Chińskojęzyczna grupa cyberprzestępcza przyłapana na szpiegowaniu organizacji farmaceutycznych
PlugX jest dobrze znanym narzędziem umożliwiającym zdalny dostęp (ang. Remote Administration Tool, RAT). Zwykle jest rozprzestrzeniany za pośrednictwem ataków phishingowych, a wcześniej został wykryty w atakach ukierunkowanych na organizacje wojskowe, rządowe oraz polityczne. Narzędzie to było wykorzystywane przez wiele chińskojęzycznych ugrupowań cyberprzestępczych, w tym Deep Panda, NetTraveler czy Winnti. W 2013 r. odkryto, że to ostatnie - odpowiedzialne za ataki na firmy z branży gier online - wykorzystywało PlugX od maja 2012 r. Co ciekawe, Winnti brał również udział w atakach na firmy farmaceutyczne, których celem była kradzież certyfikatów cyfrowych producentów sprzętu medycznego oraz oprogramowania.
Narzędzie PlugX umożliwia atakującym wykonywanie różnych szkodliwych operacji w systemie bez zgody czy autoryzacji użytkownika, w tym kopiowanie i modyfikowanie plików, przechwytywanie znaków wprowadzanych z klawiatury, kradzież haseł czy przechwytywanie zrzutów ekranu z aktywności użytkownika. PlugX, podobnie jak inne tego typu narzędzia, jest wykorzystywany przez cyberprzestępców do ukradkowej kradzieży i gromadzenia w szkodliwych celach informacji, które są poufne i na których można zarobić.
Wykorzystywanie narzędzi umożliwiających zdalny dostęp w atakach na organizacje farmaceutyczne świadczy o tym, że zaawansowane cybergangi wykazują zwiększone zainteresowanie zarabianiem na sektorze opieki zdrowotnej.
Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują szkodliwe oprogramowanie PlugX.
W organizacjach medycznych prywatne i poufne dane dotyczące opieki zdrowotnej nieustannie migrują z formy papierowej do cyfrowej. Bezpieczeństwo infrastruktury sieciowej tego sektora bywa niekiedy zaniedbywane, dlatego polowanie ugrupowań cyberprzestępczych na informacje dotyczące postępów w zakresie innowacji dotyczących leków i sprzętu budzi prawdziwy niepokój. Przypadki wykrycia szkodliwego oprogramowania PlugX w organizacjach farmaceutycznych wskazują na kolejną bitwę, jaką musimy stoczyć - i wygrać - z cyberprzestępcami - powiedział Jurij Namiestnikow, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Z badania przeprowadzonego przez Kaspersky Lab wynika także, że:
- szkodliwe oprogramowanie występowało w systemach ponad 60% organizacji medycznych;
- na szczycie listy państw o największej liczbie zaatakowanych urządzeń w organizacjach medycznych znalazły się Filipiny, Wenezuela i Tajlandia.
Porady bezpieczeństwa
- Usuń wszystkie węzły, które przetwarzają dane medyczne z publicznych portali WWW.
- Automatycznie aktualizuj zainstalowane oprogramowanie przy użyciu systemów zarządzania łatami na wszystkich węzłach, w tym serwerach.
- Przeprowadź segmentację sieci: nie podłączaj drogiego sprzętu do głównej sieci LAN Twojej organizacji.
- Stosuj sprawdzone rozwiązanie bezpieczeństwa klasy korporacyjnej w połączeniu z technologiami przeciwdziałającymi atakom ukierunkowanym oraz analizą zagrożeń, takimi jak rozwiązanie Kaspersky Threat Management and Defense. Potrafią one identyfikować i przechwytywać zaawansowane ataki ukierunkowane poprzez analizowanie anomalii sieciowych oraz zapewnienie zespołom odpowiedzialnym za cyberbezpieczeństwo pełnej widoczności sieci oraz automatyzacji reakcji.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.