Už v říjnu 2016 zaznamenali odborníci Kaspersky Lab významný nárůst množství malwaru cílícího na společnosti z průmyslového odvětví. Zaznamenali více než 500 útoků v 50 zemích světa, které se zaměřovaly především na velké průmyslové korporace a významné transportní a logistické společnosti. Podle Kaspersky Lab i s odstupem času tyto útoky stále probíhají podle podobného scénáře.

První fází útoku je precizně formulovaný phishingový e-mail, který se zdá být napsaný buď dodavatelem, zákazníkem, nebo doručovatelskou službou. K samotnému útoku pak používají útočníci malware, který je navržen tak, aby do infikovaných systémů nainstalovaly nástroje vzdálené správy, přičemž je jejich primárním účelem ukrást citlivá data. Jakmile se zločinci dostanou do firemních počítačů, snaží se získat informace o lukrativních transakcích z firemní korespondence. Většinou pořizují screenshoty obrazovky nebo přesměrovávají zprávy do svých e-mailových schránek. Informace následně zneužijí při zachycení samotných plateb, přičemž do klasického útoku je zapojený lidský faktor. Útočník zamění údaje účtu příjemce za své vlastní konto.

Při analýze command-and-control serverů využitých v rámci letošních útoků navíc experti Kaspersky Lab zjistili, že útočníci pořizovali screenshoty i operačních a projektových plánů, technických nákresů nebo síťových schémat. „Doposud jsme nezaznamenali, že by se některá z těchto ukradených informací objevila na černém trhu. Není tedy zatím jasné, co kyberzločince k ukradení těchto informací vedlo. Mohla to být náhoda, nebo také krádež na objednávku. Oběti nigerijského phishingového útoku tak utrpěly nejen finanční ztrátu, ale tento útok pro ně může představovat i daleko vážnější hrozbu do budoucna,“ řekla Maria Garnaeva, Senior Security Researcher ve společnosti Kaspersky Lab.

Když se odborníkům podařilo získat adresy C&C z napadených složek, ukázalo se, že byly v některých případech tytéž servery použity pro různé rodiny malwaru. To může znamenat, že za útoky stojí jen jedna skupina kyberzločinců, která využívá různé druhy malwaru, nebo spolupracuje několik skupin, které navzájem sdílejí stejné zdroje. Analytici také zjistili, že je většina domén registrovaných obyvateli Nigérie.

Pro omezení rizika podobných útoků doporučují odborníci z Kaspersky Lab následující bezpečnostní opatření:

• Proškolit zaměstnance o bezpečné e-mailové komunikaci – neklikat na podezřelé odkazy a přílohy a prověřit odesilatele zprávy. Pověření pracovníci by měli pravidelně informovat o aktuálních hrozbách a známých metodách kybernetických útoků.
• Vždy prověřovat žádosti o změnu údajů bankovního účtu nebo platebních metod, které se objeví v průběhu transakce.
• Nainstalovat bezpečnostní řešení na všechny pracovní počítače a servery. Provádět pravidelné aktualizace systémů bez zbytečných odkladů.
• V případě infikování systému změnit hesla všech dotčených uživatelských účtů.
• Nainstalovat bezpečnostní řešení, které zajistí monitoring a analýzu veškeré síťové aktivity.