WithSecuren tuoreen tutkimuksen mukaan Meta Business -tileihin kohdistuvat hyökkäykset ovat yhä yleisempiä vietnamilaisten kyberrikollisten keskuudessa.
Helsinki – 31.8.2023: Vietnamilaiset kyberrikolliset tekevät yhä enemmän Meta Business- ja Facebook-tileihin kohdistuvia kyberhyökkäyksiä, kertoo WithSecure™:n (aiemmin F-Secure yritystietoturva) julkaisema uusi raportti.
Raportin mukaan WithSecure™ Intelligence on havainnut useita kyseisiin alustoihin kohdistuvia hyökkäyksiä tekeviä rikollisryhmiä ja seuraa niiden toimintaa jatkuvasti. Manipuloimalla kohteena olevan tilin käyttöoikeudet omaavaa henkilöä hyökkääjät tartuttavat hänen laitteeseensa tiedon varastamiseen tarkoitetun haittaohjelman.
Hyökkääjät ohjaavat uhreja lataamaan haittaohjelman käyttämällä esimerkiksi sähköpostitse tai sosiaalisessa mediassa jaettavia houkuttimia. Tutkijoiden havaintojen mukaan hyökkäyksissä käytetään yleensä houkuttimina ajankohtaisia aiheita (kuten ChatGPT), suosittuja ohjelmistoja (kuten Notepad++), työllistymismahdollisuuksia (kuten työpaikkailmoituksia tai hanke-ehdotuksia) ja tietoja mainosalustoista (kuten Ads Manager -työkaluista).
Kun haittaohjelma on ladattu laitteelle, se varastaa erilaisia tietoja, kuten Facebook-istuntojen evästeitä ja kirjautumistietoja, jolloin hyökkääjä pääsee käsiksi kohteena olevaan tiliin. Jotkin haittaohjelmat voivat myös kaapata tilejä ja julkaista epärehellisiä mainoksia automaattisesti uhrin laitteen avulla.
Tilien käyttöoikeudet tarjoavat hyökkääjille monia eri mahdollisuuksia ansaita rahaa, esimerkiksi kiristämällä tai herjaamalla uhria tai erityisesti julkaisemalla huijausmainoksia hyödyntäen uhriksi joutuneen organisaation rahavaroja tai luottokorttia.
”Nämä rikollisryhmät myyvät mainoksia usein muille kyberrikollisille joko maksua vastaan tai pyytämällä osuutta rikollisesti saaduista tuotoista. Siten ne ikään kuin edesauttavat muiden kyberrikollisten toimintaa, mikä on lopulta haitallista niin yrityksille, alustalle kuin sen käyttäjille. Lisäksi ne voivat myydä suuren osan varastamistaan tiedoista, mikä tarjoaa niille ylimääräisen tulonlähteen ja aiheuttaa uhreille lisäongelmia”, kertoo raportin laatinut WithSecuren tutkija Mohammad Kazem Hassan Nejad.
Raportti sisältää yleiskatsauksen yllä kuvatusta ongelmasta ja analyysin kahdesta kyseisiin hyökkäyksiin osallistuneesta uhkatoimijasta.
Ensimmäinen niistä on DUCKTAIL, jota WithSecure™ Intelligence on seurannut jo noin puolentoista vuoden ajan. Tutkijat havaitsivat DUCKTAILin toiminnassa huomattavaa äkillistä kasvua viimeisen puolen vuoden aikana sekä useita merkittäviä edistysaskelia. Tärkeimpiä tutkijoiden havaitsemia muutoksia ovat muun muassa se, että hyökkäykset kohdistuvat X-alustan (aiemmin Twitter) mainostileihin ja että hyökkääjät pyrkivät välttämään kiinnijäämisen käyttämällä yhä useammin hyökkäysten havaitsemisen tai analysoimisen estäviä menetelmiä.
Toisen raportissa mainituista uhkatoimijoista, DUCKPORTin, WithSecure™ Intelligence havaitsi maaliskuussa 2023. DUCKTAILin ja DUCKPORTin toiminnassa on monia päällekkäisyyksiä, mutta myös huomattavia eroja, joiden vuoksi DUCKPORTia oli tutkijoiden mielestä syytä seurata erillisenä uhkatoimijana. Raportin mukaan vain DUCKPORTille ominaisia kyvykkyyksiä ovat esimerkiksi kuvakaappausten ottaminen ja muistiinpanojen jakamiseen tarkoitettujen verkkopalveluiden väärinkäyttäminen osana uhkatoimijan ohjaus- ja valvontaketjua.
Tutkimukseen osallistunut WithSecuren tutkija Neeraj Singh sanoo, että tällaisia hyökkäyksiä tehneiden eri ryhmien samankaltaisuus on merkki siitä, että ne ovat jossain määrin tekemisissä keskenään.
”Nämä eri ryhmät saattavat hankkia tarvitsemansa osaamisen yhteisestä osaajajoukosta tai ne saattavat hyödyntää eräänlaista tiedonjakamiseen tarkoitettua verkostoa käydäkseen vaihtokauppaa työkaluilla ja tehokkaisiin strategioihin liittyvillä tiedoilla. Emme voi myöskään sivuuttaa sitä mahdollisuutta, että toiminnassa on mukana erikoispalveluja tarjoava välikäsi, joka toimii ikään kuin kiristysohjelma palveluna (ransomware-as-a-service) -mallin mukaisesti. Tämä rikollisuudenala on kuitenkin selvästi kasvussa, mikä viittaa siihen, että tällaiset hyökkäykset ovat olleet jossain määrin onnistuneita”, Singh toteaa.
Raportti on luettavissa kokonaisuudessaan englanniksi osoitteessa https://labs.withsecure.com/publications/meet-the-ducks.
Median yhteyshenkilö
Inari Anttila
+358438240090
WithSecure™ lyhyesti
WithSecure™ on kyberturvallisuuden luotettava kumppani. Yritykset, IT-palveluntarjoajat, suurimmat rahoituslaitokset, teollisuusvalmistajat ja tuhannet viestintä- ja teknologiayritykset luottavat meihin tuloksellisessa kyberturvallisuuden tekemisessä, joka mahdollistaa turvallisen liiketoiminnan. Tekoälypohjainen tuoteajattelu suojaamisessa varmistaa päätelaitteiden sekä pilvipalveluiden turvallisuuden. Asiantuntijamme käyttävät apuna älykkäitä uhkien tunnistus- ja vastaustyökalujamme kyberhyökkäyksiin vastaamisessa ja uhkien ennakoinnissa. Konsulttimme tekevät asiantuntijatyötä suuryritysten ja yrityskentän edelläkävijöiden kanssa rakentaakseen yhdessä yhteiskunnan kyberresilienssiä. Yli 30 vuoden kokemus tietoturvasta ja teknologiasta on liiketoimintamme ydin, ja olemme rakentaneet portfoliomme kasvamaan joustavasti yhdessä kumppaneidemme kanssa.
WithSecure™ aiemmin F-Secure Yritystietoturva, on perustettu vuonna 1988 — NASDAQ OMX Helsinki.