Kaspersky Lab podsumował zaawansowane ataki APT w I kwartale 2017 r. Odnotowano gwałtowny wzrost wyrafinowania cyberataków wspieranych przez rządy, przy czym sprawcy skierowali swoją uwagę ku programom niszczącym dane (tzw. wipery) oraz przestępczości finansowej. Nowy raport kwartalny dotyczący trendów w zakresie ataków APT (ang. Advanced Persistent Threat) wskazuje istotne wydarzenia w rozwoju zaawansowanych ataków ukierunkowanych, jak również wyłaniające się trendy, którym
firmy i inne organizacje powinny się niezwłocznie przyjrzeć. Treść raportu obejmującego I kwartał opiera się na obserwacjach ekspertów z Kaspersky Lab dotyczących aktywności cyberprzestępców stosujących ataki APT w badanym kwartale.
Najważniejsze wydarzenia w I kwartale 2017 roku
- Wykorzystywanie programów niszczących dane przez cyberprzestępców stosujących zagrożenia ukierunkowane zarówno w celu cybersabotażu, jak i usuwania śladów operacji szpiegowskich. W nowej fali ataków Shamoon wykorzystano programy niszczące dane, które przeszły istotną ewolucję. Przeprowadzone w tej sprawie śledztwo doprowadziło do wykrycia oprogramowania StoneDrill oraz zidentyfikowania podobieństw między nim a kodem szkodnika wykorzystywanego przez grupę NewsBeef (Charming Kitten). Ofiara programu StoneDrill została zlokalizowana w Europie.
- Cyberprzestępcy stosujący ataki ukierunkowane rozszerzają swoją działalność o kradzież pieniędzy. Podczas długotrwałego śledzenia ugrupowania Lazarus zidentyfikowano podgrupę, określoną przez Kaspersky Lab jako BlueNoroff, która aktywnie atakowała instytucje finansowe w różnych regionach, łącznie z głośnym atakiem w Polsce. Uważa się, że BlueNoroff odpowiada za napad na Centralny Bank Bangladeszu, w ramach którego skradziono 81 mln dolarów.
- W atakach przeprowadzanych zarówno przez ugrupowania stosujące zagrożenia ukierunkowane, jak i innych cyberprzestępców coraz częściej wykorzystuje się szkodliwe oprogramowanie, które rezyduje wyłącznie w pamięci i nie zapisuje żadnych plików, co pomaga uniknąć wykrycia i utrudnić dochodzenie kryminalistyczne. Eksperci z Kaspersky Lab zidentyfikowali przykłady takich programów w narzędziach wykorzystywanych w atakach Shamoon, w atakach na banki wschodnioeuropejskie oraz w arsenale wielu innych ugrupowań przestępczych stosujących zagrożenia APT.
Krajobraz zagrożeń APT podlega ciągłej ewolucji, a atakujący są coraz częściej dobrze przygotowani, szukając i wykorzystując nowe luki oraz możliwości. Dlatego tak istotne znaczenie mają dane analityczne dotyczące zagrożeń: pozwalają one organizacjom zrozumieć sytuację i wskazują działania, jakie powinny podjąć. Na przykład krajobraz zagrożeń w I kwartale wskazuje na potrzebę stosowania analizy kryminalistycznej pamięci i reagowania na incydenty w celu zwalczania ataków z udziałem szkodliwego oprogramowania bezplikowego, jak również potrzebę ochrony, która pozwala na wykrywanie anomalii w bieżącej aktywności sieci – powiedział Juan Andres Guerrero-Saade, starszy badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab.
Globalny Zespół ds. Badań i Analiz działający w ramach Kaspersky Lab śledzi obecnie ponad sto ugrupowań cyberprzestępczych i wyrafinowanych szkodliwych operacji wymierzonych w organizacje komercyjne i rządowe w ponad 80 krajach. W pierwszym kwartale 2017 r. eksperci z firmy opracowali 33 prywatne raporty dla subskrybentów usług Kaspersky Intelligence Services, zawierające dane odnoszące się do oznak infekcji oraz reguły YARA, które pomagają w kryminalistyce i identyfikowaniu szkodliwego oprogramowania.