14 companii din România, victime ale unui nou atac Adwind

Kaspersky Lab a detectat un nou atac de proporții, realizat cu Adwind Remote Access Tool (RAT), care a afectat peste 100 de țări și teritorii, inclusiv România.

În 2016, Kaspersky Lab a raportat atacuri realizate cu ajutorul Adwind Remote Access Tool (RAT), un program malware multifuncţional, cunoscut şi ca AlienSpy, Frutas, Unrecom, Sockrat, JSocket şi jRat, distribuit printr-o singură platformă, sub formă de serviciu malware, scrie curierulnational.ro. 

Una dintre principalele caracteristici care diferenţiază Adwind RAT de celelalte programe de malware comercial este faptul că este distribuit în sistem deschis, sub forma unui serviciu pentru care „clientul” plăteşte o taxă ca să folosească programul malware. 

Conform rezultatelor investigaţiei, întreprinse între anii 2013 şi 2016, au fost folosite diferite versiuni ale Adwind în atacuri împotriva a cel puţin 443.000 de utilizatori individuali, organizaţii comerciale şi non-comerciale din lume. 

Pentru a se proteja împotriva ameninţării cibernetice, Kaspersky Lab le recomandă companiilor să limiteze folosirea programului Java la aplicaţii izolate, care nu pot funcţiona fără această platformă. Într-un mod similar operaţiunilor financiare, aplicaţiile Java pot fi izolate, aplicându-li-se principii de maximă securitate. Soluţiile Kaspersky Lab oferă o gamă largă de funcţii de tip Application Control pentru a seta o metodă care să monitorizeze şi să controleze utilizarea unor aplicaţii specifice pe dispozitivele endpoint ale companiilor.  

Atacurile au afectat diverse sectoare industriale, printre care retail și distribuție (20,1%), arhitectură și construcții (9,5%), transport și logistică (5,5%), asigurări și servicii juridice (5%) și consultanță (5%). Victimele Adwind primesc e-mail-uri trimise în numele HSBC Advising Services (de pe domeniul mail.hsbcnet.hsbc.com), cu o informare privind modalitățile de plată acceptate, ca anexă, relatează comunic.ro.

În loc de instrucțiuni, documentele conțin eșantioane malware. Dacă utilizatorul deschide fișierul ZIP, care include un alt fișier, în format JAR, conținutul malware se instalează singur și încearcă să comunice cu server-ul de comandă și control. Programul malware îi permite infractorului să câștige control aproape total asupra dispozitivului compromis și să fure informații confidențiale din computerul afectat.  

Conform cercetătorilor Kaspersky Lab, de vreme ce printre victime există un număr mare de companii, este posibil ca infractorii să fi folosit liste de mailing specifice industriei respective pentru a-și derula atacurile. Având în vedere numărul detecțiilor, acestea s-au bazat mai degrabă pe amplitudine decât pe o tehnologie sofisticată.

Acest backdooor multifuncțional a fost folosit în atacuri împotriva a peste 1.500 de organizații din peste 100 de țări și teritorii, inclusiv România (14 companii), conform agora.ro.