Kasperskys kvartalsrapport över trenderna och utvecklingen inom cybersäkerhetshot och APT (Advanced Persistent Threat) visar att hotaktörerna har fortsatt att förbättra sina verktyg och diversifiera attackvektorerna, men också att de ställt in siktet på nya typer av offer. Till exempel är användningen av mobila attacker inte längre en nyhet.
– En annan trend vi ser är att vissa APT-grupper, såsom Bluenoroff och Lazarus, alltmer fokuserar på att generera intäkter. Samtidigt förblir geopolitik ett viktigt motiv för många hotaktörer. Sammantaget visar utvecklingen av hotlandskapet att det är fortsatt viktigt att satsa på kunskap om cyberhoten. De cyberkriminella nöjer sig inte med vad de uppnått utan utvecklar ständigt nya metoder och tekniker för att flytta fram sina positioner och det bör de som ansvarar för att skydda sina verksamheter också göra, säger Vicente Diaz, säkerhetsforskare på Kasperskys globala forsknings- och analysteam.
Bland aktiviteten som Kaspersky identifierat under andra kvartalet 2020 finns flera aktörer där de mest framträdande har varit:
- Gruppen Lazarus, som har varit en stor hotaktör under många år, verkar investera alltmer i attacker som genererar intäkter. Förutom cyberspionage och cybersabotage har denna grupp riktat in sig på banker och andra finansiella aktörer runt om i världen. Det senaste kvartalet har Kaspersky också kunnat klarlägga att Lazarus börjat använda ransomware, vilket APT-grupper vanligtvis inte gör. Tidigare har Lazarus också förknippats med den ökända Wannacry-attacken.
- Cactuspete, en kinesisktalande hotaktör, använder Shadowpad, en komplex modulär attackplattform. Shadowpad har tidigare använts i ett antal stora cyberattacker och har olika plugins och moduler för olika funktioner.
- Muddywater upptäcktes 2017 och har varit aktiv i Mellanöstern sedan dess. 2019 rapporterade Kaspersky att gruppen riktat in sig på telekommunikationsföretag och statliga verksamheter i Mellanöstern. Kaspersky upptäckte nyligen att Muddywater utnyttjade ett öppet källkodsprogram som heter Secure Socket Funneling i en ny våg av attacker.
- Honeymyte genomförde en vattenhåls-attack på en statlig webbplats i Sydostasien. Detta vattenhål, som inrättades i mars, tycks ha utnyttjat både vitlistning och så kallad social engineering för att infektera sina offer.
- Oceanlotus, är den aktör som ligger bakom den avancerade mobilkampanjen Phantomlance. Gruppen ser ut att fortsätta distribuera sitt bakdörrs-implantat och Cobalt Strike Beacon, och konfigurerar dem med en uppdaterad infrastruktur.