全球数千家工业企业面临恶意软件“短平快”攻击

根据卡巴斯基最新发布的工控安全报告,全球数以千计的工业企业正面临窃取企业账户凭证的恶意软件的“短平快”攻击,攻击者出售这些凭证以获取利润。

卡巴斯基对2021年上半年在全球ICS计算机上发现的恶意软件进行了分析,并注意到这些样本中大约20%的生命周期仅为25天——然后它们会被新“毒株”替代。此类攻击在所有针对ICS的间谍软件攻击的占比如下(蓝色为短期攻击):

这比典型的工控系统攻击的周期要短得多,特别是考虑到攻击者使用的是广为人知的恶意软件品种,例如AgentTesla、HawkEye、Formbook、Masslogger、Snake Keylogger、Azorult和Lokibot。

卡巴斯基将这些活动中使用的恶意软件描述为间谍软件——该公司的ICS团队将这个术语用于后门、特洛伊木马和键盘记录程序。

除了生命周期短之外,该恶意软件并未在这些攻击活动中广泛传播——最多只有100台设备被感染,其中40-45%是与ICS相关的设备。

根据卡巴斯基的定义,这些设备包括HMI、SCADA系统、数据网关、工程工作站、用于管理工业网络的计算机以及用于开发工业系统软件的设备。

一旦进入组织的网络,攻击者就会横向移动并破坏受害者的公司电子邮件服务,从而将恶意软件传递给其他组织。卡巴斯基研究人员已经确定了2,000多个企业电子邮件帐户,这些帐户用于发送带有恶意附件的鱼叉式网络钓鱼电子邮件。

研究人员认为,这些运动的目标是2000多家工业企业,这些攻击活动由“低技能个人和小团体”独立操作。这些攻击者出于经济动机,使用被盗数据直接实施金融犯罪,或者在网络犯罪市场上出售获得的SMTP、RDP、SSH和VPN凭证。

卡巴斯基估计,攻击者已经获得了大约7,000个公司帐户的访问权限。这些活动中被盗的凭证已在25个市场上出售。

“对这些市场的分析表明,对企业账户凭证的需求很高,尤其是远程桌面账户(RDP)。”卡巴斯基指出。“在分析的市场中销售的所有RDP账户中,超过46%的账户归美国公司所有,其余来自亚洲、欧洲和拉丁美洲。在所有被出售的RDP账户中,近4%(近2,000个账户)属于工业企业。”

报告链接:

https://ics-cert.kaspersky.com/publications/reports/2022/01/19/campaigns-abusing-corporate-trusted-infrastructure-hunt-for-corporate-credentials-on-ics-networks/

前一篇2027 年零信任安全市场规模将达到 644 亿美元
后一篇Trellix能否成为XDR市场的领导者?