Voldemort zlonamjerna kampanja
Voldemort zlonamjerna kampanja otkrivena od strane sigurnosne kompanije Proofpoint, nazvana po zloglasnom mračnom čarobnjaku iz J.K. Rowling Harry Potter serija, predstavlja sofisticiranu prijetnju sajber špijunaže. Ova kampanja je privukla značajnu pažnju svojim inovativnim pristupom i potencijalom za široko rasprostranjeno izazivanje štete, u kojoj se ciljaju različite industrije uključujući zdravstvenu zaštitu, vladu, medije, ugostiteljstvo, vazduhoplovstvo i pre svega sektor osiguranja.
VOLDEMORT KAMPANJA
Voldemort zlonamjerna kampanja sajber špijunaže za koji se vjeruje da je sponzorisana od strane države, izaziva haos u organizacijama širom sveta. Sa svojim inovativnim pristupom i potencijalom za široko rasprostranjeno izazivanje štete, ova prijetnja predstavlja značajan rizik za preduzeća u različitim sektorima.
Voldemort način funkcionisanja je koliko inovativan, toliko i opasan. Zlonamjerni akteri su pokazali nevjerovatnu sposobnost da ciljaju pojedince na osnovu njihove zemlje prebivališta, a ne njihovog poslodavca ili adrese elektronske pošte. Na primjer, zaposleni u evropskim firmama su bili meta elektronske pošte koji su se pretvarali da su od poreske uprave, jer su njihovi javni profili ukazivali da žive u Sjedinjenim Državama. Ova taktika je omogućila Voldemort zlonamjernom softveru da zaobiđe tradicionalne mjere bezbjednosti i izbjegne otkrivanje tokom dužeg perioda.
Industrija osiguranja trenutno snosi najveći teret ove sajber prijetnje, obuhvatajući zapanjujućih 50% svih napada. Razlozi iza ovog ciljanog fokusa ostaju nejasni; međutim, sa sigurnošću se može pretpostaviti da ih dragocjeni podaci koje drže ove organizacije čine privlačnom metom. Voldemort sposobnosti sežu daleko od jednostavnog prikupljanja informacija. Ovaj zlonamjerni softver je takođe poznat po svojoj sposobnosti da učita dodatne korisne podatke, što predstavlja značajan rizik od kompromitovanja i eksfiltriranja osjetljivih podataka.
Domet ove sajber prijetnje je ogroman, a organizacije u SAD, Evropi i Aziji postaju žrtve Voldemort napada. Potencijalne posljedice ovakvih napda su ozbiljne, jer povjerljive informacije mogu dospjeti u pogrešne ruke, što može dovesti do finansijskih gubitaka ili ugrožavanja reputacije. Štaviše, upotreba legitimnog alata kao što je Google Sheets za komandu i kontrolu dodatno komplikuje napore za otkrivanje i ublažavanje ovih prijetnji.
Funkcionisanje
Kampanja je počela 5. avgusta 2024. godine i od tada je ciljala preko 70 organizacija širom sveta. Broj zlonamjernih poruka uključenih u napade bilo je preko 20.000. U ovim porukama elektronske pošte, često su se lažno koristili poreski organi iz različitih zemalja ili drugih povjerljivih entiteta kako bi prevarili korisnike da kliknu na vezu koja vodi do Windows DEX datoteke (LNK) ili ZIP priloga koji sadrži LNK datoteku.
Jednom otvorene, ove datoteke su koristile PowerShell za pristup Python skripti na WebDAV dijeljenom prostoru. Ova skripta je preuzela informacije o sistemu i preuzela lažni PDF i ZIP datoteku zaštićenu lozinkom. ZIP datoteka je sadržala zlonamjerne izvršne datoteke kao što su ciscocollabhost.exe, cimcagent.exe i ciscosparklauncher.dll. Posljednja datoteka je pokretala Voldemort backdoor. Kada se izvrši, Voldemort uspostavlja komunikaciju sa svojim C2 serverom zasnovanim na Google Sheets servisu da bi primio dalja uputstva i komande. Ova tehnika otežava otkrivanje, jer se Google Sheets servis obično smatra bezbjednim alatom koje koriste legitimne organizacije. Zlonamjerni akteri su to iskoristili da kreiraju Google Sheets sa makroima koji služe kao C2 server, omogućavajući im da izdaju komande na daljinu.
Motivi i posljedice
Kao što je već napomenuto, Voldemort zlonamjerna kampanja cilja na različite industrije, uključujući zdravstvo, vladu, medije, ugostiteljstvo, vazduhoplovstvo i pre svega sektor osiguranja koji čini oko 50% svih napada. Ovaj ciljani fokus na industriju osiguranja je višestruk.
