Grupările APT folosesc programe de tip wipers și malware rezident doar în memorie în atacuri

În primele trei luni ale anului 2017 s-a înregistrat o creștere accentuată în complexitatea atacurilor cibernetice susținute la nivel statal, unii “actori” din domeniul amenințărilor îndreptându-și atenția către programe de tip “wipers” (care șterg fișiere), precum și către infracțiunile financiare. Acestea și alte tendințe fac parte din primul sumar trimestrial al rapoartelor de informații despre amenințări, disponibile la Kaspersky Lab pentru cei abonați la acest serviciu.

---

Noile rapoarte trimestriale despre tendințele în domeniul APT (Advanced Persistent Threats) vor fi disponibile pentru toți cei interesați și vor sublinia evoluțiile importante privind atacurile cu țintă precisă, precum și tendințele emergente care trebuie luate în calcul de către organizațiile comerciale și de alte tipuri de organizații. Conținutul raportului trimestrial pe T1 este bazat pe observațiile experților Kaspersky Lab asupra activității grupărilor APT din această perioadă. Printre cele mai importante concluzii din primul trimestru al anului 2017 se numără: • Programele care șterg fișiere sunt exploatate de grupările APT, atât pentru sabotaj cibernetic, cât și pentru ștergerea urmelor după operațiunile de spionaj cibernetic. În noul val de atacuri Shamoon, a fost folosită o generație evoluată de astfel de programe, investigația ulterioară conducând la descoperirea StoneDrill și a similitudinilor de cod cu NewsBeef (gruparea Charming Kitten). O victimă StoneDrill a fost găsită și în Europa. • Atacatorii care urmăresc o țintă precisă și-au diversificat activitatea, ajungând la furturi de bani. Urmărirea pe termen lung a grupului Lazarus a contribuit la identificarea unui subgrup, pe care Kaspersky Lab l-a denumit BlueNoroff. Acesta atacă în mod constant instituții financiare din diverse regiuni, incluzând un atac de mari dimensiuni din Polonia. Se presupune că BlueNoroff este în spatele jafului de la Banca Centrală a Bangladeshului. • Malware-ul rezident doar în memorie (“fileless”) a fost folosit în atacuri atât de grupări APT, cât și de infractori cibernetici în general - acesta i-a ajutat să evite detecția, și să îngreuneze investigarea incidentelor. Experții Kaspersky Lab au găsit exemple în instrumentele folosite de infractori pentru a se “deplasa” în interiorul organizațiilor în atacurile Shamoon, în atacuri împotriva unor bănci din Europa de Est, precum și în posesia altor grupări APT. “Atacurile cu țintă precisă evoluează în mod constant, iar atacatorii sunt din ce în ce mai bine pregătiți, căutând și profitând de noi lacune și oportunități”, spune Juan Andres Guerrero-Saade, Senior Security Researcher, Global Research and Analysis Team la Kaspersky Lab. “De aceea, informațiile despre amenințări sunt atât de importante: ele ajută organizațiile să înțeleagă mai bine situația și să știe ce măsuri trebuie să ia. De exemplu, amenințările din primul trimestru al anului evidențiază nevoia unei analize a memoriei sistemului de operare și a unei reacții imediate adecvate la incidente cibernetice pentru a combate atacurile rezidente doar în memorie, precum și o nevoie de soluții de securitate care pot detecta anomaliile rețelei în timpul derulării activității.” 506