Η teknologiaa Kaspersky Labin automaattinen hyväksikäytön esto - joka on integroitu useimpiin yhtiön päätelaitteiden tietoturvaratkaisuihin - on havainnut useita kohdistettuja digitaalisia hyökkäyksiä. Hyökkäyksiä yritti uusi haittaohjelma, joka käytti hyväkseen käyttöjärjestelmän laajaa nollapäivän haavoittuvuutta Microsoft Windows 10. Kyberrikollisten tarkoituksena oli saada täysi pääsy Lähi-idän uhrien järjestelmiin. Microsoft korjasi tämän haavoittuvuuden 9. lokakuuta.
Nollapäivän hyökkäys on yksi vaarallisimmista kyberuhkien muodoista, koska siinä käytetään hyväksi haavoittuvuutta, jota ei ole vielä löydetty ja tunnistettu. Jos uhkaagentti havaitsee nollapäivän haavoittuvuuden, sitä voidaan käyttää hyväksikäytön luomiseen, joka voi antaa pääsyn hyökkääjän koko yrityksen teollisuuden tietojärjestelmään. Tämä hyökkäysmuoto on laajalle levinnyt edistyneiden ART-hyökkäysagenttien toimesta, ja sitä on käytetty myös tässä tapauksessa.
Microsoft Windows -ohjelmistosta löydetty hyväksikäyttö saavutti uhrit PowerShell-takaoven kautta. Tämän jälkeen hyväksikäyttö suoritettiin, jotta lähettäjä saisi tarvittavat oikeudet olla läsnä uhrien järjestelmissä. Haittaohjelmakoodi oli laadukas ja kirjoitettu helpottamaan mahdollisimman monen eri Windows-käyttöjärjestelmän tehokasta toimintaa.
Digitaaliset hyökkäykset ovat kohdistuneet alle kymmeneen Lähi-idän näkyvään organisaatioon kuluneen kesän aikana. Hyökkäyksen takana olevan joukkueen uskotaan olevan FruityArmor - koska PowerShell-takaovea on käyttänyt yksinomaan tämä joukkue aiemmin. Heti löydön jälkeen Kaspersky Labin asiantuntijat ilmoittivat haavoittuvuudesta välittömästi Microsoftille.
Kaspersky Lab -tuotteet havaitsivat tämän hyväksikäytön ennaltaehkäisevästi käyttämällä seuraavia tekniikoita:
- Kaspersky Lab Behavior Detection Engine - ja Auto Prevention Spread Tools -työkalujen kautta saatavilla kaikkiin yrityksen tietoturvatuotteisiin.
- Advanced Sandboxingin ja Antimalware-mekanismin kautta, joka on saatavilla Kaspersky Anti Targeted Attack -alustalla.
Kuten totesi Anton Ivanov, Kaspersky Labin tietoturvaasiantuntija,
"Kun kyse on nollapäivän haavoittuvuuksista, on tärkeää seurata aktiivisesti uhkakuvaa uusien hyväksikäyttöjen varalta. Kaspersky Labissa jatkuva älykkäiden uhkien etsintä auttaa meitä paitsi löytämään uusia hyökkäyksiä, myös kohdistamaan erilaisia digitaalisia uhkia. Aiomme myös selvittää, mitä haitallisia tekniikoita nämä rikolliset käyttävät. "Tutkimuksemme tuloksena meillä on tehokas teknologinen tunnistustyökalu, jonka avulla voimme estää hyökkäyksiä - kuten se, jonka tarkoituksena oli hyödyntää tätä haavoittuvuutta."
Nollapäivän hyväksikäytön välttämiseksi Kaspersky Lab suosittelee seuraavia teknisiä toimenpiteitä:
- Vältä sellaisten ohjelmistojen käyttöä, joiden tiedetään olevan haavoittuvia tai joita on äskettäin käytetty digitaalisissa hyökkäyksissä.
- Varmista, että yrityksesi käyttämä ohjelmisto päivitetään säännöllisesti uusimpiin versioihin. Tietoturvatuotteet, joissa on haavoittuvuuden arviointi- ja korjaustiedostojen hallintaominaisuudet, voivat auttaa automatisoimaan näitä prosesseja.
- Käytä tehokasta suojausratkaisua, kuten Kaspersky Endpoint Security for Business, joka on varustettu käyttäytymiseen perustuvilla tunnistusominaisuuksilla tehokkaaseen suojaukseen tunnettuja ja tuntemattomia uhkia, mukaan lukien expoiteja, vastaan.
