Hackerii se concentrează pe programe care şterg fişiere

4 mai 2017, 12:21 de Bogdan Biszok

Ultima modificare în 4 mai 2017, 12:26

În primele trei luni ale anului 2017 s-a înregistrat o creștere accentuată în complexitatea atacurilor cibernetice susținute la nivel statal, unii “actori” din domeniul amenințărilor îndreptându-și atenția către programe de tip “wipers” (care șterg fișiere), precum și către infracțiunile financiare. Acestea și alte tendințe fac parte din primul sumar trimestrial al rapoartelor de informații despre amenințări, disponibile la Kaspersky Lab pentru cei abonați la acest serviciu.

• Programele care șterg fișiere sunt exploatate de grupările APT, atât pentru sabotaj cibernetic, cât și pentru ștergerea urmelor după operațiunile de spionaj cibernetic. În noul val de atacuri Shamoon, a fost folosită o generație evoluată de astfel de programe, investigația ulterioară conducând la descoperirea StoneDrill și a similitudinilor de cod cu NewsBeef (gruparea Charming Kitten). O victimă StoneDrill a fost găsită și în Europa.

• Atacatorii care urmăresc o țintă precisă și-au diversificat activitatea, ajungând la furturi de bani. Urmărirea pe termen lung a grupului Lazarus a contribuit la identificarea unui subgrup, pe care Kaspersky Lab l-a denumit BlueNoroff. Acesta atacă în mod constant instituții financiare din diverse regiuni, incluzând un atac de mari dimensiuni din Polonia. Se presupune că BlueNoroff este în spatele jafului de la Banca Centrală a Bangladeshului.
• Malware-ul rezident doar în memorie (“fileless”) a fost folosit în atacuri atât de grupări APT, cât și de infractori cibernetici în general – acesta i-a ajutat să evite detecția, și să îngreuneze investigarea incidentelor. Experții Kaspersky Lab au găsit exemple în instrumentele folosite de infractori pentru a se “deplasa” în interiorul organizațiilor în atacurile Shamoon, în atacuri împotriva unor bănci din Europa de Est, precum și în posesia altor grupări APT.

“Atacurile cu țintă precisă evoluează în mod constant, iar atacatorii sunt din ce în ce mai bine pregătiți, căutând și profitând de noi lacune și oportunități”, spune Juan Andres Guerrero-Saade, Senior Security Researcher, Global Research and Analysis Team la Kaspersky Lab. “De aceea, informațiile despre amenințări sunt atât de importante: ele ajută organizațiile să înțeleagă mai bine situația și să știe ce măsuri trebuie să ia. De exemplu, amenințările din primul trimestru al anului evidențiază nevoia unei analize a memoriei sistemului de operare și a unei reacții imediate adecvate la incidente cibernetice pentru a combate atacurile rezidente doar în memorie, precum și o nevoie de soluții de securitate care pot detecta anomaliile rețelei în timpul derulării activității.”

Echipa globală de cercetare și analiză Kaspersky Lab urmărește în prezent peste o sută de grupări din domeniul amenințărilor și operațiuni malware complexe care țintesc organizații comerciale și guvernamentale din peste 80 de țări. Pe parcursul primului trimestru al anului 2017, experții companiei au contribuit la crearea a 33 de rapoarte pentru abonații la serviciile de informații, cu date despre indicatorii de compromitere (IOC) și regulile YARA pentru a ajuta la investigarea incidentelor și la combaterea programelor malware.