Atacatorii cibernetici devin mai creativi, folosind tehnici noi, alături de cele clasice

A.B.
Comunicate de presă / 4 noiembrie 2020

Atacatorii cibernetici devin mai creativi, folosind tehnici noi, alături de cele clasice

Activitatea grupurilor APT (advanced persistent threat) din al treilea trimestru al anului 2020 a indicat o tendinţă interesantă: în timp ce mulţi atacatori cibernetici avansează şi continuă să îşi diversifice seturile de instrumente, recurgând uneori la unele extrem de bine personalizate şi persistente, alţii îşi ating obiectivele prin utilizarea unor metode de atac bine cunoscute, testate în timp. Aceasta şi alte tendinţe APT din diferite părţi ale lumii sunt prezentate în cel mai recent raport trimestrial de informaţii despre ameninţările cibernetice, realizat de Kaspersky, trasmite un comunicat de presă trimis redacţiei.

În al treilea trimestru al anului 2020, cercetătorii Kaspersky au observat o divizare a abordării generale folosite de atacatori - multiple evoluţii în tacticile, tehnicile şi procedurile (TTP) grupurilor APT din întreaga lume au fost analizate alături de campanii eficiente care au folosit vectori şi instrumente de infectare destul de banale.

Una dintre cele mai relevante descoperiri ale trimestrului a fost o campanie desfăşurată de un actor necunoscut, care a decis să distrugă sistemul de securitate al uneia dintre victime, folosind un bootkit personalizat pentru UEFI - o componentă hardware esenţială a oricărui dispozitiv computerizat modern. Acest vector a făcut parte dintr-un plan în mai multe etape, denumit MosaicRegressor. Răspândirea UEFI a făcut ca malware-ul plantat pe dispozitiv să fie extrem de persistent şi extrem de greu de eliminat. În plus, informaţia descărcată de malware pe dispozitivul fiecărei victime putea fi diferită - această abordare flexibilă i-a permis actorului să se ascundă şi mai multă vreme.

Alţi infractori cibernetici folosesc steganografia. O nouă metodă care foloseşte binarul Windows Defender semnat Authenticode, un program aprobat, parte integrantă pentru soluţia de securitate Windows Defender, a fost detectată într-un atac asupra unei companii de telecomunicaţii din Europa. O campanie în curs atribuită lui Ke3chang a folosit o nouă versiune a backdoor-ului Okrum. Această versiune actualizată a Okrum foloseşte un binar Windows Defender semnat Authenticode prin utilizarea unei tehnici unice de încărcare laterală. Atacatorii au folosit steganografia pentru a ascunde informaţia principală în executabilul Defender, păstrând în acelaşi timp semnătura digitală validă, şi reducând astfel şansele de detectare.

Mulţi alţi atacatori cibernetici continuă, de asemenea, să îşi actualizeze seturile de instrumente pentru a le face mai flexibile şi mai greu de detectat. Diverse planuri organizate în mai multe etape, precum cel dezvoltat de grupul MuddyWater APT continuă să apară. Această tendinţă este valabilă şi pentru alte programe malware - de exemplu, Dtrack RAT (instrument de acces la distanţă), care a fost actualizat cu o nouă caracteristică care permite atacatorului să folosească mai multe tipuri de informaţie utilă.

Cu toate acestea, unii atacatori încă folosesc cu succes instrumente cu tehnologie rudimentară. Un exemplu este un grup de mercenari numit DeathStalker de către cercetătorii Kaspersky. Acest APT se concentrează în principal pe firme de avocatură şi companii care activează în sectorul financiar, colectând informaţii importante de la victime. Folosind tehnici care au fost în mare parte aceleaşi din 2018, concentrarea pe evitarea detectării a permis DeathStalker să continue să efectueze o serie de atacuri de succes.

"În timp ce unii atacatori cibernetici rămân consecvenţi în timp şi pur şi simplu caută să folosească subiecte interesante precum COVID-19 pentru a atrage victimele să descarce ataşamente rău intenţionate, alte grupuri se reinventează şi îşi perfecţionează seturile de instrumente", comentează Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team, Kaspersky. "Diversificarea platformelor atacate, concentrarea asupra unor noi lanţuri de compromitere a securităţii şi utilizarea serviciilor legitime ca parte a infrastructurii lor de atac, este ceva la care am asistat în ultimul trimestru. În general, pentru specialiştii în securitate cibernetică acest lucru înseamnă că multe companii care se concentrează pe securitatea datelor trebuie să investească resurse în detectarea de activităţi periculoase în medii noi, posibil legitime, care au fost examinate mai puţin în trecut. Aici facem referire la programe malware scrise în limbaje de programare mai puţin cunoscute, sau transmise prin servicii cloud legitime. Urmărirea activităţilor atacatorilor şi a TTP-urilor ne permite să detectăm, pe măsură ce se dezvoltă, noile tehnici şi instrumente şi astfel să ne pregătim să reacţionăm la noi atacuri în timp util."

Cotaţii Internaţionale

vezi aici mai multe cotaţii

Bursa Construcţiilor

www.constructiibursa.ro

Comanda carte
veolia.ro
Apanova
digi.ro
aages.ro
danescu.ro
librarie.net
Mozart
Schlumberger
arsc.ro
Stiri Locale

Curs valutar BNR

19 Noi. 2024
Euro (EUR)Euro4.9769
Dolar SUA (USD)Dolar SUA4.7110
Franc elveţian (CHF)Franc elveţian5.3354
Liră sterlină (GBP)Liră sterlină5.9529
Gram de aur (XAU)Gram de aur399.1947

convertor valutar

»=
?

mai multe cotaţii valutare

Cotaţii Emitenţi BVB
Cotaţii fonduri mutuale
Mirosul Crăciunului
Teatrul Național I. L. Caragiale Bucuresti
petreceriperfecte.ro
targuldeturism.ro
Studiul 'Imperiul Roman subjugă Împărăţia lui Dumnezeu'
The study 'The Roman Empire subjugates the Kingdom of God'
BURSA
BURSA
Împărăţia lui Dumnezeu pe Pământ
The Kingdom of God on Earth
Carte - Golden calf - the meaning of interest rate
Carte - The crisis solution terminus a quo
www.agerpres.ro
www.dreptonline.ro
www.hipo.ro

adb