Целевые кибератаки

В марте 2018 г. «Лаборатория Касперского» обнаружила активную целевую атаку, направленную на национальный центр обработки данных (ЦОД) одной из стран Центральной Азии. Как показала наша телеметрия, кампания началась осенью 2017 года. Особенной эту атаку делает выбор в качестве мишени именно национального дата-центра: ее операторы получили доступ сразу к целому ряду правительственных ресурсов.

В январе мы обнаружили сложного многоступенчатого троянца-шпиона Skygofree, который дает злоумышленнику полный удаленный контроль над зараженным Android-устройством. В феврале Olympic Destroyer атаковал инфраструктуру Олимпийских игр в Пхенчхане.

В этом отчете представлены сведения об обнаруженных серверах, зараженных и используемых группировкой Energetic Bear/Crouching Yeti, а также приведены результаты анализа нескольких веб-серверов, скомпрометированных группой в течение 2016 – в начале 2017 года.

Через пару дней после церемонии открытия Зимней олимпиады в Пхенчхане, Южная Корея, мы на условиях неразглашения (TLP:Red) получили от партнера информацию о сокрушительной вредоносной атаке на инфраструктуру Олимпийских игр.

Конец года – это хорошее время, чтобы подвести итоги основных инцидентов кибербезопасности, имевших место в уходящем году, и попытаться оценить, какое влияние они оказали на организации и пользователей, а также на развитие ландшафта угроз в целом.

Прошедший 2017 год вызвал противоречивые эмоции у ИБ-экспертов. С одной стороны, на наших глазах «оживают» проблемы, прежде считавшиеся теоретическими, а каждая новая атака открывает новое поле для исследований. C другой стороны, целью нашей работы по-прежнему остается безопасность пользователей, для которых атака порой оборачивается катастрофой.

Растущая информатизация бизнес-процессов предоставляет злоумышленникам множество возможностей для атак. Целевые атаки при этом становятся все изощреннее: преступники учатся эффективнее использовать уязвимые места, незамеченными проникая в корпоративные сети.

Некоторое время назад, в процессе исследования деятельности целевой атаки Freakyshelly, мы обнаружили spear-phishing рассылку писем с интересными вложенными документами. Это были файлы в формате OLE2, которые не содержали ни макросов, ни эксплойтов, ни какого-либо другого активного контента.

Все большая угроза исходит от программ-вымогателей. В период с апреля 2016 г. по март 2017 г. защитные продукты «Лаборатории Касперского» блокировали работу вымогателей на компьютерах 2 581 026 пользователей. В мае мы наблюдали развитие беспрецедентной эпидемии, вызванной вымогателем WannaCry.

Сегодня мы наблюдаем новый и опасный тренд: все больше и больше разработчиков вредоносного ПО и средств кибершпионажа прибегает к использованию стеганографии. Большинство решений на сегодняшний день не защищают от стеганографии или защищают слабо, меж тем, нужно понимать, что каждый заполненный контейнер опасен.

В начале 2017 года исследователи «Лаборатории Касперского» обнаружили опасную тенденцию, набирающую обороты: все больше и больше киберпреступников перешли от атак на рядовых пользователей к целевым вредоносным атакам на организации.

Иногда создатели программ-вымогателей допускают ошибки в коде. Эти ошибки могут помочь пострадавшим вновь получить доступ к своим файлам после заражения. В нашей статье кратко описываются несколько ошибок, допущенных разработчиками вымогателя WannaCry.

Месяц за месяцем мы наблюдаем непрекращающийся поток инцидентов безопасности. И этот квартал не стал исключением: вспомнить хотя бы атаки на Trust Health Barts, Sports Direct, Intercontinental Hotels Group и ABTA.

На прошлой неделе, 12 мая наши продукты обнаружили и успешно заблокировали большое количество атак троянца-вымогателя по всему миру. При этих атаках данные шифровались и получали расширение «.WCRY». Наш анализ показывает, что атака, получившая название «WannaCry», инициируется посредством удаленного выполнения кода SMBv2 в Microsoft Windows.

Популярность шифровальщиков привлекла внимание организованных преступных групп, с помощью этих зловредов они организуют целевые атаки на крупные организации для хищения денежных средств. В конце 2016 года мы выявили рост числа атак, главной целью которых был запуск шифровальщика на узлах сети и серверах организации.