Onderzoek naar het gebruik van rootkits door cybercriminelen heeft aangetoond dat bijna de helft van de campagnes is gericht op het compromitteren van overheidssystemen.
Woensdag heeft Positive Technologies een rapport uitgebracht over de evolutie en toepassing van rootkits bij cyberaanvallen, waarbij wordt opgemerkt dat 77% van de rootkits wordt gebruikt voor cyberspionage.
Rootkits worden gebruikt om privileges te verkrijgen in een geïnfecteerd systeem, hetzij op kernelniveau, hetzij op basis van gebruikersmodi, waarvan de laatste door veel softwaretoepassingen wordt gebruikt. Sommige rootkits kunnen beide mogelijkheden ook combineren.
Als een rootkit eenmaal is aangesloten op een machine, kan deze worden gebruikt om een pc te kapen, systeemaanroepen te onderscheppen, software en processen te vervangen, en ze kunnen ook deel uitmaken van een bredere exploitkit die andere modules bevat, zoals keyloggers, malware voor gegevensdiefstal en cryptocurrency miners — met de rootkit ingesteld om kwaadaardige activiteiten te verhullen.
Rootkits zijn echter moeilijk te ontwikkelen en kunnen zowel tijd als geld kosten om dit te doen – en als gevolg daarvan zijn de meeste op rootkits gebaseerde aanvallen gekoppeld aan APT-groepen (Advanced Persistent Threat) die over de middelen en vaardigheden beschikken om dit te ontwikkelen. vorm van malware.
Het analysemonster van de onderzoekers bestond uit 16 malwaretypes; 38% zijn rootkits in de kernelmodus, 31% in de gebruikersmodus en 31% rootkits van het combinatietype. De meeste die tegenwoordig in gebruik zijn, zijn ontworpen om Windows-systemen aan te vallen.
Volgens Positive Technologies lijkt er een algemene trend te zijn naar rootkits in gebruikersmodus in de exploit-industrie vanwege de moeilijkheid om varianten in kernelmodus te maken, en ondanks verbeteringen in de verdediging tegen rootkits in moderne machines, zijn ze vaak nog steeds succesvol in cyberaanvallen .
“Het kost veel tijd om zo'n rootkit te ontwikkelen of aan te passen, en dit kan het werken met tijdsdruk bemoeilijken; je moet snel een kwetsbaarheid in de perimeter van een bedrijf uitbuiten voordat het wordt opgemerkt en beveiligingsupdates worden geïnstalleerd, of een andere groep profiteert ervan”, zegt Positive Technologies. “Hierdoor zijn aanvallers gewend om snel te handelen: het kan minder dan een dag duren vanaf het moment dat de exploit wordt geïdentificeerd tot de eerste pogingen om er gebruik van te maken, en als een groep geen betrouwbare, gebruiksklare tool, deze tijd is duidelijk niet genoeg om eraan te werken.”
Bovendien zegt het team dat eventuele fouten in de codering van een rootkit in de kernelmodus kunnen leiden tot de vernietiging van een machine en permanente corruptie, en dus als er een financiële vraag wordt gesteld, bijvoorbeeld door ransomware-operators — dan zou de veroorzaakte schade voorkomen dat afpersingspogingen succesvol zijn.
In 44% van de gevallen die sinds 2011 zijn gedocumenteerd, zijn rootkits gebruikt om overheidsinstanties over de hele wereld aan te vallen, gevolgd door onderzoeks- en academische instellingen in 38% van de bekende campagnes.
Positive Technologies suggereert dat wanneer rootkits in het spel zijn, hun kosten en ontwikkelingstijd een waardevol doelwit vereisen: en in de meeste gevallen is het doel gegevensdiefstal – hoewel het doel soms puur financieel is .
Bovendien worden rootkits het vaakst gevolgd voor aanvallen op telecommunicatiebedrijven, de productiesector en banken of financiële diensten.
Rootkits kunnen ook worden gebruikt bij gerichte aanvallen op individuen, naar verluidt “hoge functionarissen, diplomaten en werknemers van slachtofferorganisaties”, aldus de onderzoekers.
In de handel verkrijgbare rootkits kosten vaak tussen de $45.000 en $100.000, afhankelijk van het doelbesturingssysteem, de abonnementsvoorwaarden en de functies.
Positieve technologieën
“Ondanks de moeilijkheden bij het ontwikkelen van dergelijke programma's, zien we elk jaar de opkomst van nieuwe versies van rootkits met een ander werkingsmechanisme dan dat van bekende malware”, zegt Alexey Vishnyakov, hoofd Malware Detection bij het Positive Technologies Expert Security Center (PT ESC). ). “Dit geeft aan dat cybercriminelen nog steeds tools ontwikkelen om kwaadaardige activiteiten te verbergen en nieuwe technieken bedenken om de beveiliging te omzeilen — er verschijnt een nieuwe versie van Windows en malwareontwikkelaars maken er onmiddellijk rootkits voor. We verwachten dat rootkits door goed -georganiseerde APT-groepen.”
Eerdere en gerelateerde berichtgeving
Hackers hebben op de een of andere manier een door Microsoft uitgegeven digitale handtekening voor hun rootkit gekregen
Waarom rootkits betekenen dat je je machine moet vernietigen
Nieuwe Moriya-rootkit stiekem backdoors Windows-systemen
Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters