În perioada aprilie-iunie s-au înregistrat evoluții semnificative în atacurile cu țintă precisă, iar protagoniștii amenințărilor au fost, printre alții, vorbitori de limbă rusă, engleză, coreeană și chineză. Aceste schimbări influențează profund securitatea IT la nivelul companiilor. Deoarece atacurile complexe au loc aproape peste tot în lume, în mod constant, crește și nivelul implicării companiilor și organizațiilor non-comerciale, care devin victime colaterale în războiul cibernetic. Atacurile WannaCry și ExPetr, despre care se crede că au fost susținute la nivel statal, au provocat daune majore, multe companii și organizații din jurul lumii devenind victime.
Printre cele mai importante concluzii din cel de-a doilea trimestru al anului 2017 se numără:
- Trei exploit-uri Windows zero-day au fost folosite ”in-the-wild” de autori ai amenințărilor Sofacy și Turla, vorbitori de limbă rusă. Sofacy, cunoscut de asemenea ca APT28 sau FancyBear, a lansat exploit-uri împotriva unui grup de ținte europene, printre care organizații guvernamentale și politice. S-a observat faptul că autorul amenințării a încercat câteva instrumente experimentale, cel mai important fiind lansat împotriva unui membru al unui partid din Franța, înaintea alegerilor parlamentare.
- Gray Lambert - Kaspersky Lab a analizat cel mai avansat set de instrumente de până acum, cel al grupului Lamberts. Este vorba despre un malware de spionaj cibernetic, foarte sofisticat și complex, ai cărui autori sunt vorbitori de limbă engleză. Au fost identificate două noi familii malware înrudite.
- Atacul WannaCry de pe 12 mai și atacul ExPetr de pe 27 iunie. Deși sunt diferite prin natura și țintele lor, ambele au fost surprinzător de ineficiente ca atacuri ”ransomware”. De exemplu, în cazul WannaCry, datorită răspândirii globale rapide și a vizibilității ridicate, infractorii s-au confruntat cu dificultăți în retragerea sumelor de Bitcoin din conturile de răscumpărare. Acest lucru sugerează faptul că scopul real al atacului WannaCry a fost distrugerea datelor. Experții Kaspersky Lab au descoperit mai târziu legăturile dintre grupul Lazarus și WannaCry. Modelul malware-ului deghizat ca ransomware s-a manifestat, din nou, în atacul ExPetr.
- ExPetr a țintit organizații din Ucraina, Rusia și din alte părți din Europa și, deși părea să fie un ransomware, s-a dovedit că scopul său era pur distructiv. Motivul din spatele atacurilor ExPetr rămâne un mister. Experții Kaspersky Lab au stabilit o vagă legătură cu Black Energy.
”Am insistat mereu asupra importanței informațiilor despre amenințările globale pentru a păstra în siguranță infrastructurile critice,” spune Juan Andres Guerrero-Saade, Senior Security Researcher, Global Research and Analysis Team la Kaspersky Lab. „În continuare, suntem martorii unei tendințe de creștere a numărului infractorilor care pun în pericol siguranța pe Internet și, implicit, siguranța celor din instituțiile importante și din companiile care se bazează pe serviciile de Internet în fiecare zi. Ținând cont de faptul că spionajul cibernetic, sabotajul și infracțiunile cresc în mod alarmant, este cu atât mai important ca specialiștii în securitate cibernetică să se unească și să împărtășească cunoștințele din domeniu pentru o apărare eficientă împotriva tuturor amenințărilor. ”
Raportul din cel de-al doilea trimestru privind tendințele în activitatea APT-urilor cuprinde concluzii extrase din rapoartele de threat intellligence oferite de Kaspersky Lab abonaților la acest serviciu. De-a lungul celui de-al doilea trimestru al anului 2017, echipa Global Research and Analysis Team din cadrul Kaspersky Lab a realizat 23 de rapoarte pentru abonații acestui serviciu, în care a inclus indicatori de compromitere (IOC) și reguli YARA pentru a ajuta la investigarea și la combaterea incidentelor programelor malware.
Pentru mai multe informații, vă rugăm să contactați [email protected].