Kaspersky Lab wykrył nowy masowy atak przeprowadzony przy użyciu narzędzia zdalnego dostępu (RAT) o nazwie Adwind. Ten wielofunkcyjny szkodliwy program został wykorzystany w atakach na ponad 1 500 firm w ponad 100 państwach i terytoriach. Ataki objęły różne branże, w tym handel detaliczny i dystrybucję (20,1%), architekturę i budownictwo (9,5%), spedycję i logistykę (5,5%), usługi ubezpieczeniowe i prawne (5%) oraz usługi doradztwa (5%).
Ofiary oprogramowania Adwind RAT otrzymują e-maile wysłane w imieniu serwisu doradczego HSBC (z domeny mail.hsbcnet.hsbc.com), zawierające w załączniku instrukcje dotyczące płatności. Według badania firmy Kaspersky Lab domena ta była aktywna już w 2013 roku.
Zamiast instrukcji załączniki zawierają szkodliwe oprogramowanie. Jeśli potencjalna ofiara otworzy załączony plik ZIP, który kryje plik JAR, szkodliwe oprogramowanie zainstaluje się automatycznie w systemie i będzie próbowało komunikować się ze swoim serwerem kontroli. Szkodnik pozwala atakującemu przejąć niemal pełną kontrolę nad zainfekowanym urządzeniem i kraść z niego poufne informacje.
Z rozkładu geograficznego atakowanych użytkowników zarejestrowanego przez chmurę Kaspersky Security Network (KSN) w badanym okresie wynika, że niemal połowa z nich (ponad 40%) znajduje się w następujących krajach: Malezja, Wielka Brytania, Niemcy, Liban, Turcja, Hongkong, Kazachstan, Zjednoczone Emiraty Arabskie, Meksyk, Rosja.
Według badaczy z Kaspersky Lab w związku z dużym odsetkiem firm wśród ofiar, aby dobrać cele swoich ataków, przestępcy mogli wykorzystać listę mailingową dla określonej branży. Biorąc pod uwagę liczbę wykrytych ataków, koncentrowali się nie na wyrafinowanej technologii, ale na skali swoich działań. Do najczęściej atakowanych sektorów należą: sprzedaż detaliczna i dystrybucja, architektura i budownictwo, spedycja i logistyka, usługi ubezpieczeniowe i prawne, usługi doradztwa, przemysł chemiczny, organizacje rządowe, bankowość i finanse, usługi brokerskie, drobny przemysł.
Historia szkodliwego oprogramowania Adwind RAT
W 2016 r. Kaspersky Lab informował o atakach przeprowadzonych przy użyciu narzędzia zdalnego dostępu o nazwie Adwind RAT — wieloplatformowego, wielofunkcyjnego szkodliwego oprogramowania, znanego również pod nazwami AlienSpy, Frutas, Unrecom, Sockrat, JSocket i jRat, które jest rozprzestrzeniane za pośrednictwem jednej platformy oferującej szkodliwe oprogramowanie jako usługę.
Jedną z głównych cech wyróżniających narzędzie Adwind RAT spośród innych komercyjnych szkodliwych programów jest to, że jest on rozprzestrzeniany otwarcie w formie płatnej usługi, gdzie „klient” uiszcza opłatę za jego wykorzystywanie.
Badanie, które było prowadzone od 2013 do 2016 r., wskazało na wykorzystywanie różnych wersji szkodnika Adwind RAT w atakach na co najmniej 443 000 użytkowników prywatnych, jak również organizacje komercyjne i niekomercyjne na całym świecie.
W celu zabezpieczenia infrastruktury IT przed tym zagrożeniem Kaspersky Lab zaleca przedsiębiorstwom, aby ograniczyły wykorzystywanie Javy do wyizolowanych aplikacji, których nie można uruchomić bez wykorzystania tego środowiska. Podobnie jak w przypadku operacji finansowych, aplikacje Javy mogą zostać odizolowane przy zastosowaniu względem nich maksymalnych zasad bezpieczeństwa. Rozwiązania firmy Kaspersky Lab oferują szeroki wachlarz funkcji kontroli aplikacji umożliwiających ustanowienie szczegółowej polityki bezpieczeństwa, a także monitorowanie i kontrolę wykorzystywania określonych aplikacji na korporacyjnych punktach końcowych.