Ataki APT w I kwartale 2017 r., czyli ukraść pieniądze i zatrzeć ślady

Przeczytaj także: Ataki APT w I kwartale 2018 r., czyli Azja na celowniku

Kaspersky Lab po raz kolejny już przygląda się trendom, którym ulegają ataki APT (ang. Advanced Persistent Threat). Analiza sytuacji z początku roku wskazuje na doniosłe dla rozwoju ataków ukierunkowanych wydarzenia i zarysowujące się tendencje, wobec których firmy i inne organizacje na pewno ne powinny zostać obojętne.

Podstawą raportu są obserwacje ekspertów Kaspersky Lab, którzy przez cały I kwartał śledzili aktywność cyberprzestępców stosujących ataki APT.

Ataki APT - kluczowe wydarzenia w I kwartale 2017 roku

• Cyberprzestępcy stosujący ataki APT uciekali się do wykorzystywania programów niszczących dane, co służyło zarówno cybersabotażowi, jak i zacieraniu śladów operacji szpiegowskich. Nowa fala ataków Shamoon wykorzystała oprogramowanie niszczące dane, które przeszło istotną ewolucję. Śledztwo w tej sprawie doprowadziło do wykrycia programu StoneDrill oraz zidentyfikowania podobieństw między nim a kodem szkodnika wykorzystywanego przez grupę NewsBeef (Charming Kitten). Ofiara programu StoneDrill została zlokalizowana w Europie.
• Cyberprzestępcy stosujący ataki ukierunkowane rozszerzają swoją działalność o kradzież pieniędzy. Podczas długotrwałego śledzenia ugrupowania Lazarus zidentyfikowano podgrupę, określoną przez Kaspersky Lab jako BlueNoroff, która aktywnie atakowała instytucje finansowe w różnych regionach, łącznie z głośnym atakiem w Polsce. Uważa się, że BlueNoroff odpowiada za napad na Centralny Bank Bangladeszu, w ramach którego skradziono 81 mln dolarów.
• W atakach przeprowadzanych zarówno przez ugrupowania stosujące zagrożenia ukierunkowane, jak i innych cyberprzestępców coraz częściej wykorzystuje się szkodliwe oprogramowanie, które rezyduje wyłącznie w pamięci i nie zapisuje żadnych plików, co pomaga uniknąć wykrycia i utrudnić dochodzenie kryminalistyczne. Eksperci z Kaspersky Lab zidentyfikowali przykłady takich programów w narzędziach wykorzystywanych w atakach Shamoon, w atakach na banki wschodnioeuropejskie oraz w arsenale wielu innych ugrupowań przestępczych stosujących zagrożenia APT.

Krajobraz zagrożeń APT podlega ciągłej ewolucji, a atakujący są coraz częściej dobrze przygotowani, szukając i wykorzystując nowe luki oraz możliwości. Dlatego tak istotne znaczenie mają dane analityczne dotyczące zagrożeń: pozwalają one organizacjom zrozumieć sytuację i wskazują działania, jakie powinny podjąć. Na przykład krajobraz zagrożeń w I kwartale wskazuje na potrzebę stosowania analizy kryminalistycznej pamięci i reagowania na incydenty w celu zwalczania ataków z udziałem szkodliwego oprogramowania bezplikowego, jak również potrzebę ochrony, która pozwala na wykrywanie anomalii w bieżącej aktywności sieci – powiedział Juan Andres Guerrero-Saade, starszy badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab.

Globalny Zespół ds. Badań i Analiz działający w ramach Kaspersky Lab śledzi obecnie ponad sto ugrupowań cyberprzestępczych i wyrafinowanych szkodliwych operacji wymierzonych w organizacje komercyjne i rządowe w ponad 80 krajach. W pierwszym kwartale 2017 r. eksperci z firmy opracowali 33 prywatne raporty dla subskrybentów usług Kaspersky Intelligence Services, zawierające dane odnoszące się do oznak infekcji oraz reguły YARA, które pomagają w kryminalistyce i identyfikowaniu szkodliwego oprogramowania.