Tylko w pierwszym kwartale 2017 roku udostępniliśmy subskrybentom usługi Kaspersky Intelligence Services 33 raporty prywatne. Każdy duży cyberatak, o którym nagle staje się głośno, jest już od jakiegoś czasu śledzony przez naszych ekspertów po cichu. Eksperci należącego do Kaspersky Lab Globalnego Zespołu ds. Badań i Analiz (ang. Global Research and Analysis Team, GReAT) wykonują wiele detektywistycznej pracy, na którą składa się skrupulatne badanie wielu czynników, systematyzacja ustaleń oraz identyfikowanie anomalii.
Obecnie zespół GReAT śledzi ponad stu aktorów zagrożeń oraz nieszablonowych szkodliwych działań w ponad 80 krajach. Raporty zespołu GReAT zawierają nie tylko informacje teoretyczne na temat zagrożeń, ale także szczegółowe wskaźniki infekcji i reguły YARA, które pomagają śledzić takie incydenty i namierzać szkodliwe programy.
Na podstawie tych badań zidentyfikowaliśmy pewne trendy w świecie ataków ukierunkowanych, jakie miały miejsce w pierwszym kwartale tego roku. Wiedza taka może pomóc firmom uniknąć strat finansowych i szkód na reputacji.
Trendy
- Nowymi ulubionymi narzędziami są szkodliwe programy wymazujące dane na komputerach ofiar. Ten rodzaj szkodliwych programów może poważnie zakłócić funkcjonowanie firmy. Ponadto może zatrzeć ślady swojej obecności w sieci, jeszcze bardziej utrudniając analizowanie ataku przez ekspertów. Przykładami takich programów są Shamoon i StoneDrill, o których pisaliśmy na początku marca.
- Ataki APT, wykorzystywane dawniej do sabotażu i cyberszpiegostwa, coraz częściej służą do bezpośredniego wzbogacania się atakujących. W przypadku szkodnika Shamoon nasi badacze wykryli moduł, który może działać jak szkodliwy program z funkcją szyfrowania. Pozostałe grupy używają w atakach ukierunkowanych programów szyfrujących.
- Skupienie na finansach. Eksperci zidentyfikowali grupę BlueNoroff powiązaną z grupą Lazarus w atakach przeprowadzonych na banki w Polsce (grupie Lazarus przypisano także znany cyberatak na firmę Sony, który miał miejsce w 2014 roku). Jednak wydaje się, że atakujący są skupieni wyłącznie na uzyskaniu korzyści finansowych. Przebadali oni stan zabezpieczeń banków, a następnie umieścili na stronie polskiej Komisji Nadzoru Finansowego exploity. Według naszych ekspertów grupa ta stanowi obecnie najbardziej niebezpieczne zagrożenie dla banków.
- Szkodliwy program, który nie pozostawia po sobie plików. Coraz częściej wykorzystywane w atakach APT szkodliwe oprogramowanie, które nie pozostawia po sobie żadnych plików, jest trudne do wykrycia oraz przeanalizowania po wykryciu incydentu.
Pełny raport na temat ataków APT można znaleźć tutaj.
Co można zrobić?
Znając obecne trendy, warto zastanowić się nad tym, jak można się zabezpieczyć. Z pewnością pomocne będzie stosowanie powszechnie znanych sposobów. Po pierwsze, należy zidentyfikować i wyeliminować luki, które nadal są niezmiernie popularnym sposobem na przedostanie się atakujących do komputerów. Należy także instalować łaty tuż po ich pojawieniu się i korzystać z programu zabezpieczającego, np. Kaspersky Endpoint Security for Business, który automatycznie je wyszukuje i zarządza instalacją łat.
Po drugie, zastanów się nad rozszerzeniem arsenału ochrony poza rozwiązanie zabezpieczające punkty końcowe. Bardzo pomocne mogą się okazać narzędzia, które potrafią wykrywać anomalie we wszystkich procesach sieci firmowej — np. platforma Kaspersky Anti Targeted Attack. Rozwiązanie to wykorzystuje tzw. HuMachine Intelligence, czyli połączenie danych analitycznych dotyczących zagrożeń, systemy samouczące i wiedzę naszych ekspertów.
Działaj proaktywnie — wyszukuj luki w systemie zabezpieczeń, nie czekaj, aż zrobią to atakujący. W tej kwestii najlepiej jest zaufać ekspertom, którzy poprzez szczegółowe przebadanie infrastruktury i testy penetracyjne nie tylko znajdą ewentualne luki, ale także podadzą instrukcje, jak je wyeliminować.
Dobrze jest również być na bieżąco z informacjami z cyberświata. Do elementów skutecznej ochrony przed atakami APT należy także wiedza w zakresie aktualnych trendów. Tu pomogą ci sami eksperci, którzy analizują szeroki krajobraz zagrożeń — będą dostarczać raporty, które nie są dostępne publicznie. Aby uzyskać więcej informacji na temat raportów przeznaczonych wyłącznie dla subskrybentów, które zawierają analizy zagrożeń, napisz na adres: intelreports@kaspersky.com.