V prvej polovici roka 2021 si experti tímu Kaspersky ICS CERT všimli zvláštnu anomáliu v štatistikách o hrozbách spyvéru zablokovaných na počítačoch ICS. Hoci malvér použitý pri týchto útokoch patrí k známym skupinám spyvérových rodín, akými sú Agent Tesla/Origin Logger, HawkEye a iné, tieto útoky sa vymykajú mainstreamu pre veľmi obmedzený počet cieľov pri každom útoku (od niekoľkých až po pár desiatok) a veľmi krátku životnosť každej škodlivej vzorky.
Podrobnejšia analýza 58.586 vzoriek spyvéru zablokovaných na počítačoch ICS v 1. polroku 2021 odhalila, že približne 21,2 % z nich bolo súčasťou tejto novej série útokov s obmedzeným rozsahom a krátkou životnosťou. Ich životný cyklus bol obmedzený na približne 25 dní, čo je oveľa menej ako životnosť „tradičnej“ spyvérovej kampane. Celkovo však tvoria neprimerane veľký podiel na všetkých spyvérových útokoch. Napríklad v Ázii bol každý piaty počítač napadnutý spyvérom zasiahnutý jednou z týchto zvláštnych vzoriek (2,1 % z 11,9 %). Väčšina týchto kampaní sa šírila z jedného priemyselného podniku na druhý prostredníctvom veľmi dobre skoncipovaných phishingových e-mailov. Po preniknutí do systému obete útočník používa zariadenie ako „command-and-control“ server pre ďalší útok. Vďaka prístupu k zoznamu kontaktov obete môžu zločinci zneužiť korporátny email na ďalšie šírenie spyvéru.
Podľa Kaspersky ICS CERT telemetrie zahŕňala vytvorená škodlivá infraštruktúra vyše 2.000 priemyselných organizácií z celého sveta a kyberzločinci ju využívali pri šírení útoku na ich kontaktné organizácie a obchodných partnerov. Celkový počet kompromitovaných alebo odcudzených korporátnych účtov v dôsledku týchto útokov odhadujú experti na viac než 7.000. Citlivé údaje získané z počítačov ICS často končia na rôznych on-line trhoch. Identifikovali vyše 25 rôznych on-line trhovísk, kde sa predávali ukradnuté prihlasovacie údaje z týchto škodlivých priemyselných kampaní. Analýza trhovísk ukázala vysoký dopyt po prihlasovacích údajoch ku korporátnym účtom, najmä pre účty vzdialenej pracovnej plochy (RDP). Vyše 46 % všetkých RDP účtov predávaných na analyzovaných trhoviskách sa týkala amerických spoločností, zatiaľčo zvyšok pochádza z Ázie, Európy a Latinskej Ameriky. Takmer 4 % (približne 2.000 účtov) všetkých predávaných RDP účtov patrilo priemyselným podnikom. Ďalším rastúcim trhom je oblasť Spyware-as-a-Service („spyvér ako služba“). Keďže boli zverejnené zdrojové kódy niektorých populárnych spyvérových programov, stali sa vo veľkej miere dostupnými v on-line obchodoch vo forme služby – vývojári nepredávajú len malvér ako produkt, ale aj licenciu na tvorbu malvéru a prístup k infraštruktúre predkonfigurovanej na tvorbu malvéru.
Na zabezpečenie primeranej ochrany priemyselného podniku, jeho partnerských sieťových operácií a biznisu odborníci odporúčajú:
- Implementovať dvojfaktorovú autentifikáciu na prístup ku korporátnym mailom, ako aj k ďalším službám prístupným cez internet (vrátane RDP, brán VPN-SSL, atď.), ktoré by mohol útočník využiť na získanie prístupu k internej infraštruktúre a kritickým dátam dôležitým pre chod vašej spoločnosti.
- Zabezpečiť to, aby všetky koncové body v sieťach IT aj OT boli chránené moderným riešením na zabezpečenie koncových bodov, ktoré je dôsledne nakonfigurované a pravidelne aktualizované.
- Pravidelne školiť vašich zamestnancov, aby bolo schopní bezpečne zaobchádzať s prichádzajúcimi mailmi a chrániť systémy pred malvérom, ktorý môžu prílohy mailov obsahovať.
- Pravidelne kontrolovať priečinky so spamom namiesto ich jednoduchého vyprázdňovania.
- Monitorovať, ako sú účty vašej organizácie vystavené smerom na web.
- Používať tzv. sandbox riešenia určené na automatické testovanie príloh v rámci prichádzajúcich mailov. Uistite sa však, že sandbox riešenie je nakonfigurované tak, aby nevynechávalo maily z „dôveryhodných“ zdrojov, vrátane partnerských a kontaktných organizácií, pretože nikto nie je stopercentne chránený pred bezpečnostnou kompromitáciou.
- Testovať prílohy v odchádzajúcich mailoch, aby ste sa uistili, že nie ste kompromitovaní.