Osiguravajuće organizacije rukuju ogromnim količinama osjetljivih finansijskih podataka, što ih čini privlačnim metama za zlonamjerne aktere koji žele da ukradu i unovče provjerljive informacije. Digitalizacija finansijskog sektora dovela je do povećanja obima i vrijednosti transakcija obrađenih elektronski. Sajber napadi na osiguravajuće kompanije mogu dovesti do značajnih gubitaka zbog ukradenih sredstava ili kompromitovanih podataka o klijentima, što dovodi do oštećenja reputacije i potencijalnih regulatornih kazni.
Osiguravajuće organizacije posjeduju vrijednu intelektualnu svojinu, kao što su vlasnički algoritmi koji se koriste u modelima za procjenu rizika ili jedinstvene formule za osiguranje. Ova imovina može pružiti značajnu konkurentsku prednost ako je dobije od rivalskih organizacija, omogućavajući im da steknu prednost nad svojim konkurentima i potencijalno poremete tržište. Krađa intelektualne svojine takođe može dovesti do finansijske dobiti za zlonamjerne aktere prodajom ukradenih informacija na crnom tržištu ili njihovim korišćenjem za vršenje lažnih aktivnosti.
Osiguravajuća društva često drže obimne podatke o kritičnoj infrastrukturi, ekonomskim trendovima i političkoj nestabilnosti u različitim zemljama. Ove osjetljive informacije mogu biti od interesa za nacionalne države koje traže strateške obavještajne podatke u geopolitičke svrhe. Ciljanjem osiguravajućih organizacija, zlonamjerni akteri mogu potencijalno dobiti pristup vrijednim uvidima u ranjivosti ili ekonomsku situaciju neke zemlje, koji bi mogli dati informacije o spoljnopolitičkim odlukama ili pružiti prednost u diplomatskim pregovorima.
Ogromna mreža povezanosti i veza sektora osiguranja sa drugim sektorima čini ga privlačnom metom za zlonamjerne aktere koji žele da peru novac, počine prevaru ili obavljaju druge nezakonite aktivnosti. Osiguravajuće kompanije svakodnevno obrađuju velike količine transakcija, što ih čini glavnom metom za finansijsku manipulaciju putem napada na preuzimanje naloga ili ubrizgavanja zlonamjernog koda u njihove sisteme.
Napad na osiguravajuće organizacije mogao bi dovesti do značajnih poremećaja u različitim sektorima koji se oslanjaju na ove usluge, uzrokujući ekonomsku nestabilnost i potencijalno destabilizirajući vlade. Na primjer, sajber napad usmjeren na osiguravača koji rješava zahteve za katastrofu velikih razmjera mogao bi da dovede do kašnjenja ili odbijanja plaćanja, što može dovesti do nemira u javnosti i potencijalnih političkih posljedica.
Kampanja zlonamjernog softvera Voldemort je vođena različitim motivima, uključujući finansijsku dobit, krađu intelektualne svojine, geopolitičke interese, omogućavanje sajber kriminala i ometanje i sabotažu. Razumijevanjem ovih motiva, organizacije mogu bolje da se pripreme za odbranu od ovakvih napada i ublažavanje potencijalne štete.
ZAKLJUČAK
Voldemort zlonamjerna kampanja koja predstavlja sofisticiranu prijetnju sajber špijunaže za zdravstvo, vladu, medije, ugostiteljstvo, vazduhoplovstvo i sektor osiguranja širom svijeta svojim inovativnim pristupom i potencijalom za izazivanje štete. Ovaj zlonamjerni akter, za koga se vjeruje da je sponzorisan od strane države, ciljao je kompanije u SAD, Evropi i Aziji, pokazujući svoj širok domet i kapacitet.
Zlonamjerni softver Voldemort je opremljen mogućnostima za prikupljanje informacija i učitavanje dodatnih korisnih podataka, što predstavlja značajan rizik od kompromitovanja i eksfiltracije osjetljivih podataka. Korištenje legitimnog Google Sheets alata za komandu i kontrolu pomaže zlonamjernim akterima da izbjegnu tradicionalne mjere bezbjednosti i odlažu otkrivanje.
Zlonamjerni softver koristi Google Sheets za zlonamjerne aktivnosti pokazuje domišljatost i prilagodljivost zlonamjernih aktera. Iako je nekonvencionalan, ovaj pristup nudi nekoliko prednosti zlonamjernim akterima, jer sveprisutna Google Sheets priroda kao široko korišćene aplikacije zasnovane na oblaku čini ih dostupnim sa bilo kog mjesta sa internet vezom, ometajući praćenje i blokiranje.
