Cyberprzestępcy stosują nowe taktyki - celem są duże przedsiębiorstwa

W pierwszej połowie 2021 r. eksperci z firmy Kaspersky zaobserwowali interesującą anomalię w statystykach dotyczących zagrożeń spyware wykrytych na komputerach przemysłowych. Niektóre ataki przy wykorzystaniu szkodliwego oprogramowania wyróżniały się na tle innych ograniczoną liczbą celów (od kilku do kilkudziesięciu) oraz bardzo krótkim okresem życia każdej szkodliwej próbki.

Dokładniejsza analiza 58 586 próbek ujawniła, że około 21,2 proc. z nich miało związek z nową serią ataków charakteryzującą się ograniczonym zakresem celów oraz krótkim okresem życia, który wynosił około 25 dni, czyli znacznie mniej niż aktywność tradycyjnej kampanii szpiegowskiej.

Chociaż wszystkie nietypowe próbki spyware mają krótki okres życia i nie są szeroko rozpowszechnione, ich udział we wszystkich atakach tego rodzaju jest nieproporcjonalnie duży. Na przykład w Azji celem jednej z takich nietypowych próbek spyware był co piąty komputer zaatakowany przy użyciu oprogramowania szpiegującego.

Większość omawianych ataków rozprzestrzenia się z jednego przedsiębiorstwa przemysłowego do drugiego za pośrednictwem odpowiednio skonstruowanych e-maili phishingowych. Po wniknięciu do systemu ofiary atakujący wykorzystuje jej urządzenie jako serwer kontroli do przeprowadzenia kolejnym ataku. Posiadając dostęp do listy kontaktów ofiary, przestępcy mogą wykorzystać pocztę firmową w celu dalszego rozprzestrzeniania oprogramowania spyware.

Według telemetrii zespołu Kaspersky, ponad 2 000 organizacji przemysłowych na całym świecie zostało wcielonych do szkodliwej infrastruktury i wykorzystanych przez cybergangi do rozszerzenia ataku na organizacje stanowiące ich kontakty oraz partnerów biznesowych. Łączną liczbę kont firmowych, które zostały zhakowane lub skradzione w wyniku tych ataków, szacuje się na ponad 7 000.