Cyberprzestępcy zaatakowali co najmniej 400 firm

Badacze z Kaspersky Lab wykryli nową falę phishingowych e-maili finansowych podszywających się pod legalne dokumenty księgowe i zakupowe, za pomocą których cyberprzestępcy zaatakowali dla korzyści finansowych co najmniej 400 organizacji przemysłowych. Seria ataków rozpoczęła się jesienią 2017 r., a ich cel stanowiło kilkaset komputerów firm z różnych branż: od paliwowej i gazowej po metalurgię, branżę energetyczną, budowlaną i logistyczną.
 

 
Sposób działania cyberprzestępców sugeruje, że głównym celem ataków były firmy przemysłowe. Rozsyłali oni wiadomości e-mail zawierające szkodliwe załączniki i próbowali nakłonić niczego nieświadome ofiary do ujawnienia swoich poufnych danych, aby móc je następnie wykorzystać do zarabiania pieniędzy.
Według danych działu ICS CERT firmy Kaspersky Lab celem tej fali wiadomości e-mail było około 800 komputerów pracowniczych atakowanych w celu kradzieży pieniędzy oraz poufnych danych, które miały następnie zostać wykorzystane w kolejnych atakach. Wiadomości e-mail podszywały się pod legalne dokumenty zakupowe oraz księgowe i zawierały treści, które odpowiadały profilowi zaatakowanych organizacji i uwzględniały tożsamość pracownika – odbiorcy wiadomości. Na uwagę zasługuje fakt, że atakujący zwracali się do swoich ofiar po imieniu. To sugeruje, że ataki zostały dokładnie przygotowane, a przestępcy zadali sobie trud stworzenia zindywidualizowanego listu dla każdej ofiary.
Gdy odbiorca kliknął szkodliwy załącznik, na jego komputerze w dyskretny sposób instalowało się zmodyfikowane legalne oprogramowanie, dzięki czemu przestępcy mogli połączyć się z nim i zbadać dokumenty i narzędzia związane z operacjami finansowymi, księgowymi i zakupowymi. Ponadto atakujący szukali różnych możliwości popełnienia oszustw finansowych.
Za każdym razem, gdy przestępcy potrzebowali dodatkowych danych lub możliwości – takich jak uzyskanie lokalnych praw administratora czy kradzież danych uwierzytelniających użytkownika oraz kont w systemie Windows – przesyłali do zainfekowanych maszyn dodatkowe zestawy szkodliwego oprogramowania, dostosowane do ataku na konkretną ofiarę. Obejmowały one m.in.:

• oprogramowanie spyware,
• dodatkowe narzędzia zdalnej administracji, które rozszerzają możliwości kontrolowania zainfekowanych systemów oraz szkodliwego oprogramowania,
• exploity pozwalające na wykorzystanie luk w zabezpieczeniach systemu operacyjnego i zainstalowanych aplikacjach,
• narzędzie Mimikatz, które umożliwia użytkownikom przejęcie danych z kont systemu Windows.

Cyberprzestępcy wykazali wyraźne zainteresowanie atakami na firmy przemysłowe. Z naszego doświadczenia wynika, że powodem jest prawdopodobnie niższy poziom świadomości cyberbezpieczeństwa w takich firmach w porównaniu z innymi branżami, np. usługach finansowych. To sprawia, że przedsiębiorstwa przemysłowe stanowią lukratywny cel dla cyberprzestępców – powiedział Wiaczesław Kopiejcew, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab. 
Więcej informacji na temat zagrożenia ze strony phishingu finansowego wycelowanego w organizacje przemysłowe znajduje się na stronie https://kas.pr/m495.

Informacje o Kaspersky Lab ICS CERT

Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) to globalny projekt uruchomiony przez Kaspersky Lab w 2016 r. w celu koordynacji działań producentów systemów automatyzacji, właścicieli i operatorów obiektów przemysłowych, jak również badaczy bezpieczeństwa IT ukierunkowanych na ochronę przedsiębiorstw przemysłowych przed cyberatakami. Kaspersky Lab ICS CERT koncentruje się głównie na identyfikowaniu potencjalnych i istniejących zagrożeń, których celem są systemy automatyzacji przemysłowej oraz przemysłowy Internet Rzeczy. W swoim pierwszym roku działania zespół zidentyfikował ponad 110 krytycznych luk w zabezpieczeniach produktów największych globalnych producentów przemysłowych systemów sterowania. Kaspersky Lab ICS CERT jest aktywnym członkiem i partnerem czołowych międzynarodowych organizacji, które opracowują rekomendacje dotyczące ochrony przedsiębiorstw przemysłowych przed cyberzagrożeniami. Więcej informacji znajduje się na stronie ics-cert.kaspersky.com.