Атаки, использующие доверенную корпоративную инфраструктуру для кражи учетных данных в сетях АСУ

Дата: 13.02.2022. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности
Атаки, использующие доверенную корпоративную инфраструктуру для кражи учетных данных в сетях АСУ
Изображение: Max DeRoin (pixabay)

«Лаборатория Касперского» заявила об обнаружении нескольких киберпреступных кампаний, в процессе которых злоумышленники пользуются шпионским программным обеспечением, которое нацелено на предприятия промышленной отрасли.

По словам экспертов Kaspersky, основная цель операторов вредоносного ПО такого типа – это получение учетных данных к корпоративным аккаунтам. После компрометации учетных записей злоумышленники стараются реализовать различные денежные махинации и/или продажи.

В качестве основы злоумышленники используют целевые фишинговые рассылки, выполняемые с уже скомпрометированных корпоративных почтовых адресов. В фишинговое письмо вкладывается вредоносное вложение, а рассылка осуществляется по всем контактам, которые есть в учетной записи.

При проведении атак киберпреступники пользуются традиционным шпионским ПО, но при этом стараются полностью ограничить охват и длительность жизни образцов.

Киберпреступники неправомерно пользуются SMTP-сервисами предприятий промышленной отрасли как для осуществления целевых фишинговых рассылок по электронной почте, так и для сбора конфиденциальной информации, которая была украдена шпионским софтом. Около 45% всех атак в той или иной степени затрагивают АСУ ТП.

По результатам проведенного исследования экспертами «Лаборатории Касперского» было выявлено около 2 тыс. корпоративных email-аккаунтов, которые принадлежат предприятиям промышленной отрасли. Эти учетные записи почтовых ящиков задействуются злоумышленниками в качестве серверов для реализации дальнейших фишинговых атак.

Вместе с этим, по оценкам специалистов компании Kaspersky, намного больше почтовых аккаунтов (около 7 000) уже скомпрометированы и продаются/проданы в Интернете, либо неправомерно используются злоумышленниками другими способами.

Специалистам по кибербезопасности промышленных предприятий в «Лаборатории Касперского» рекомендуют:

  • внедрить двухфакторную аутентификацию для доступа к корпоративным email-аккаунтам и иным онлайн-сервисам;
  • убедиться в наличии современных защитных средств на устройствах в технологической и офисной сети предприятии;
  • систематически проводить обучение персонала безопасной работе с входящими email-письмами и защите от вредоносного ПО;
  • постоянно проверять папки со спамом, факты продажи данных предприятия в даркнете;
  • рассмотреть возможность применения технологии Sandbox для автоматической проверки вложений в email-письмах.

Полная версия исследования компании Kaspersky представлена по ссылке.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.