Os especialistas da Kaspersky descobriram uma nova série de campanhas de spyware em rápida evolução visando mais de 2.000 empresas industriais em todo o mundo, declarando: cenários de ataque de curta duração estão aumentando, dados estão sendo oferecidos para venda em mercados, cerca de 7.000 contas corporativas comprometidas ou roubadas.
Ao contrário de muitos ataques de spyware tradicionais, esses ataques têm um número limitado de alvos e um tempo de vida muito curto para cada programa malicioso. Os dados capturados foram colocados à venda em mais de 25 marketplaces.
Dados da empresa em 25 marketplaces à venda
No primeiro semestre de 2021, os especialistas do Kaspersky ICS CERT notaram uma anomalia incomum nas estatísticas de ameaças de spyware bloqueadas em computadores ICS. Embora o malware usado nesses ataques pertença a famílias de spyware bem conhecidas, como Agent Tesla/Origin Logger, HawkEye e outros [2], esses ataques se destacam do mainstream porque o número de alvos em cada ataque é muito limitado (variando de um punhado a algumas dezenas) e a vida útil de cada programa malicioso é muito curta.
Uma análise mais detalhada de 58.586 amostras de spyware bloqueadas em computadores ICS no primeiro semestre de 2021 mostrou que cerca de 21,2% deles pertenciam a essa nova série de ataques com escopo limitado e vida útil curta. Seu ciclo de vida é limitado a cerca de 25 dias - significativamente menos do que a vida útil de uma campanha de spyware "convencional".
Embora cada uma dessas amostras de spyware "anômalas" tenha vida curta e não seja generalizada, elas representam uma parcela desproporcional de todos os ataques de spyware. Na Ásia, por exemplo, um em cada seis computadores atacados por spyware foi afetado (2,1% em 11,9%), na Europa foi de 0,7% em 6,3%.
E-mails de phishing como porta de entrada na empresa
A maioria dessas campanhas é distribuída de uma empresa industrial para outra por meio de e-mails de phishing bem elaborados. Depois que o invasor penetra no sistema da vítima, ele usa o dispositivo como um servidor C2 (Comando e Controle) para o próximo ataque. Com acesso à lista de e-mails da vítima, os cibercriminosos podem fazer uso indevido do e-mail corporativo e proliferar ainda mais o spyware.
Distribuição de máquinas ICS bloqueadas por spyware - H1 2021 pela indústria (Imagem: Kaspersky).
De acordo com a telemetria ICS-CERT da Kaspersky, mais de 2.000 empresas industriais em todo o mundo foram incorporadas à infraestrutura maliciosa e abusadas por cibercriminosos para realizar o ataque a organizações de contato e parceiros de negócios. A Kaspersky estima o número total de contas corporativas comprometidas ou roubadas como resultado desses ataques em mais de 7.000.
Negociação on-line rápida com dados sequestrados
Os dados confidenciais capturados geralmente acabam em diferentes mercados. Os especialistas da Kaspersky identificaram mais de 25 diferentes vendendo as credenciais roubadas dessas campanhas industriais. A análise desses marketplaces revelou uma alta demanda por dados de acesso para contas de empresas, principalmente para contas de desktop remoto (RDP). Mais de 46% de todas as contas RDP vendidas nos mercados pesquisados pertencem a empresas nos EUA, com o restante vindo da Ásia, Europa e América Latina. Na Alemanha, isso representou quase 4% (quase 2.000 contas) de todas as contas RDP vendidas que afetaram empresas industriais.
Spyware como serviço
Distribuição do spyware incomum por região e hospedagem C2 baseada em SMTP (Imagem: Kaspersky).
Outro mercado em crescimento é o Spyware-as-a-Service. Desde que os códigos-fonte de alguns programas populares de spyware foram lançados, eles estão facilmente disponíveis na forma de um serviço em lojas online. Os desenvolvedores não apenas vendem malware como um produto, mas também licenciam um criador de malware e acesso à infraestrutura pré-configurada para criar o malware.
“Em 2021, os cibercriminosos fizeram uso extensivo de spyware para atacar computadores industriais. Hoje estamos observando uma nova tendência em rápida evolução no cenário de ameaças industriais”, comenta Kirill Kruglov, especialista em segurança da Kaspersky ICS CERT. “Para evitar a detecção, os cibercriminosos reduzem o tamanho de cada ataque e limitam o uso de cada amostra de malware, substituindo-o rapidamente por um recém-criado. Outras táticas incluem abuso extensivo da infraestrutura de e-mail corporativo para espalhar malware. Isso é diferente de tudo que já vimos com spyware. Esperamos que tais ataques se tornem mais prevalentes este ano."
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/
Previsões do Kaspersky ICS: https://securelist.com/threats-to-ics-and-industrial-enterprises-in-2022/104957/