Zbog svega navedenog, Voldemort zlonamjerna kampanja predstavlja značajnu prijetnju organizacijama širom sveta zbog svog inovativnog pristupa, širokog dometa, potencijala za ozbiljne posljedice i sposobnosti da se izbjegne otkrivanje korištenjem legitimnih alata kao što je Google Sheets alat. Organizacije moraju ostati na oprezu protiv takvih sofisticiranih prijetnji tako što će primijeniti robusne mjere bezbjednosti i biti informisane o novim trendovima u sajber bezbjednosti.
ZAŠTITA
Kako bi se korisnici i organizacije efikasno zaštitili od Voldemort zlonamjernog softvera, neophodno je primijeniti višeslojni pristup koji se bavi i bezbjednošću mreže i krajnjih uređaja. Evo nekoliko preporučenih koraka:
- Pošto su napadi elektronskom poštom jedan od primarnih vektora za isporuku zlonamjernog softvera Voldemort, primjena robusnih mjera bezbjednosti elektronske pošte je ključna. Ovo uključuje korišćenje filtera za neželjenu poštu, otvaranje elektronske pošte sa sumnjivim sadržajem u izolovanom okruženju (eng. sandboxing) i edukaciju zaposlenih o phishing napadima i taktikama društvenog inženjeringa,
- Primijeniti segmentaciju mreže kako bi se ograničilo ograničili širenje zlonamjernog softvera unutar infrastrukture organizacije. Koristite zaštitne zidove, sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) i sisteme za sprečavanje upada (eng. intrusion prevention systems – IPS) za nadgledanje i blokiranje neovlaštenog saobraćaja. Redovno ažurirati softver i upravljački softver (eng. firmware) na svim uređajima povezanim na mrežu,
- Primijeniti rješenja za bezbjednost krajnjih uređaja kao što su antivirusni softver, alatke za zaštitu od zlonamjernog softvera i zaštitni zidovi zasnovani na hostu. Uvjeriti se da se ova rješenja redovno ažuriraju najnovijim definicijama i ispravkama. Koristite listu dozvoljenih aplikacija ili druge mehanizme kontrole pristupa da bi se ograničilo pokretanje neovlaštenih programa na krajnjim uređajima,
- Obučiti zaposlene o najboljim praksama u oblasti sajber bezbjednosti kao što su jake lozinke, izbjegavanje sumnjivih elektronskih poruka i linkova i prijavljivanje potencijalnih prijetnji sigurnosnim timovima. Redovno sprovodite simulacije phishing napada kako bi se mogla procijeniti efikasnost programa obuke,
- Implementirati rješenja za sprečavanje gubitka podataka (eng. data loss prevention – DLP) kako bi se zaštitile osjetljive informacije od eksfiltriranja od strane zlonamjernog aktera. Koristite šifrovanje i za podatke u stanju mirovanja i za podatke u tranzitu i primijeniti kontrolu pristupa zasnovanu na principu najmanje privilegije,
- Razvijati Plan odgovora na sajber prijetnju koji uključuje procedure za otkrivanje, obuzdavanje, iskorjenjivanje i oporavak od napada Voldemort zlonamjernog softvera. Redovno testirati sposobnosti reagovanja na incidente putem vježbi ili simulacija kako bi se osigurala spremnost,
- Implementirati alate za kontinuirano praćenje kao što su sistemi za upravljanje informacijama o bezbjednosti i događajima (eng. security information and event management – SIEM), rješenja za analizu dnevnika i analitiku ponašanja korisnika (eng. user behavior analytics – UBA). Ovi alati mogu pomoći da se otkriju anomalne aktivnosti koje mogu ukazivati na Voldemort napad u toku,
- Pošto zlonamjerni softver Voldemort koristi Google Sheets kao mehanizam za komandu i kontrolu, od suštinskog je značaja da se nadgleda upotreba ove alatke u organizaciji. Primijeniti rješenja koja mogu da otkriju anomalnu aktivnost u vezi sa Google Sheets korišćenjem ili drugih legitimnih alata koje napadači koriste za C2 komunikaciju,
- Održavati sav softver i sisteme ažurnim sa najnovijim ispravkama i ažuriranjima. Ovo uključuje operativne sisteme, aplikacije i dodatke trećih strana. Zastareli softver može da obezbijedi laku ulaznu tačku za zlonamjerne aktere da iskoriste ranjivosti u infrastrukturi organizacije,
- Koristiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) ili autentifikaciju u više koraka (eng. multi-factor authentication – MFA) gdje god je to moguće. Ovo dodaje dodatni nivo bezbjednosti zahtjevajući od korisnika da, pored svoje lozinke, obezbijede i drugi oblik verifikacije, kao što je kôd poslat putem SMS poruke ili generisan preko aplikacije za autentifikaciju,
- Osigurati redovno pravljenje rezervnih kopija svih kritičnih podataka i sistema. U slučaju uspješnog napada, posjedovanje nedavnih rezervnih kopija može pomoći da se smanji vreme zastoja i smanji uticaj na operacije organizacije.