Júniusban a Kaspersky Lab kutatói rosszindulatú csatolmányokkal ellátott adathalászó emailek hullámát figyelték meg. Ezeket az üzeneteket számos cég fő- és középvezetőinek küldték. A támadók emailje úgy jelent meg, mintha egy Egyesült Arab Emírségekbeli banktól jött volna: fizetési tanácsok voltak egy csatolt SWIFT dokumentummal, de valójában a csatolt fájl vírust tartalmazott. A szakértők további kutatásai kimutatták, hogy az adathalászó támadást a legnagyobb valószínűség szerint kiberbűnözők egy csoportja szervezte, akiket a cég kutatói 2015 márciusa óta követnek nyomon. Úgy tűnik, hogy a júniusi támadások a csoport legutóbbi akciója, - de a vállalatok egyre vonzóbb célpontok, ezért növekszik az ellenük intézett támadások száma.
A csatolt vírus a HawkEye kereskedelmi forgalomban lévő kémvíruson alapszik, amit szabadon meg lehet vásárolni a dark weben, azaz a sötét világhálón. Telepítés után érdekes adatokat gyűjt az áldozat számítógépéről, mint például:
- billentyűzet-leütések
- vágólapadatok
- FTP szerver azonosítók
- Felhasználói adatok böngészőkből
- Felhasználói adatok chatprogramokból (Paltalk, Google talk, AIM...)
- Felhasználói adatok emailprogramokból (Outlook, Windows Live mail...)
- Információk a telepített programokról (Microsoft Office)
Ezek a vállalatok értékes információkat tárolnak hálózataikon, amelyeket aztán a fekete piacon lehet értékesíteni - a pénzügyi haszon a fő motiválóerő az Operation Ghoul hekkerei számára. Az Operation Ghoul elnevezés a Kaspersky Lab kutatóitól származik, de ez csak egy sok más támadás közül, amelyet állítólag ugyanaz a továbbra is aktív csoport indított.
"Az ókori néphagyományban a ghoul egy gonosz szellem, ami emberi húson táplálkozik és gyerekekre vadász, eredetileg egy mezopotámiai démon volt. Manapság az angolban így nevezik a kapzsi vagy anyagias egyéneket. Ez a meghatározás elég pontosan jellemzi az Operation Ghoul mögött álló csoportot. A fő motiváció számukra a pénzügyi haszonszerzés vagy a lopott szellemi tulajdon és üzleti titkok eladása, vagy áldozataik bankszámláinak feltörése által. Az államilag támogatott támadókkal ellentétben, akik óvatosan választják ki célpontjaiakat, ez a csoport és a hozzá hasonlóak bármelyik céget megtámadhatják. Még ha meglehetősen egyszerű vírusokat is használnak, nagyon hatékonyak a támadásaik. Így azok a vállalatok, amelyek nincsenek felkészülve a támadások felismerésére, sajnos elszenvedik azok következményeit" - mondta Mohammad Amin Hasbini, a Kaspersky Lab biztonsági szakértője.
- Képezze ki alkalmazottait, hogy különbséget tudjanak tenni egy adathalászó email vagy egy adathalászó link és egy valós email vagy link között.
- Használjon bevált, cégek számára fejlesztett biztonsági rendszereket és célzott támadások elleni biztonsági megoldásokat is, amelyek képesek a támadások azonosítására a rendszerbeli rendellenességek elemzése által.
- Biztonsági osztálya számára tegye elérhetővé a legújabb veszélyekkel kapcsolatos adatokat, ami felfegyverzi őket a leghasznosabb eszközökkel a célzott támadások megelőzésében és felismerésében.
