Peste 2.000 de companii industriale din 25 de ţări au devenit ţinte a unei noi serii de campanii de spyware, care evoluează rapid, avertizează experţii Kaspersky, în raportul Kaspersky Industrial Control Systems Cyber Emergency Response Team (ICS CERT), dat publicităţii joi.

Astfel, în prima jumătate a anului 2021, specialiştii în securitate cibernetică au observat o anomalie curioasă în statisticile privind ameninţările spyware blocate pe computerele ICS. "Deşi malware-ul utilizat în aceste atacuri aparţine unor familii de spyware bine-cunoscute, cum ar fi Agent Tesla/Origin Logger, HawkEye şi alţii, aceste atacuri ies în evidenţă faţă de mainstream prin numărul foarte limitat de ţinte în fiecare atac (de la un număr foarte mic până la câteva zeci de ţinte) şi durata de viaţă foarte scurtă a fiecărui eşantion rău intenţionat", se precizează în raport.

Potrivit analizei Kaspersky, derulată pe 58.586 de mostre de spyware, blocate pe computere ICS în primul semestru al 2021, aproximativ 21,2% dintre acestea făceau parte din noua serie de atacuri cu rază limitată şi durată scurtă de viaţă.

"Ciclul lor de viaţă este de aproximativ 25 de zile, o perioadă mult mai scurtă decât durata de viaţă a unei campanii de spyware "tradiţionale". Deşi fiecare dintre aceste mostre de spyware "anormale" dispare repede şi nu este distribuită pe scară largă, ele reprezintă o pondere disproporţionat de mare a tuturor atacurilor de spyware. În Asia, de exemplu, fiecare al şaselea computer atacat cu spyware a fost atins de unul dintre eşantioanele de spyware "anormale" (2,1% din 11,9%). De remarcat că majoritatea acestor campanii sunt răspândite de la o companie industrială la alta prin e-mailuri de tip phishing bine concepute. Odată pătruns în sistemul victimei, atacatorul foloseşte dispozitivul ca server C2 (comandă şi control) pentru următorul atac. Cu acces la lista de corespondenţă a victimei, infractorii pot abuza de e-mailul corporativ şi pot răspândi şi mai mult programul spyware", notează experţii.

În acest context, telemetria Kaspersky ICS CERT a descoperit că peste 2.000 de organizaţii industriale din întreaga lume au fost încorporate în infrastructura rău intenţionată şi utilizate de cybergangs pentru a răspândi atacurile lor către alte organizaţii şi parteneri de afaceri. Estimările, însă, vorbesc despre faptul că numărul total de conturi corporative compromise sau furate ca urmare a acestor atacuri depăşeşte 7.000.

Specialiştii în securitate cibernetică au identificat peste 25 de pieţe diferite unde au fost vândute acreditările furate în cadrul acestor campanii industriale.

De asemenea, analiza pieţelor a arătat o cerere mare pentru acreditări pentru conturile corporative, în special pentru Remote Desktop Accounts (RDP). Din totalul acestor conturi, aproape jumătate (46%) sunt deţinute de companii din SUA, în timp ce restul provin din Asia, Europa şi America Latină. Totodată, aproape 4% (circa 2.000 de conturi vândute) aparţineau companiilor industriale.

Conform raportului, o altă piaţă în creştere este Spyware-as-a-Service, întrucât "codurile sursă ale unor programe spyware populare au fost făcute publice, acestea au devenit foarte disponibile în magazinele online sub forma unui serviciu - dezvoltatorii vând nu numai malware ca produs, ci şi o licenţă pentru un generator de malware şi acces la infrastructură preconfigurată pentru a construi malware".

Spyware reprezintă un tip de "infecţie" a computerului care permite accesul hackerilor la datele fie ale companiilor, fie ale persoanelor.

Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) este un proiect global lansat de Kaspersky în anul 2016 pentru a coordona eforturile vânzătorilor de sisteme de automatizare, proprietarilor şi operatorilor de instalaţii industriale şi cercetătorilor în securitate IT pentru a proteja companiile industriale de atacurile cibernetice. AGERPRES/(AS - autor: Daniel Badea, editor: Mariana Nica,editor online: Adrian Dădârlat)