Προορισμένα για διαγραφή: Φορείς επιθέσεων APT χρησιμοποιούν wipers και fileless κακόβουλο λογισμικό σε στοχευμένες επιθέσεις

Τους τρεις πρώτους μήνες του 2017 εμφανίστηκε μία απότομη αύξηση της πολυπλοκότητας των ψηφιακών επιθέσεων που υποστηρίζονται από κράτη, με τους απειλητικούς φορείς να στρέφουν την προσοχή τους στα wipers, καθώς και στο οικονομικό έγκλημα. Αυτές, όπως και άλλες τάσεις, καλύπτονται στην πρώτη τριμηνιαία περιληπτική αναφορά της Kaspersky Lab με στοιχεία από τις τακτικές αναφορές ενημέρωσης ψηφιακών απειλών που στέλνει αποκλειστικά στους συνδρομητές της.

Η νέα τριμηνιαία αναφορά «APT Trends» θα είναι διαθέσιμη δωρεάν και θα επισημαίνει σημαντικές εξελίξεις στις στοχευμένες επιθέσεις, όπως επίσης και στις αναδυόμενες τάσεις που απαιτούν την άμεση προσοχή επιχειρήσεων και οργανισμών. Το περιεχόμενο της έκθεσης του πρώτου τριμήνου αντλείται από τις παρατηρήσεις των ειδικών της Kaspersky Lab, οι οποίοι παρακολούθησαν τη δραστηριότητα των φορέων APT κατά το πρώτο τρίμηνο

 

Στα βασικά σημεία του πρώτου τριμήνου του 2017 περιλαμβάνονται:

  • Τα wipers αξιοποιούνται από φορείς στοχευμένων απειλών, τόσο για ψηφιακή δολιοφθορά όσο και για να διαγράφουν ίχνη έπειτα από επιχειρήσεις ψηφιακής κατασκοπείας. Μία εξελιγμένη γενιά από wipers χρησιμοποιήθηκε στο νέο κύμα των επιθέσεων της ομάδας Shamoon. Η έρευνα που ακολούθησε οδήγησε στην ανακάλυψη του StoneDrill και ομοιοτήτων στον κώδικα με αυτόν της ομάδας NewsBeef (Charming Kitten). Ένα θύμα του StoneDrill βρέθηκε στην Ευρώπη.
  • Οι στοχευμένοι επιτιθέμενοι διαφοροποιούνται στον τρόπο που κλέβουν χρήματα. Η μακροπρόθεσμη παρακολούθηση της ομάδας Lazarus εντόπισε μία υποομάδα, την οποία η Kaspersky Lab ονόμασε BlueNoroff και επιτίθεται ενεργά σε χρηματοπιστωτικούς οργανισμούς από διαφορετικές χώρες, συμπεριλαμβανομένης μίας επίθεσης υψηλής έντασης στην Πολωνία. Η BlueNoroff πιστεύεται ότι κρύβεται πίσω από τις διαβόητες ληστείες σε τράπεζα του Μπανγκλαντές.
  • Το fileless κακόβουλο λογισμικό χρησιμοποιείται σε επιθέσεις τόσο από φορείς στοχευμένων επιθέσεων όσο και από ψηφιακούς εγκληματίες εν γένει – βοηθώντας στην αποφυγή του εντοπισμού τους αλλά και δυσκολεύοντας τις εγκληματολογικές έρευνες. Οι ειδικοί της Kaspersky Lab έχουν βρει παραδείγματα στα εργαλεία πλευρικής κίνησης που χρησιμοποιήθηκαν στις επιθέσεις του Shamoon, σε επιθέσεις εναντίον τραπεζών της Ανατολικής Ευρώπης και στα χέρια ενός αριθμού άλλων φορέων APT.

«Το τοπίο των στοχευμένων απειλών εξελίσσεται συνεχώς και οι επιτιθέμενοι είναι όλο και καλύτερα προετοιμασμένοι, αναζητώντας και αξιοποιώντας νέα κενά και ευκαιρίες. Αυτός είναι ο λόγος για τον οποίο η Πληροφόρηση για απειλές είναι τόσο σημαντική: «αγκαλιάζει» τους οργανισμούς με κατανόηση και αποκαλύπτει τις δράσεις που πρέπει να αναλάβουν. Παραδείγματος χάριν, το τοπίο απειλών για το πρώτο τρίμηνο υπογραμμίζει την ανάγκη για εντοπισμό ιχνών κακόβολου λογισμικού στη μνήμη και απόκρισης σε περιστατικά για την καταπολέμηση επιθέσεων fileless κακόβουλου λογισμικού, καθώς και ασφάλειας που μπορεί να ανιχνεύσει ανωμαλίες σε όλη τη διάρκεια της δραστηριότητας του δικτύου», δήλωσε ο Juan Andres Guerrero-Saade, Senior Security Researcher της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab παρακολουθεί επί του παρόντος πάνω από εκατό απειλητικούς φορείς και εξελιγμένες κακόβουλες λειτουργίες που απευθύνονται σε εμπορικούς και κυβερνητικούς οργανισμούς σε περισσότερες από 80 χώρες. Κατά τη διάρκεια του πρώτου τριμήνου του 2017, η τεχνογνωσία της εταιρείας δημιούργησε 33 ιδιωτικές αναφορές για συνδρομητές των Υπηρεσιών Πληροφοριών, με δεδομένα Δεικτών Συμβιβασμού και κανόνες YARA για να βοηθήσουν στη σήμανση και το κυνήγι κακόβουλου λογισμικού.