Los expertos de Kaspersky han descubierto una nueva serie de campañas de software espía en rápida evolución dirigidas a más de 2.000 empresas industriales en todo el mundo, que afirman: los escenarios de ataques de corta duración están aumentando, los datos se ofrecen a la venta en los mercados, se estima que 7.000 cuentas corporativas comprometidas o robadas.
A diferencia de muchos ataques de software espía tradicionales, estos ataques tienen un número limitado de objetivos y una vida útil muy corta para cada programa malicioso. Los datos capturados se ofrecieron a la venta en más de 25 mercados.
Datos de la empresa en 25 mercados en venta
En la primera mitad de 2021, los expertos de Kaspersky ICS CERT notaron una anomalía inusual en las estadísticas de amenazas de spyware bloqueadas en las computadoras ICS. Aunque el malware utilizado en estos ataques pertenece a conocidas familias de spyware como Agent Tesla/Origin Logger, HawkEye y otros [2], estos ataques se destacan de la corriente principal porque la cantidad de objetivos en cada ataque es muy limitada (desde un puñado a unas pocas docenas) y la vida útil de cada programa malicioso es muy corta.
Un análisis más detallado de 58.586 2021 muestras de spyware bloqueadas en computadoras ICS en la primera mitad de 21,2 mostró que alrededor del 25 % de ellas pertenecían a esta nueva serie de ataques con alcance limitado y vida útil corta. Su ciclo de vida se limita a alrededor de XNUMX días, significativamente menos que la vida útil de una campaña de spyware "convencional".
Aunque cada una de estas muestras de spyware "anómalas" es de corta duración y no está muy extendida, representan una parte desproporcionada de todos los ataques de spyware. En Asia, por ejemplo, una de cada seis computadoras atacadas con spyware se vio afectada (2,1 por ciento de 11,9 por ciento), en Europa fue 0,7 por ciento de 6,3 por ciento.
Correos electrónicos de phishing como puerta de entrada a la empresa
La mayoría de estas campañas se distribuyen de una empresa industrial a otra a través de correos electrónicos de phishing bien elaborados. Una vez que el atacante ha penetrado en el sistema de la víctima, utiliza el dispositivo como un servidor C2 (Command and Control) para el próximo ataque. Con acceso a la lista de correo de la víctima, los ciberdelincuentes pueden hacer un mal uso del correo electrónico corporativo y propagar aún más el spyware.
Distribución de máquinas ICS bloqueadas por spyware - H1 2021 por industria (Imagen: Kaspersky).
Según la telemetría ICS-CERT de Kaspersky, más de 2.000 empresas industriales de todo el mundo se integraron en la infraestructura maliciosa y los ciberdelincuentes abusaron de ellas para llevar a cabo el ataque a organizaciones de contacto y socios comerciales. Kaspersky estima que el número total de cuentas corporativas comprometidas o robadas como resultado de estos ataques es de más de 7.000.
Comercio en línea enérgico con datos secuestrados
Los datos confidenciales capturados a menudo terminan en diferentes mercados. Los expertos de Kaspersky han identificado más de 25 diferentes que venden las credenciales robadas de estas campañas industriales. El análisis de estos mercados reveló una alta demanda de datos de acceso para cuentas de empresas, especialmente para cuentas de escritorio remoto (RDP). Más del 46 por ciento de todas las cuentas RDP vendidas en los mercados encuestados pertenecen a empresas en los EE. UU., y el resto proviene de Asia, Europa y América Latina. En Alemania, esto fue casi el 4 por ciento (casi 2.000 cuentas) de todas las cuentas RDP vendidas que afectaron a las empresas industriales.
Spyware como servicio
Distribución del software espía inusual por región y alojamiento C2 basado en SMTP (Imagen: Kaspersky).
Otro mercado en crecimiento es el software espía como servicio. Desde que se lanzaron los códigos fuente de algunos programas populares de spyware, están fácilmente disponibles en forma de servicio en las tiendas en línea. Los desarrolladores no solo venden malware como producto, sino que también otorgan licencias a un creador de malware y acceden a la infraestructura preconfigurada para crear el malware.
“En 2021, los ciberdelincuentes hicieron un uso extensivo de software espía para atacar computadoras industriales. Hoy estamos observando una nueva tendencia que evoluciona rápidamente en el panorama de las amenazas industriales”, comenta Kirill Kruglov, experto en seguridad de Kaspersky ICS CERT. “Para evitar ser detectados, los ciberdelincuentes reducen el tamaño de cada ataque y limitan el uso de cada muestra de malware, reemplazándola rápidamente por una de nueva creación. Otras tácticas incluyen el abuso extensivo de la infraestructura de correo electrónico corporativo para propagar malware. Esto es diferente a cualquier cosa que hayamos visto antes con spyware. Esperamos que tales ataques sean más frecuentes este año".
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/
Predicciones de Kaspersky ICS: https://securelist.com/threats-to-ics-and-industrial-enterprises-in-2022/104957/