Niektóre kampanie koncentrują się wyłącznie na urządzeniach mobilnych. Zwiększa się aktywność w Azji, szczególnie ze strony nowych cyberugrupowań, podczas gdy tradycyjne zaawansowane gangi przeprowadzają swoje operacje w sposób bardziej wybiórczy.
Analiza kampanii APT w I kwartale 2020 r. wskazuje na dalszy wzrost aktywności w Azji – rozmaite ataki odnotowano w Azji Południowo-Wschodniej, Korei oraz Japonii. Pojawiły się nowe ugrupowania, które odpowiadały za kreatywne, niekiedy niskobudżetowe kampanie, zabezpieczając sobie pozycję wśród dobrze znanych gangów, takich jak CactusPete czy Lazarus.
Badacze przewidują wzrost zainteresowania platformami mobilnymi jako medium wykorzystywanym do przeprowadzania ataków oraz rozprzestrzeniania szkodliwego oprogramowania. Firma Kaspersky opublikowała ostatnio raporty dotyczące wielu kampanii, które koncentrowały się głównie na atakach mobilnych, łącznie z atakami PhantomLance wymierzonymi w użytkowników systemu Android w Azji Południowo-Wschodniej. W kampaniach tych skutecznie wykorzystano różne platformy online, od forów i mediów społecznościowych po sklep z aplikacjami Google Play, demonstrując inteligentne podejście do rozprzestrzeniania szkodliwego oprogramowania.
Ugrupowania APT atakujące użytkowników w Azji nie są jedynymi, które stworzyły mobilne wersje swoich narzędzi. Gang TransparentTribe przeprowadził kampanię, wykorzystując nowy moduł o nazwie „USBWorm”, w której atakował osoby w Afganistanie oraz Indiach, a także opracował nowy implant służący do infekowania urządzeń z systemem Android. Wykorzystany szkodnik stanowi zmodyfikowaną wersję narzędzia zdalnej administracji dla systemu Android o nazwie „AhMyth”.
Ponadto różne ugrupowania APT od połowy marca wykorzystują do swoich celów pandemię wirusa wywołującego COVID-19. Jednak poza wykorzystywaniem tego popularnego tematu w celu „zarobienia” na użytkownikach nie odnotowano znaczących zmian pod względem narzędzi, technik i procedur. Wśród ugrupowań żerujących na tym temacie znalazły się Kimsuky, Hades oraz DarkHotel.
Epidemia nie przeszkodziła cyberprzestępcom w prowadzeniu swojej szkodliwej aktywności. Niektóre ugrupowania wykorzystywały ją w inny sposób, np. próbując podreperować swoją reputację deklaracją o czasowym wstrzymaniu się z atakowaniem placówek medycznych. Niemniej jednak nasze badanie sugeruje, że korzyści finansowe oraz sytuacja geopolityczna nadal stanowią kluczowe czynniki motywujące aktywność przestępczą, szczególnie w przypadku ugrupowań, które wyłoniły się w ciągu ostatnich dwóch lat i obecnie wzmacniają swoją pozycję. Platformy mobilne zyskują coraz większe znaczenie w nowych kampaniach, ponieważ pojawiają się nowi gracze z kreatywnymi rozwiązaniami, podczas gdy ugrupowania o większym doświadczeniu pozostają prawie niewidoczne. Być może jest to efekt zmieniających się okoliczności. Jak zwykle muszę dodać, że nie posiadamy pełnego obrazu sytuacji i część aktywności jest jeszcze poza zasięgiem naszego radaru lub nie w pełni ją rozumiemy – dlatego ochrona przed znanymi i nieznanymi zagrożeniami wciąż jest niezmiernie istotna – powiedział Vicente Diaz, główny badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), firma Kaspersky.
Porady bezpieczeństwa
Badacze z firmy Kaspersky zalecają następujące działania pozwalające uchronić się przed atakami ukierunkowanymi przeprowadzanymi zarówno przez znane, jak i nowe ugrupowania cyberprzestępcze:
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do analizy zagrożeń, aby był na bieżąco z najnowszymi narzędziami, technikami i taktykami wykorzystywanymi przez cyberprzestępców.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
- Dopilnuj, aby rozwiązanie bezpieczeństwa punktów końcowych zapewniało ochronę dla urządzeń przenośnych. Powinno zabezpieczać przed zagrożeniami WWW oraz szkodliwym oprogramowaniem atakującym platformy mobilne, a także zawierać kontrolę aplikacji i urządzeń.
- Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
- Ponieważ wiele ataków ukierunkowanych jest poprzedzonych phishingiem lub zastosowaniem innych metod socjotechnicznych, wprowadź szkolenie w zakresie zwiększenia świadomości bezpieczeństwa oraz naukę praktycznych umiejętności, np. korzystając z usługi Kaspersky Automated Security Awareness Platform.
Pełny raport dotyczący trendów APT w I kwartale 2020 r. jest dostępny na stronie https://r.kaspersky.pl/Msc65.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.