Vietnamilaistaustainen kyberrikosryhmä kehittää ja laajentaa toimintaansa edelleen.
Helsinki – 23.11.2022: Uuden analyysin mukaan WithSecuren (aiemmin F-Secure yritystietoturva) aiemmin tänä vuonna havaitsema DUCKTAIL-niminen vietnamilaistaustainen kyberrikosryhmä on jatkanut toimintojensa kehittämistä.
Vuodesta 2021 alkaen DUCKTAIL on kohdistanut toimintansa Facebookin Ads and Business -alustaa käyttäviin henkilöihin kaapatakseen Facebook Business -tilejä.
Vuoden 2022 kesällä julkaistiin DUCKTAILin toimet paljastanut raportti, minkä jälkeen ryhmä on muuttanut toimintatapaansa välttääkseen suojatoimet ja laajentaakseen toimintaansa.
”Emme näe mitään merkkejä siitä, että DUCKTAIL hidastaisi toimiaan lähiaikoina. Ennemminkin he näyttävät kehittävän toimintaansa nopeasti vastoinkäymisten seurauksena. Aiemmin DUCKTAILin taustalla toimiva operatiivinen tiimi oli ilmeisen pieni, mutta nyt tässä on tapahtunut muutos”, kertoo WithSecure™ Intelligencen tutkija Mohammad Kazem Hassan Nejad.
DUCKTAILin viimeaikaista toimintaa on seurattu syyskuun alusta alkaen ja ryhmän toimintatavassa on havaittu useita muutoksia:
· uusien alustojen, kuten WhatsAppin, käyttäminen kohdennettujen tietojenkalasteluyritysten (engl. spear phishing) tekemiseksi
· muutoksia haittaohjelman suorituskykyyn, kuten aiempaa vahvempi tapa hankkia hyökkääjän hallinnoimat sähköpostiosoitteet ja haittaohjelman naamioiminen aidommaksi avaamalla valedokumentteja ja -videotiedostoja ohjelman käynnistyksen yhteydessä
· suojatoimien jatkuva kiertäminen muuttamalla tiedostomuotoa ja tiedoston kokoonpanoa sekä varmentamalla sertifikaatteja
· resurssien lisääminen ja toiminnan laajentaminen perustamalla uusia valeyrityksiä Vietnamiin ja ottamalla toimintaan mukaan kätyreitä.
”Kiristysohjelmahyökkäykset saavat paljon huomiota, mutta DUCKTAILin kaltaiset uhkat voivat aiheuttaa merkittävää vahinkoa organisaatioiden taloudelle ja brändille, joten niitä ei pidä jättää huomiotta”, sanoo WithSecure Intelligencen johtaja Paolo Palumbo. ”Lisääntyneen toiminnan, uusien kätyreiden ja valeyritysten myötä uskomme, että DUCKTAILiin liittyvät tapaukset yleistyvät lähitulevaisuudessa.”
Taistelu DUCKTAILia vastaan
WithSecuren tietoturvaloukkausten torjuntaryhmä on auttanut useita uhriksi joutuneita organisaatioita vastaamaan DUCKTAILin hyökkäyksiin ja muihin Facebookin Ads & Business -alustaan kohdennettuihin uhkiin. Nämä hyökkäykset ovat aiheuttaneet eri organisaatioille 100 000–600 000 euron arvosta mainoskrediittitappioita.
WithSecuren Incident Response -ratkaisuista vastaava globaali johtaja John Rogers sanoo, että yritysten on vaikea hallita tällaisia uhkia, koska henkilökohtaisia ja yritystilejä ei usein pidetä erillä toisistaan.
”Samojen resurssien käyttäminen sekä henkilökohtaisiin että yritystileihin voi olla melko ongelmallista. Mahdollisen DUCKTAIL-tapauksen tutkiminen voi esimerkiksi edellyttää asianosaisen henkilön Facebook-lokitietojen hankkimista, millä voi olla useita odottamattomia operatiivisia, eettisiä ja oikeudellisia seuraamuksia. Tämä ongelma koskee sekä organisaatioita että niiden työntekijöitä, joten molempien osapuolten on ymmärrettävä tällaisiin tilanteisiin liittyvät riskit”, Rogers toteaa.
DUCKTAIL-hyökkäyksiltä ja muilta vastaavilta uhkilta voi suojautua seuraavasti:
· Lisäämällä tietoisuutta kohdennetuista tietojenkalasteluyrityksistä sellaisten käyttäjien keskuudessa, joilla on pääsy Facebookin/Metan yritystileille.
· Estämällä tuntemattomien suoritettavien tiedostojen suorittamisen varmistamalla, että sovellusten käyttäminen edellyttää niiden lisäämistä hyväksyttyjen listalle.
· Käyttämällä EDR- tai EPP-ratkaisuja haittaohjelmien estämiseksi ja havaitsemiseksi hyökkäysten alkuvaiheessa.
· Varmistamalla, että Facebook-yritystilejä käyttävissä hallituissa tai henkilökohtaisissa laitteissa on käytössä perushygienia ja -suojaustoimet.
· Hyödyntämällä yksityistä selaamista kunkin työistunnon todentamiseen Facebook Business -tilejä käytettäessä (jotta selain unohtaa istunnon sen päätyttyä, mikä estää evästetietojen varastamisen ja väärinkäytön).
· Noudattamalla Metan suositeltuja tietoturvakäytäntöjä.
· Lataamalla ja analysoimalla asiaankuuluvat lokitiedot mahdollisimman nopeasti epäiltyyn tietoturvaloukkaukseen vastattaessa.
Koko englanninkielinen analyysi on saatavilla osoitteessa https://labs.withsecure.com/publications/ducktail-returns.
Lisätietoa DUCKTAILista on saatavilla englanniksi osoitteessa https://labs.withsecure.com/publications/ducktail.
Median yhteyshenkilö
Inari Anttila
+358438240090
WithSecure™ lyhyesti
WithSecure™ on kyberturvallisuuden luotettava kumppani. Yritykset, IT-palveluntarjoajat, suurimmat rahoituslaitokset, teollisuusvalmistajat ja tuhannet viestintä- ja teknologiayritykset luottavat meihin tuloksellisessa kyberturvallisuuden tekemisessä, joka mahdollistaa turvallisen liiketoiminnan. Tekoälypohjainen tuoteajattelu suojaamisessa varmistaa päätelaitteiden sekä pilvipalveluiden turvallisuuden. Asiantuntijamme käyttävät apuna älykkäitä uhkien tunnistus- ja vastaustyökalujamme kyberhyökkäyksiin vastaamisessa ja uhkien ennakoinnissa. Konsulttimme tekevät asiantuntijatyötä suuryritysten ja yrityskentän edelläkävijöiden kanssa rakentaakseen yhdessä yhteiskunnan kyberresilienssiä. Yli 30 vuoden kokemus tietoturvasta ja teknologiasta on liiketoimintamme ydin, ja olemme rakentaneet portfoliomme kasvamaan joustavasti yhdessä kumppaneidemme kanssa.
WithSecure™ aiemmin F-Secure Yritystietoturva, on perustettu vuonna 1988 — NASDAQ OMX Helsinki.