
  • Nodrošināt, lai visas galiekārtas gan informācijas, gan operāciju tehnoloģiju tīklā ir aizsargātas ar modernu galiekārtu drošības risinājumu, kas ir pareizi konfigurēts un tiek atjaunināts.
  • Regulāri mācīt darbiniekiem, kā droši rīkoties ar ienākošajām e-vēstulēm un aizsargāt sistēmas no ļaunprogrammatūrām, kas var būt ietvertas e-vēstules pielikumā.
  • Regulāri pārbaudīt surogātpasta mapes, nevis tikai iztukšot tās.
  • Uzraudzīt organizācijas kontu redzamību tīmeklī.
  • Izmantot izmēģināšanas vides risinājumus, kas ir paredzēti automātiskai pielikumu pārbaudei ienākošajā e-pasta plūsmā. Tomēr raudzīties, lai izmēģināšanas vides risinājums ir konfigurēts tā, ka neizlaiž e-vēstules no „uzticamiem” avotiem, tostarp sadarbības un kontaktu organizācijām, jo neviens nav 100% pasargāts no drošības pārkāpumiem.
  • Pārbaudīt izejošo e-vēstuļu pielikumus, lai pārliecinātos, ka paša konts nav uzlauzts.

Par „Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komandu

„Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komanda („Kaspersky” ICS CERT) ir starptautisks projekts, ko „Kaspersky” uzsāka 2016. gadā, lai koordinētu automatizācijas sistēmu piegādātāju, rūpniecisko iekārtu īpašnieku un operatoru, kā arī IT drošības pētnieku pūliņus, aizsargājot rūpniecības uzņēmumus no kiberuzbrukumiem. „Kaspersky” ICS CERT galvenokārt identificē potenciālos un pastāvošos apdraudējumus, kas ir vērsti pret ražošanas automatizācijas sistēmām un rūpniecisko lietu internetu. „Kaspersky” ICS CERT ir aktīva dalībniece un sadarbības partnere galvenajās starptautiskajās organizācijās, kas izstrādā ieteikumus rūpniecības uzņēmumu aizsardzībai pret kiberdraudiem.

Click to comment

Leave a Reply

Jūsu e-pasta adrese netiks publicēta.

Lasītākas ziņas

To Top