Malware crouching yeti (energetic bear)

DEFINIZIONE DEL VIRUS

Tipo di virus: malware / Advanced Persistent Threat (APT)

Cos'è?

Crouching yeti è una minaccia implicata in diverse campagne di Advanced Persistent Threat (APT) che sono state attive alla fine del 2010.

I settori targeting primari di questa minaccia includono:

• industriale/meccanico
• produzione
• farmaceutico
• edilizia
• istruzione
• information technology

Dopo un'approfondita ricerca, è stato determinato che il maggior numero di vittime identificate rientra nel settore dell'edilizia industriale / meccanica, il che indica che si tratta di un settore di particolare interesse.

La minaccia crouching yeti agisce in tre modi, Spear-phishing e-mail e utilizzando documenti PDF con exploit Adobe Flash (CVE-2011-0611)

• Installatori di software "trojanizzati"
• Gli attacchi di water hole utilizzano una varietà di exploit riutilizzati

Dettagli della minaccia

Crouching yeti non è di certo una campagna sofisticata Ad esempio, gli aggressori non hanno utilizzato exploit zero-day, ma solo exploit ampiamente disponibili su Internet. Ciò però non ha impedito alla campagna di passare inosservata per diversi anni.

Il numero totale di vittime accertate è di oltre 2800 in tutto il mondo; tra queste i ricercatori di Kaspersky Lab sono stati in grado di identificare 101 organizzazioni. Questo elenco di vittime sembra indicare l'interesse di crouching yeti verso obiettivi strategici, ma mostra anche interesse verso altre istituzioni non così ovvie.

Gli esperti di Kaspersky Lab ritengono si tratti di vittime collaterali, ma potrebbe anche essere ragionevole ridefinire il crouching yeti non solo come una campagna altamente mirata in un'area di interesse molto specifica, ma anche come un'ampia campagna di sorveglianza con interessi in diversi settori.

Come sapere se si è vittima del crouching yeti

Il modo migliore per determinare se si è vittima di crouching yeti è vedere se vi è stata un'intrusione. L'identificazione delle minacce può essere eseguita con un potente prodotto antivirus come Kaspersky Anti-Virus.

I prodotti Kaspersky Lab rileveranno il malware coinvolto nella campagna crouching yeti con le seguenti definizioni di minaccia:

• Trojan.Win32.Sysmain.xxx
• Trojan.Win32.Havex.xxx
• Trojan.Win32.ddex.xxx
• Backdoor.MSIL.ClientX.xxx
• Trojan.Win32.Karagany.xxx
• Trojan-Spy.Win32.HavexOPC.xxx
• Trojan-Spy.Win32.HavexNk2.xxx
• Trojan-Dropper.Win32.HavexDrop.xxx
• Trojan-Spy.Win32.HavexNetscan.xxx
• Trojan-Spy.Win32.HavexSysinfo.xxx

Come proteggersi dal crouching yeti

• Aggiornare sempre il proprio software. Nessuno degli exploit utilizzati dalle minacce di crouching yeti erano attacchi di exploit zero day, si sarebbero potute prevenire la maggior parte delle infezioni usando software aggiornati di terze parti.
• Installare e mantenere aggiornata la propria soluzione di sicurezza per prevenire le infezioni da virus.
• L'istruzione è una parte importante della sicurezza, specialmente per quanto riguarda le e-mail di spear phishing.