Тип угрозы: вредоносное ПО/ целевая продолжительная атака повышенной сложности (APT)
Energetic Bear/Crouching Yeti (энергетический медведь/крадущийся йети) – группа киберпреступников, замешанная в нескольких вредоносных кампаниях класса APT (advanced persistent threat). Группа начала активную деятельность не позднее конца 2010 года. Интересы киберпреступников распространяются, в частности, на следующие секторы экономики:
Большинство из известных нам жертв работают в энергетике/машиностроении, что говорит об особом интересе группы к этому сектору.
Для заражения жертв группировка Crouching Yeti применяют три метода,
Crouching Yeti вряд ли можно назвать сложной кампанией. Например, злоумышленники не использовали эксплойты нулевого дня, только эксплойты, которые можно легко найти в Интернете. Однако это не помешало кампании оставаться незамеченной в течение нескольких лет.
Всего нам известно примерно о 2 800 жертвах по всему миру, из которых специалистам «Лаборатории Касперского» удалось выявить 101 организацию. Список жертв указывает на то, что интересы Crouching Yeti распространяются, прежде всего, на стратегические цели. Однако преступники также проявляют повышенное внимание и к другим, менее значимым структурам, которые эксперты «Лаборатории Касперского» считают побочными жертвами. При этом стоит отметить, что эта группа киберпреступников хоть и сосредоточена на очень узком секторе промышленности, имеющем стратегическое значение, но также проявляет интерес и ко многим другим секторам экономики.
Лучший способ узнать, стали ли вы жертвой Crouching Yeti, - определить, было ли вторжение. Идентификация угрозы может быть выполнена с помощью мощного антивирусного продукта, такого как Kaspersky Anti-Virus.
Продукты «Лаборатории Касперского» детектируют и удаляют все варианты вредоносного ПО, применяемые в рамках кампании Crouching Yeti, в том числе следующие: