HP Inc. opublikowało kwartalny raport HP Wolf Security Threat Insights Report, który pokazuje, iż rozwijający się rynek cyberprzestępców oferuje narzędzia dla początkujących hakerów, które pozwalają na obejście metod wykrywania malware i infekowanie urządzeń nieświadomych użytkowników.
Kluczowe wnioski, w oparciu o dane z milionów punktów końcowych, na których działa oprogramowanie HP Wolf Security:
- „Ostatni akt Houdiniego”: nowa metoda cyberprzestępców wymierzona przeciwko firmom jest oparta na fałszywych dokumentach przewozowych ukrywających złośliwe oprogramowanie JavaScript Vjw0rm. Specjalnie „zaciemniony” kod pozwala złośliwemu oprogramowaniu ominąć zabezpieczenia poczty e-mail i dotrzeć do punktów końcowych. Analizowany atak wykorzystywał tzw. Houdiniego, 10-letni obiekt VBScript RAT. Pokazuje to, iż dzięki odpowiednim, gotowym narzędziom z rynków cyberprzestępczych, hakerzy mogą przez cały czas skutecznie posługiwać się starym złośliwym oprogramowaniem, nadużywając funkcji skryptowych wbudowanych w systemy operacyjne.
- Cyberprzestępcy stosują ataki “Jekyll i Hyde”: HP odkryło, iż hakerzy przy użyciu Parallax RAT infekują komputery w momencie, gdy użytkownik otworzy fałszywą fakturę, skopiowaną z legalnego szablonu internetowego. W tym czasie, w tle dochodzi do uruchomienia złośliwego oprogramowanie. Atak był łatwy do przeprowadzenia dla cyberprzestępców z prostego względu – na forach hakerskich reklamowano gotowe zestawy Parallax za jedyne 65 dolarów na miesiąc.
“Podmioty stanowiące zagrożenie mogą dziś z łatwością kupować gotowe, łatwe w obsłudze, zestawy złośliwego oprogramowania, które infekują systemy jednym kliknięciem. Zamiast tworzyć własne narzędzia, mniej zaawansowani cyberprzestępcy mogą uzyskać dostęp do rozwiązań, których ataki są często trudniejsze do wykrycia z powodu wykluczenia narzędzi bezpieczeństwa dla administratorów, takich jak automatyzacja”. – komentuje Alex Holland, starszy analityk złośliwego systemu w zespole ds. badań nad zagrożeniami HP Wolf Security.
Bardziej doświadczeni hakerzy oszukują również początkujących cyberprzestępców, udostępniając fałszywe zestawy do tworzenia złośliwego systemu na platformach do udostępniania kodu, takich jak GitHub. Nakłaniają początkujących cyberprzestępców do infekowania własnych maszyn. XWorm będący jednym z popularnych zestawów złośliwego oprogramowania, jest sprzedawany na „czarnym rynku” za 500 dolarów, co skłania cyberprzestępców do kupowania fałszywych, zcrackowanych wersji.
Izolując zagrożenia, które omijały narzędzia wykrywające na komputerach, ale przez cały czas pozwalając złośliwemu oprogramowaniu na zainfekowanie punktów końcowych, HP Wolf Security ma szczegółowy wgląd w najnowsze techniki stosowane przez internetowych przestępców w gwałtownie zmieniającym się świecie cyberprzestępczości. Do tej pory klienci HP Wolf Security aktywowali ponad 30 miliardów załączników do wiadomości e-mail, stron internetowych i pobranych plików bez żadnych zgłoszonych naruszeń bezpieczeństwa.
HP Wolf Security Threat Insights Report
W raporcie szczegółowo opisano, w jaki sposób cyberprzestępcy dywersyfikują metody ataków, aby ominąć zasady bezpieczeństwa i narzędzia wykrywające. Ustalono m.in., że:
- Archiwa danych były najpopularniejszym typem dostarczania złośliwego systemu już szósty kwartał z rzędu. Wykorzystywano je w 36% przypadków analizowanych przez HP.
- Pomimo domyślnego wyłączenia, zagrożenia związane z dodatkami do Excela z obsługą makr (.xlam) wspięły się na 7. miejsce na liście najpopularniejszych rozszerzeń plików wykorzystywanych przez atakujących w Q3 2023 r., z 46. miejsca w Q2 2023 r. W Q3 2023 r. pojawiły się również kampanie złośliwego systemu wykorzystujące dodatki do programu PowerPoint.
- Nie mniej niż 12% zagrożeń e-mail zidentyfikowanych przez HP Sure Click ominęło co najmniej jeden skaner Secure Email Gateway zarówno w Q3 2023 r., jak i w Q2 2023 r.
- W Q3 2023 r. odnotowano wzrost liczby ataków wykorzystujących exploity w formatach Excel (91%) i Word (68%).
- W porównaniu z Q2 2023, odnotowano 5% wzrost liczby zagrożeń PDF wyizolowanych przez HP Wolf Security.
- Najważniejszymi wektorami zagrożeń w Q3 2023 były wiadomości e-mail (80%) i pliki pobierane z przeglądarek (11%).
“Podczas gdy narzędzia do tworzenia ukrytych ataków są łatwo dostępne, cyberprzestępcy przez cały czas polegają na kliknięciach użytkowników” – dodaje Alex Holland. “Aby zneutralizować ryzyko gotowych zestawów złośliwego oprogramowania, firmy powinny izolować działania wysokiego ryzyka, takie jak otwieranie załączników do wiadomości e-mail, klikanie linków i pobieranie plików. To znacznie minimalizuje potencjał naruszenia poprzez zmniejszenie powierzchni ataku”.
HP Wolf Security uruchamia potencjalnie niebezpieczne procesy w odizolowanych maszynach wirtualnych, by chronić użytkowników bez wpływu na ich produktywność. Przechwytuje również szczegółowe ślady prób infekcji. Technologia izolacji aplikacji HP przeciwdziała zagrożeniom, które wymykają się innym narzędziom bezpieczeństwa i zapewnia unikalny wgląd w techniki włamań i zachowanie autorów zagrożeń.
