Avertisment: Operațiunea Ghoul, nou val de atacuri cibernetice în industrie

Publicat pe Categorii Flux energetic, Opinii / Analize
Prima Pagina Actual Flux energetic Avertisment: Operațiunea Ghoul, nou val de atacuri cibernetice în industrie
  • Kaspersky Lab: România se află printre țările afectate, dar cu un număr mai mic de victime (sub 3), care provin din domeniul industrial.

Kaspersky Lab a descoperit un nou val de atacuri împotriva sectoarelor energetic și industrial, în mai multe țări. Folosind e-mail-uri de phishing și programe malware bazate pe un kit de spionaj comercial, gruparea caută informații valoroase de business, stocate în rețelele victimelor. În total, peste 130 de organizații din 30 de țări, printre care Spania, Marea Britanie, India, Pakistan, Emiratele Arabe Unite, Germania Arabia Saudită și altele au fost atacate cu succes de acest grup. România se află printre țările afectate, dar cu un număr mai mic de victime (sub 3), care provin din domeniul industrial.

ghoul_EN

Prezentăm, în cele ce urmează,  comunicatul companiei de securitate cibernetică.

În iunie 2016, cercetătorii Kaspersky Lab au detectat o serie de e-mail-uri de phishing cu documente infectate. Aceste mesaje au fost trimise, în cea mai mare parte, unor manageri –  inclusiv din top management – din numeroase companii. E-mail-urile atacatorilor păreau să vină din partea unei bănci din Emiratele Arabe Unite: arătau ca niște documente cu informații despre modalitățile de plată, cu un document SWIFT anexat, dar arhiva conținea, de fapt, un program malware.

Investigațiile ulterioare derulate de cercetătorii Kaspersky Lab au arătat că această campanie a fost organizată, cel mai probabil, de un grup de infractori cibernetici care a fost depistat de experții companiei încă din martie 2015. Atacurile din iunie par să fie cea mai recentă operațiune a acestui grup.

Programul malware din attach este bazat pe cel de spionaj comercial HawkEye care este vândut pe Darkweb și oferă o multitudine de instrumente pentru atacatori. După instalare, colectează date interesante din PC-urile victimelor, inclusiv:

  • Tastele acționate (“keystrokes”)
  • Datele din clipboard
  • Datele de autentificare pentru servere FTP
  • Date de contabilitate din browsere
  • Date de contabilitate din mesajele clienților (Paltalk, Google talk, AIM…)
  • Date de contabilitate din e-mail-urile clienților (Outlook, Windows Live mail…)
  • Informații despre aplicațiile instalate (Microsoft Office)

Aceste informații sunt trimise către serverele de comandă și control ale atacatorilor. Conform informațiilor primite de unele dintre aceste servere, majoritatea victimelor sunt organizații din domeniul industrial și de construcții, iar altele provin din domeniul transporturilor navale sau farmaceutic, sunt companii producătoare și societăți comerciale sau organizații din domeniul educației.

Toate aceste companii dețin informații valoroase care ar putea fi vândute ulterior pe piața neagră – profitul financiar este principala motivație pentru atacatorii din spatele Operațiunii Ghoul. Numită astfel de cercetătorii Kaspersky Lab, aceasta este doar una dintre mai multe campanii care se presupune că sunt controlate de același grup, încă activ.

Operatiunea Ghoul - Tari afectate

“În folclor, Ghoul (“strigoi”, “hienă”) este un spirit malefic despre care se crede că mănâncă oameni și bântuie copii, la origine fiind un demon din Mesopotamia. Astăzi, termenul este uneori folosit pentru a descrie o persoană lacomă sau materialistă. Aceasta este o descriere exactă a grupului din spatele Operațiunii Ghoul. Motivația lor principală este câștigul financiar rezultat fie din vânzarea informațiilor furate, fie din atacuri asupra conturilor bancare ale victimelor. Spre deosebire de grupările sponsorizate de state, care își aleg victimele cu atenție, acest grup sau altele similare ar putea ataca orice companie. Chiar dacă folosesc instrumente malware relativ simple, sunt foarte eficienți, astfel încât companiile care nu sunt pregătite să detecteze atacurile vor avea de suferit, din păcate”, a spus Mohammad Amin Hasbini, security expert la Kaspersky Lab.

Recomandările Kaspersky Lab

Pentru a se proteja de Operațiunea Ghoul și alte amenințări asemănătoare, cercetătorii Kaspersky Lab recomandă companiilor să ia următoarele măsuri:

  • Să-și instruiască personalul astfel încât să poată deosebi un e-mail de phishing sau un link de phishing de cele autentice.
  • Să folosească o soluție de securitate eficientă, împreună cu soluțiile de tip “anti-targeted”, capabile să identifice atacurile prin analizarea anomaliilor din rețea.
  • Să ofere personalului din domeniul securității IT acces la cele mai noi informații despre amenințări, pentru a avea arme puternice, capabile să prevină atacurile și să le descopere, cum ar fi indiciile privind compromiterea sistemului și regulile YARA.

Produsele Kaspersky Lab detectează programele malware folosite de grupul din spatele Operațiunii Ghoul. Pentru mai multe informații despre Operațiunea Ghoul, citiți articolul de pe Securelist.com.

Raportul integral despre Operațiunea Ghoul a fost pus la dispoziția clienților Kaspersky APT Intelligence Reporting Service.

Mai multe informații despre strategia de prevenire a unor astfel de atacuri sunt disponibile și aici: https://business.kaspersky.com/.

Kaspersky Lab este o companie globală de securitate cibernetică, fondată în 1997. Cunoștințele în domeniul amenințărilor cibernetice și expertiza în securitate IT deținute de Kaspersky Lab se materializează în mod constant în soluții de securitate și servicii pentru a proteja companii, infrastructură critică, autorități guvernamentale și utilizatori individuali din toată lumea. Portofoliul complex de securitate include protecție endpoint de top și un număr de soluții specializate de securitate și de servicii, pentru a combate amenințările digitale tot mai sofisticate. Peste 400 de milioane de utilizatori individuali sunt protejați de tehnologiile Kaspersky Lab, precum și 270.000 de companii client, pe care le ajutăm să protejeze ce e mai important pentru ele. Pentru mai multe informații, vizitați www.kaspersky.ro.


Publicat de

Redacția

Echipa InvestEnergy

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*