Los expertos de Kaspersky han presentado una nueva serie de campañas de espionaje de rápido crecimiento dirigidas a más de 2000 empresas de la industria en todo el mundo. A diferencia de las campañas normales de software espía, estos ataques se distinguen por el número limitado de objetivos en cada uno de ellos y la vida útil muy corta de cada muestra maliciosa. El estudio identificó más de 25 mercados donde se venden datos robados. Estos y otros resultados fueron publicados en el nuevo informe Kaspersky ICS CERT.
Durante la primera mitad de 2021, los expertos notaron una extraña anomalía en las estadísticas sobre el bloqueo de amenazas de spyware en PC industriales. Si bien el malware utilizado pertenecía a conocidas familias de espías, como Tesla Agent / Origin Logger, HawkEye y otras, estos ataques se destacan por el número limitado de objetivos en cada uno (de uno a unas pocas docenas).así como la corta vida útil de todas las muestras maliciosas.
Un análisis más detallado de las 58 586 muestras de spyware bloqueadas en las computadoras ICS en la primera mitad de 2021 reveló queAlrededor del 21,2% de ellos formaban parte de esta nueva serie de ataques limitados de corto alcance. Su vida útil está limitada a unos 25 días.que es mucho más corto que el ciclo de vida de una campaña de spyware ‘tradicional’.
Si bien todos los ejemplos «anómalos» de spyware son de corta duración y no se distribuyen ampliamente, representan una parte desproporcionadamente grande del total de ataques de espionaje. En Asia, por ejemplo, uno de cada seis casos de espionaje se aplicó a una computadora de cada seis personas atacadas por spyware (2,1% de 11,9%).
En concreto, la mayoría de estas campañas se extienden de una empresa industrial a otra a través de correos electrónicos de phishing bien elaborados. Una vez que se penetra el sistema de la víctima, el atacante usa el dispositivo como un servidor C2 (comando y control) para el próximo ataque. Con acceso a una lista de contactos de víctimas, los delincuentes pueden usar el correo electrónico corporativo para propagar aún más el spyware..
Según la telemetría Kaspersky ICS CERT, Más de 2000 organizaciones de la industria en todo el mundo se han incorporado a la infraestructura maliciosa y las bandas de ciberdelincuentes las han utilizado para propagar el ataque a sus afiliados y socios comerciales.. El número total de cuentas corporativas comprometidas o robadas como resultado de estos ataques se estima en 7.000.
Los datos confidenciales obtenidos de las computadoras ICS a menudo terminan en diferentes mercados. Los expertos de Kaspersky identificaron más de 25 mercados diferentes donde se vendían las credenciales robadas de estas campañas industriales. El análisis de estos mercados ha mostrado una gran demanda de credenciales de cuentas corporativas, en particular cuentas de cuentas remotas (RDP). Más del 46% de todas las cuentas RDP vendidas en los mercados de analistas pertenecen a empresas estadounidenses, y el resto proviene de Asia, Europa y América Latina. Las empresas de la industria representan casi el 4% (aproximadamente 2.000 cuentas) de todas las cuentas vendidas bajo el RDP.
Otro mercado en crecimiento es el spyware como servicio.. Debido a que los códigos fuente del software espía más popular se publican, se encuentran comúnmente a la venta en tiendas en línea en forma de servicio: los desarrolladores no solo venden malware como producto, sino también una licencia para un creador de malware. y acceso a infraestructura preconfigurada para construir el malware.
“Durante 2021, el ciberware usó spyware para atacar computadoras industriales. Hoy estamos viendo una tendencia nueva y en rápida evolución en el panorama de amenazas industriales, donde los delincuentes reducirán el tamaño de cada ataque para evitar la detección y limitar el uso de todas las muestras de malware obligándolos a crear uno nuevo. Otras tácticas incluyen el uso de la infraestructura de correo electrónico corporativa para propagar malware. Esto es diferente a todo lo que ya hemos visto con el spyware y esperamos que los ataques de spyware continúen el próximo año”, dice. Kirill Kruglov, experto en seguridad de Kaspersky ICS CERT.