Theo Kaspersky, hàng ngàn tổ chức công nghiệp trên toàn thế giới đã bị tấn công trong các chiến dịch tận dụng phần mềm độc hại tồn tại trong thời gian ngắn để thu thập thông tin đăng nhập của công ty, sau đó được các tác nhân đe dọa bán để kiếm lợi nhuận.
Đơn vị Kaspersky tập trung vào các hệ thống kiểm soát công nghiệp (ICS) đã tiến hành phân tích phần mềm độc hại được tìm thấy vào nửa đầu năm 2021 trên các máy tính ICS trên toàn thế giới và nhận thấy rằng khoảng 20% trong số các mẫu này có tuổi thọ khoảng 25 ngày - sau đó chúng được thay thế bằng một mẫu mới.
Thời gian này ngắn hơn đáng kể so với các cuộc tấn công thông thường, đặc biệt vì phần mềm độc hại liên quan là một phần của các dòng sản phẩm được biết đến rộng rãi như AgentTesla, HawkEye, Formbook, Masslogger, Snake Keylogger, Azorult và Lokibot.
Kaspersky mô tả phần mềm độc hại được sử dụng trong các chiến dịch này là phần mềm gián điệp - nhóm ICS của công ty sử dụng thuật ngữ này cho các cửa hậu, trojan và keylogger.
Ngoài thời gian tồn tại ngắn, phần mềm độc hại chưa được phân phối rộng rãi trong các chiến dịch này - có tới 100 thiết bị bị nhiễm, bao gồm 40-45% thiết bị liên quan đến ICS.
Điều đáng chú ý là, dựa trên định nghĩa của Kaspersky, chúng có thể bao gồm HMI, hệ thống SCADA, lịch sử, cổng dữ liệu, máy trạm kỹ thuật, máy tính được sử dụng để quản trị mạng công nghiệp và các thiết bị được sử dụng để phát triển phần mềm cho hệ thống công nghiệp.
Tìm hiểu thêm về các mối đe dọa ICS tại Hội nghị An ninh mạng ICS của SecurityWeek
Khi đã ở trong mạng của tổ chức, những kẻ tấn công sẽ di chuyển ngang và xâm phạm dịch vụ email công ty của nạn nhân để gửi phần mềm độc hại đến các tổ chức khác. Các nhà nghiên cứu của Kaspersky đã xác định được hơn 2,000 tài khoản email công ty được sử dụng để gửi email lừa đảo có đính kèm độc hại.
Các nhà nghiên cứu tin tưởng nhiều hơn 2,000 doanh nghiệp công nghiệp bị nhắm tới trong các chiến dịch này, được thực hiện độc lập bởi “các cá nhân và nhóm nhỏ có tay nghề thấp”. Những kẻ đe dọa này có động cơ tài chính — chúng sử dụng dữ liệu bị đánh cắp để trực tiếp phạm tội tài chính hoặc bán thông tin xác thực SMTP, RDP, SSH và VPN thu được trên các thị trường tội phạm mạng.
Kaspersky ước tính những kẻ tấn công đã có được quyền truy cập vào khoảng 7,000 tài khoản công ty. Thông tin đăng nhập bị đánh cắp trong các chiến dịch này đã được bán trên 25 thị trường.
Kaspersky lưu ý: “Phân tích các thị trường này cho thấy nhu cầu cao về thông tin xác thực tài khoản công ty, đặc biệt là đối với Tài khoản máy tính từ xa (RDP). “Hơn 46% tổng số tài khoản RDP được bán trên các thị trường được phân tích đều thuộc sở hữu của các công ty ở Hoa Kỳ, trong khi phần còn lại đến từ Châu Á, Châu Âu và Châu Mỹ Latinh. Gần 4% (gần 2,000 tài khoản) trong tổng số tài khoản RDP được bán thuộc về các doanh nghiệp công nghiệp.”
Liên quan: Các nhà cung cấp ICS được nhắm mục tiêu trong chiến dịch gián điệp tập trung vào năng lượng tái tạo
Liên quan: Hàng nghìn hệ thống công nghiệp bị nhắm mục tiêu bằng phần mềm gián điệp 'PseudoManuscrypt' mới
Liên quan: Chiến dịch 'WildPressure' nhắm vào ngành công nghiệp ở Trung Đông
Liên quan: Tội phạm mạng nhắm mục tiêu vào các tổ chức công nghiệp trong chiến dịch đánh cắp thông tin
Eduard Kovacs (@EduardKovacs) là một biên tập viên đóng góp tại SecurityWeek. Anh từng là giáo viên CNTT trung học trong hai năm trước khi bắt đầu sự nghiệp báo chí với tư cách là phóng viên tin tức an ninh của Softpedia. Eduard có bằng cử nhân tin học công nghiệp và bằng thạc sĩ về kỹ thuật máy tính ứng dụng trong kỹ thuật điện.
tags: 
