Wiadomości

W drugim kwartale 2017 roku zaawansowani cyberprzestępcy wypuścili szereg nowych i udoskonalonych szkodliwych narzędzi, w tym trzy exploity dnia zerowego oraz dwa bezprecedensowe ataki: WannaCry i ExPetr. Analiza ekspercka tych dwóch ostatnich wskazuje na możliwość wypłynięcia kodu, który nie był w pełni gotowy, co jest nietypową sytuacją w przypadku precyzyjnych cyberprzestępców. Te i inne trendy zostały omówione w najnowszym kwartalnym podsumowaniu danych analitycznych dotyczących zagrożeń, przygotowanym przez Kaspersky Lab.

Od kwietnia do końca czerwca obserwowano istotny rozwój wypadków w zakresie ataków ukierunkowanych, prowadzonych między innymi przez cyberprzestępców posługujących się językiem rosyjskim, angielskim, koreańskim oraz chińskim. Incydenty te mają dalekosiężne skutki dla bezpieczeństwa IT biznesu: nieustannie, w niemal każdym miejscu na świecie prowadzona jest wyrafinowana szkodliwa aktywność, zwiększająca ryzyko odniesienia pośrednich szkód w cyberwojnie przez firmy i organizacje niekomercyjne. Rzekomo wspierane przez rządy, destrukcyjne epidemie WannaCry i ExPetr, których ofiary obejmują wiele firm i organizacji na świecie, stanowią pierwszy, ale prawdopodobnie nie ostatni przykład tego nowego, niebezpiecznego trendu.

Najważniejsze wydarzenia w II kwartale 2017 r.

• Trzy exploity dnia zerowego dla systemu Windows wykorzystywane przez rosyjskojęzyczne ugrupowania przestępcze Sofacy i Turla. Ugrupowanie Sofacy, znane również jako APT28 lub FancyBear, zastosowało exploity skierowane przeciwko licznym celom europejskim, łącznie z organizacjami rządowymi i politycznymi. Ugrupowanie to wypróbowywało również kilka eksperymentalnych metod, w szczególności narzędzie wykorzystane przeciwko członkowi francuskiej partii politycznej w okresie poprzedzającym wybory we Francji.
• Gray Lambert - Kaspersky Lab przeanalizował jak dotąd najbardziej zaawansowany zestaw narzędzi wykorzystywany przez ugrupowanie Lamberts - wysoce wyrafinowaną i złożoną anglojęzyczną rodzinę oprogramowania cyberszpiegowskiego. Zidentyfikowano dwie nowe, powiązane rodziny szkodliwego oprogramowania.
• Ataki WannaCry z 12 maja oraz ExPetr (NotPeyta/Petya) z 27 czerwca. Chociaż różnią się znacząco pod względem charakteru i celów, oba okazały się zaskakująco nieskuteczne pod względem wyłudzania okupu. Błyskawiczne globalne rozprzestrzenianie się oraz nagłośnienie szkodnika WannaCry skierowało uwagę na konto atakujących przeznaczone do wpłaty okupu w bitcoinach, co utrudniło cyberprzestępcom zdeponowanie pieniędzy. To sugeruje, że prawdziwym celem ataku WannaCry było niszczenie danych. Eksperci z Kaspersky Lab odkryli dalsze powiązania między ugrupowaniem Lazarus a WannaCry. Schemat destrukcyjnego szkodliwego oprogramowania zamaskowanego jako oprogramowanie ransomware zaobserwowaliśmy ponownie w przypadku ataku ExPetr.
• ExPetr, który atakował organizacje na Ukrainie, w Rosji i innych państwach w Europie, również wydawał się być oprogramowaniem ransomware, jednak jego cel okazał się wyłącznie destrukcyjny. Motyw przeprowadzania ataków ExPetr pozostaje tajemnicą. Eksperci z Kaspersky Lab ustalili przy niskim poziomie pewności powiązanie tego ataku z ugrupowaniem przestępczym o nazwie Black Energy.

Od dawna podkreślaliśmy znaczenie w pełni globalnych danych analitycznych dotyczących zagrożeń w ochronie poufnych i krytycznych sieci. Z jednej strony wzrasta liczba nadgorliwych cyberprzestępców, których zupełnie nie obchodzi stan internetu, z drugiej natomiast coraz więcej osób pracuje w istotnych instytucjach oraz firmach i korzysta z sieci każdego dnia. W sytuacji, gdy cyberszpiegostwo, sabotaż i przestępczość szerzą się w niepohamowany sposób, niezwykle istotne jest, aby obrońcy połączyli siły, przekazując sobie wzajemnie zaawansowaną wiedzę, aby zapewnić lepszą ochronę przed wszystkimi zagrożeniami - powiedział Juan Andres Guerrero-Saade, starszy badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab.

W raporcie na temat trendów w zakresie zaawansowanych cyberataków w II kwartale podsumowano wyniki z dokumentów przeznaczonych dla subskrybentów firmy Kaspersky Lab, obejmujących dane analityczne dotyczące zagrożeń. W drugim kwartale 2017 r. Globalny Zespół ds. Badań i Analiz Kaspersky Lab opracował 23 prywatne raporty dla subskrybentów, zawierające oznaki infekcji (IOC) oraz reguły Yara, aby wspomóc kryminalistykę i identyfikację szkodliwego oprogramowania.

źródło: Kaspersky Lab