30 kwietnia 2019

Aktywność cyberprzestępcza w I kwartale pod znakiem geopolityki oraz atakowania celów w Azji Południowo-Wschodniej

W pierwszych trzech miesiącach 2019 r. badacze z Kaspersky Lab zaobserwowali aktywne operacje związane z zaawansowanymi zagrożeniami, które skupiały się głównie na Azji Południowo-Wschodniej i w coraz większym stopniu kształtowane były przez geopolitykę. Obejmowały one ataki na kryptowaluty, ataki z użyciem komercyjnego oprogramowania szpiegującego oraz przeprowadzoną na dużą skalę kampanię ataków na łańcuch dostaw.


W pierwszym kwartale 2019 r. badacze z Kaspersky Lab zaobserwowali wiele interesujących, nowych incydentów. Główną kampanią APT, jaka miała miejsce w badanym okresie, była operacja ShadowHammer: zaawansowana kampania ukierunkowana wykorzystująca łańcuch dostaw w celu rozprzestrzeniania infekcji na niewiarygodnie szeroką skalą w połączeniu ze starannie wdrożonymi technikami umożliwiającymi precyzyjne ataki na wybrane ofiary.

Inne istotne trendy dotyczące ataków APT w I kwartale 2019 r:

  • Geopolityka stanowiła kluczowy czynnik motywujący aktywność cyberprzestępców - często występował wyraźny związek pomiędzy wydarzeniami politycznymi a ukierunkowaną szkodliwą aktywnością.
  • Azja Południowo-Wschodnia pozostała najgorętszym regionem na świecie pod względem ataków APT - to tam skupiło się najwięcej ugrupowań, najwięcej aktywności, najwięcej zamieszania.
  • W porównaniu z ostatnimi latami ugrupowania rosyjskojęzyczne pozostawały mało widoczne, być może z powodu wewnętrznej restrukturyzacji. Nadal jednak obserwowana była stała aktywność oraz rozprzestrzenianie szkodliwego oprogramowania ze strony ugrupowań Sofacy oraz Turla.
  • Chińskojęzyczne ugrupowania nadal odznaczały się wysokim poziomem aktywności, przeprowadzając zarówno zaawansowane, jak i poste kampanie. Przykładem może być aktywne od 2012 r. ugrupowanie znane firmie Kaspersky Lab jako CactusPete, które w pierwszym kwartale stosowało nowe i uaktualnione narzędzia, w tym nowe warianty narzędzi pobierających szkodliwy kod i otwierających tylne furtki w systemach ofiar, jak również przywłaszczonego, a następnie zmodyfikowanego exploita dnia zerowego VBScript należącego do ugrupowania DarkHotel.
  • Dobrą passą zdają się cieszyć dostawcy "komercyjnego" szkodliwego oprogramowania dla rządów i innych podmiotów. Badacze zidentyfikowali nowy wariant szkodnika FinSpy, jak również operację LuckyMouse, w której wykorzystano publicznie dostępne narzędzia organizacji HackingTeam.
Spojrzenie wstecz na miniony kwartał zawsze wywołuje zadziwienie. Nawet jeśli mamy poczucie, że nie zdarzyło się nic "przełomowego", odkrywamy krajobraz zagrożeń, w którym można wyróżnić interesujące historie oraz ewolucję na różnych frontach. W pierwszym kwartale krajobraz ten obejmował wyrafinowane ataki na łańcuch dostaw, ataki na entuzjastów kryptowaluty oraz motywy geopolityczne. Mamy świadomość, że nie posiadamy pełnego obrazu i pewnych aktywności jeszcze nie dostrzegamy lub nie rozumiemy, dlatego jeśli jakiś region lub sektor nie znajduje się na naszym radarze, nie znaczy to, że nie pojawi się tam w przyszłości. W związku z tym każdy powinien być zabezpieczony zarówno przed znanymi, jak i nieznanymi zagrożeniami - powiedział Vicente Diaz, główny badacz ds. bezpieczeństwa, Kaspersky Lab.

Raport dotyczący trendów w zakresie ataków APT w I kwartale stanowi podsumowanie wyników raportów z analizy zagrożeń, które są dostępne wyłącznie dla subskrybentów Kaspersky Lab i obejmują oznaki infekcji (ang. IoC) oraz reguły YARA, przydatne w informatyce śledczej oraz polowaniu na szkodliwe oprogramowanie. Dalsze informacje można uzyskać pod adresem intelreports@kaspersky.com.

Porady bezpieczeństwa

Osobom, które nie chcą paść ofiarą ataku ukierunkowanego, badacze z Kaspersky Lab zalecają następujące działania:

  • Zapewnij swojemu zespołowi w centrum operacji bezpieczeństwa dostęp do najnowszych danych analitycznych dotyczących zagrożeń, aby mógł być na bieżąco z najnowszymi narzędziami, technikami oraz taktykami wykorzystywanymi przez ugrupowania cyberprzestępcze.
  • W celu zapewnienia wykrywania na poziomie punktu końcowego jak również badania i niezwłocznego naprawiania szkód w wyniku incydentów, stosuj rozwiązania EDR, np. Kaspersky Endpoint Detection and Response.
  • Oprócz niezbędnej ochrony punktów końcowych wdróż rozwiązanie zabezpieczające klasy enterprise, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie, takie jak Kaspersky Anti Targeted Attack Platform.
  • Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innych form socjotechniki, wprowadź szkolenia zwiększające świadomość oraz ucz praktycznych umiejętności.
Więcej informacji na temat trendów dotyczących ataków APT w I kwartale 2019 r. znajduje się na stronie https://r.kaspersky.pl/MTz45.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.