Raport Kaspersky Lab: cum și-au perfecționat infractorii cibernetici modul de operare
Experții Kapsersky Lab au analizat cele două atacuri și au ajuns la concluzia că lansarea codului a fost făcută înainte ca acesta să fie pregătit în totalitate de atac, lucru ce reprezintă o situație nemaîntâlnită pentru infractorii cibernetici cu experiență.
Conform analizei realizate, în perioada aprilie-iunie s-au înregistrat evoluții semnificative în atacurile cu țintă precisă, iar protagoniștii amenințărilor au fost, printre alții, vorbitori de limbă rusă, engleză, coreeană și chineză. Aceste schimbări influențează profund securitatea IT la nivelul companiilor. Deoarece atacurile complexe au loc aproape peste tot în lume, în mod constant, crește și nivelul implicării companiilor și organizațiilor non-comerciale, care devin victime colaterale în războiul cibernetic. Atacurile WannaCry și ExPetr, despre care se crede că au fost susținute la nivel statal, au provocat daune majore, multe companii și organizații din jurul lumii devenind victime.
Principalele concluzii ale analizei făcute pentru cel de-al doilea trimestru din 2017
– Trei exploit-uri Windows zero-day au fost folosite ”in-the-wild” de autori ai amenințărilor Sofacy și Turla, vorbitori de limbă rusă. Sofacy, cunoscut de asemenea ca APT28 sau FancyBear, a lansat exploit-uri împotriva unui grup de ținte europene, printre care organizații guvernamentale și politice. S-a observat faptul că autorul amenințării a încercat câteva instrumente experimentale, cel mai important fiind lansat împotriva unui membru al unui partid din Franța, înaintea alegerilor parlamentare.
– Gray Lambert – Kaspersky Lab – a a ajuns la concluzia că este vorba despre un malware de spionaj cibernetic, foarte sofisticat și complex, ai cărui autori sunt vorbitori de limbă engleză.
Atacul WannaCry de pe 12 mai și atacul ExPetr de pe 27 iunie. Deși sunt diferite prin natura și țintele lor, ambele au fost surprinzător de ineficiente ca atacuri ”ransomware”. De exemplu, în cazul WannaCry, datorită răspândirii globale rapide și a vizibilității ridicate, infractorii s-au confruntat cu dificultăți în retragerea sumelor de Bitcoin din conturile de răscumpărare. Acest lucru sugerează faptul că scopul real al atacului WannaCry a fost distrugerea datelor. Experții Kaspersky Lab au descoperit mai târziu legăturile dintre grupul Lazarus și WannaCry. Modelul malware-ului deghizat ca ransomware s-a manifestat, din nou, în atacul ExPetr.
– ExPetr a țintit organizații din Ucraina, Rusia și din alte părți din Europa și, deși părea să fie un ransomware, s-a dovedit că scopul său era pur distructiv. Motivul din spatele atacurilor ExPetr rămâne un mister. Experții Kaspersky Lab au stabilit o vagă legătură cu Black Energy.
”Am insistat mereu asupra importanței informațiilor despre amenințările globale pentru a păstra în siguranță infrastructurile critice. În continuare, suntem martorii unei tendințe de creștere a numărului infractorilor care pun în pericol siguranța pe Internet și, implicit, siguranța celor din instituțiile importante și din companiile care se bazează pe serviciile de Internet în fiecare zi. Ținând cont de faptul că spionajul cibernetic, sabotajul și infracțiunile cresc în mod alarmant, este cu atât mai important ca specialiștii în securitate cibernetică să se unească și să împărtășească cunoștințele din domeniu pentru o apărare eficientă împotriva tuturor amenințărilor”, spune Juan Andres Guerrero-Saade, Senior Security Researcher, Global Research and Analysis Team la Kaspersky Lab.