Kaspersky släpper nu sin kvartalsrapport över trenderna och utvecklingen inom cybersäkerhetshot och APT (Advanced Persistent Threat),
APT trends report Q2 2020. Där framkommer att APT-grupper (ofta statsstödda hackergrupper) fortsätter att rusta sin verksamhet på flera områden, från att rikta in sig på nya plattformar och aktivt utnyttja existerande sårbarheter till att gå över till helt nya verktyg.
- Utvecklingen av hotlandskapet består inte bara av revolutionerande händelser. Ibland rullar den cyberkriminella aktiviteten bara på, likt det gjort under de senaste månaderna, säger Vicente Diaz, säkerhetsforskare på Kasperskys globala forsknings- och analysteam. Det vi sett är att hotaktörerna har fortsatt att förbättra sina verktyg och diversifiera attackvektorerna, men också att de ställt in siktet på nya typer av offer. Till exempel är användningen av mobila attacker inte längre en nyhet. En annan trend vi ser är att vissa APT-grupper, såsom BlueNoroff och Lazarus, alltmer fokuserar på att generera intäkter. Samtidigt förblir geopolitik ett viktigt motiv för många hotaktörer. Sammantaget visar utvecklingen av hotlandskapet att det är fortsatt viktigt att satsa på kunskap om cyberhoten. De cyberkriminella nöjer sig inte med vad de uppnått utan utvecklar ständigt nya metoder och tekniker för att flytta fram sina positioner och det bör de som ansvarar för att skydda sina verksamheter också göra.
Bland aktiviteten som Kasperskys forskare identifierat under andra kvartalet 2020 finns flera aktörer där de mest framträdande har varit:
- Gruppen Lazarus, som har varit en stor hotaktör under många år, verkar investera alltmer i attacker som genererar intäkter. Förutom cyberspionage och cybersabotage har denna grupp riktat in sig på banker och andra finansiella aktörer runt om i världen. Det senaste kvartalet har Kasperskys forskare också kunnat klarlägga att Lazarus börjat använda ransomware, vilket APT-grupper vanligtvis inte gör. Tidigare har Lazarus också förknippats med den ökända WannaCry-attacken.
- CactusPete, en kinesisktalande hotaktör, använder ShadowPad, en komplex modulär attackplattform. ShadowPad har tidigare använts i ett antal stora cyberattacker och har olika plugins och moduler för olika funktioner.
- MuddyWater upptäcktes 2017 och har varit aktiv i Mellanöstern sedan dess. 2019 rapporterade Kasperskys forskare att gruppen riktat in sig på telekommunikationsföretag och statliga verksamheter i Mellanöstern. Kaspersky upptäckte nyligen att MuddyWater utnyttjade ett öppet källkodsprogram som heter Secure Socket Funneling i en ny våg av attacker.
- HoneyMyte genomförde en vattenhåls-attack på en statlig webbplats i Sydostasien. Detta vattenhål, som inrättades i mars, tycks ha utnyttjat både vitlistning och så kallad social engineering för att infektera sina offer.
- OceanLotus, är den aktör som ligger bakom den avancerade mobilkampanjen PhantomLance. Gruppen ser ut att fortsätta distribuera sitt bakdörrs-implantat och Cobalt Strike Beacon, och konfigurerar dem med en uppdaterad infrastruktur.