Internet & Gry - Reklama

Od exploitów dnia zerowego po oprogramowanie ransomware: ewolucja zaawansowanych cyberataków w II kwartale 2017 r.

W drugim kwartale 2017 roku zaawansowani cyberprzestępcy wypuścili szereg nowych i udoskonalonych szkodliwych narzędzi, w tym trzy exploity dnia zerowego oraz dwa bezprecedensowe ataki: WannaCry i ExPetr. Analiza ekspercka tych dwóch ostatnich wskazuje na możliwość wypłynięcia kodu, który nie był w pełni gotowy, co jest nietypową sytuacją w przypadku precyzyjnych cyberprzestępców. Te i inne trendy zostały omówione w najnowszym kwartalnym podsumowaniu danych analitycznych dotyczących zagrożeń, przygotowanym przez Kaspersky Lab.
 
Od kwietnia do końca czerwca obserwowano istotny rozwój wypadków w zakresie ataków ukierunkowanych, prowadzonych między innymi przez cyberprzestępców posługujących się językiem rosyjskim, angielskim, koreańskim oraz chińskim. Incydenty te mają dalekosiężne skutki dla bezpieczeństwa IT biznesu: nieustannie, w niemal każdym miejscu na świecie prowadzona jest wyrafinowana szkodliwa aktywność, zwiększająca ryzyko odniesienia pośrednich szkód w cyberwojnie przez firmy i organizacje niekomercyjne. Rzekomo wspierane przez rządy, destrukcyjne epidemie WannaCry i ExPetr, których ofiary obejmują wiele firm i organizacji na świecie, stanowią pierwszy, ale prawdopodobnie nie ostatni przykład tego nowego, niebezpiecznego trendu.

Najważniejsze wydarzenia w II kwartale 2017 r.

  • Trzy exploity dnia zerowego dla systemu Windows wykorzystywane przez rosyjskojęzyczne ugrupowania przestępcze Sofacy i Turla. Ugrupowanie Sofacy, znane również jako APT28 lub FancyBear, zastosowało exploity skierowane przeciwko licznym celom europejskim, łącznie z organizacjami rządowymi i politycznymi. Ugrupowanie to wypróbowywało również kilka eksperymentalnych metod, w szczególności narzędzie wykorzystane przeciwko członkowi francuskiej partii politycznej w okresie poprzedzającym wybory we Francji.
  • Gray Lambert – Kaspersky Lab przeanalizował jak dotąd najbardziej zaawansowany zestaw narzędzi wykorzystywany przez ugrupowanie Lamberts – wysoce wyrafinowaną i złożoną anglojęzyczną rodzinę oprogramowania cyberszpiegowskiego. Zidentyfikowano dwie nowe, powiązane rodziny szkodliwego oprogramowania.
  • Ataki WannaCry z 12 maja oraz ExPetr (NotPeyta/Petya) z 27 czerwca. Chociaż różnią się znacząco pod względem charakteru i celów, oba okazały się zaskakująco nieskuteczne pod względem wyłudzania okupu. Błyskawiczne globalne rozprzestrzenianie się oraz nagłośnienie szkodnika WannaCry skierowało uwagę na konto atakujących przeznaczone do wpłaty okupu w bitcoinach, co utrudniło cyberprzestępcom zdeponowanie pieniędzy. To sugeruje, że prawdziwym celem ataku WannaCry było niszczenie danych. Eksperci z Kaspersky Lab odkryli dalsze powiązania między ugrupowaniem Lazarus a WannaCry. Schemat destrukcyjnego szkodliwego oprogramowania zamaskowanego jako oprogramowanie ransomware zaobserwowaliśmy ponownie w przypadku ataku ExPetr.
  • ExPetr, który atakował organizacje na Ukrainie, w Rosji i innych państwach w Europie, również wydawał się być oprogramowaniem ransomware, jednak jego cel okazał się wyłącznie destrukcyjny. Motyw przeprowadzania ataków ExPetr pozostaje tajemnicą. Eksperci z Kaspersky Lab ustalili przy niskim poziomie pewności powiązanie tego ataku z ugrupowaniem przestępczym o nazwie Black Energy.

Od dawna podkreślaliśmy znaczenie w pełni globalnych danych analitycznych dotyczących zagrożeń w ochronie poufnych i krytycznych sieci. Z jednej strony wzrasta liczba nadgorliwych cyberprzestępców, których zupełnie nie obchodzi stan internetu, z drugiej natomiast coraz więcej osób pracuje w istotnych instytucjach oraz firmach i korzysta z sieci każdego dnia. W sytuacji, gdy cyberszpiegostwo, sabotaż i przestępczość szerzą się w niepohamowany sposób, niezwykle istotne jest, aby obrońcy połączyli siły, przekazując sobie wzajemnie zaawansowaną wiedzę, aby zapewnić lepszą ochronę przed wszystkimi zagrożeniami – powiedział Juan Andres Guerrero-Saade, starszy badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab. 
W raporcie na temat trendów w zakresie zaawansowanych cyberataków w II kwartale podsumowano wyniki z dokumentów przeznaczonych dla subskrybentów firmy Kaspersky Lab, obejmujących dane analityczne dotyczące zagrożeń. W drugim kwartale 2017 r. Globalny Zespół ds. Badań i Analiz Kaspersky Lab opracował 23 prywatne raporty dla subskrybentów, zawierające oznaki infekcji (IOC) oraz reguły Yara, aby wspomóc kryminalistykę i identyfikację szkodliwego oprogramowania.
Pełne podsumowanie zaawansowanych cyberataków w II kwartale 2017 r. znajduje się na stronie: http://r.kaspersky.pl/D3fTr.
W celu uzyskania informacji na temat możliwości wykupienia subskrypcji na prywatne raporty dotyczące działań wyrafinowanych cyberprzestępców należy skontaktować się z Kaspersky Lab pod adresem: intelreports@kaspersky.com.
 
 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *