Zespół badawczy HP Wolf Security ds. zagrożeń zidentyfikował 27-procentowy wzrost liczby wykrytych zagrożeń związanych z kampaniami spamowymi Emotet w I kwartale 2022 r., w porównaniu z IV kwartałem 2021 r. Najnowszy raport HP Wolf Security Threat Insights, analizujący rzeczywiste ataki cybernetyczne, pokazuje, że Emotet awansował w zestawieniu o 36 miejsc, stając się najczęściej wykrywanym złośliwym oprogramowaniem w tym kwartale (stanowiąc 9% wszystkich przechwyconych szkodliwych programów). Jedna z tych kampanii – ataki na japońskie organizacje, polegające na przechwytywaniu wątków wiadomości e-mail w celu zainfekowania komputerów odbiorców poprzez ich własne działania – była w dużej mierze odpowiedzialna za 879% wzrost (w porównaniu z poprzednim kwartałem) liczby przechwyconych próbek złośliwego oprogramowania .XLSM (Microsoft Excel).
Poprzez izolowanie zagrożeń, które ominęły narzędzia wykrywające i przedostały się urządzenia użytkowników, HP Wolf Security ma głęboki wgląd w najnowsze techniki wykorzystywane przez cyberprzestępców. Specjaliści wskazują przede wszystkim na:
- Rosnącą popularność alternatyw dla zainfekowanych dokumentów Microsoft Office w miarę wycofywania makr: Ponieważ Microsoft zaczął wyłączać makra, firma HP odnotowała wzrost, w porównaniu z poprzednim kwartałem, liczby formatów, które nie są oparte na pakiecie Office, w tym złośliwych plików archiwów Java (+476%) i plików JavaScript (+42%). Przed takimi atakami organizacjom trudniej się bronić, ponieważ wskaźniki wykrywalności tego typu plików są często niskie, co zwiększa prawdopodobieństwo zainfekowania systemu.
- Wzrost liczby wirusów w plikach HTML: Mediana rozmiaru pliku zagrożeń HTML wzrosła z 3 KB do 12 KB, co sugeruje wzrost wykorzystania techniki „HTML smuggling” polegającej na umieszczaniu przez cyberprzestępców szkodliwego oprogramowania bezpośrednio w plikach HTML w celu ominięcia zabezpieczeń pocztowych i uniknięcia wykrycia, a następnie uzyskania dostępu i kradzieży ważnych informacji finansowych. Ostatnie tego typu ataki były ukierunkowane na banki w Ameryce Łacińskiej i Afryce.
- Kampanię złośliwego oprogramowania prowadzącą do wielu infekcji RAT: Wykryto, że atak przy użyciu skryptu Visual Basic był wykorzystywany do zainicjowania tzw. „kill chain”, co prowadziło do wielokrotnych infekcji tego samego urządzenia, dając atakującym trwały dostęp do systemów ofiar za pomocą programów VW0rm, NjRAT i AsyncRAT.
Zgromadzone przez nas dane za I kwartał br. pokazują, że jest to zdecydowanie największa aktywność, jaką zaobserwowaliśmy w przypadku Emoteta od czasu przerwania działalności grupy na początku 2021 roku – jest to wyraźny sygnał, że jej członkowie przegrupowują się, gromadzą siły, odbudowują swoje zasoby i inwestują w rozwój botnetu. Emotet został kiedyś opisany przez CISA jako jedno z najbardziej destrukcyjnych i kosztownych do zlikwidowania złośliwych programów, a jego operatorzy często współpracują z grupami ransomware – możemy się spodziewać, że ten schemat będzie kontynuowany. Ich ponowne pojawienie się jest więc złą wiadomością zarówno dla firm, jak i sektora publicznego – wyjaśnia Alex Holland, Senior Malware Analyst, Zespół ds. Badania Zagrożeń HP Wolf Security. Emotet nadal atakuje z wykorzystaniem makr – być może, by zdążyć przed wyłączeniem makr przez Microsoft lub po prostu dlatego, że ludzie nadal mają włączone makra i mogą zostać zmanipulowani i kliknąć na niewłaściwą rzecz – dodaje.
Zaprezentowane wnioski oparte są na danych zgromadzonych z wielu milionów punktów końcowych, na których działa HP Wolf Security. HP Wolf Security śledzi złośliwe oprogramowanie, otwierając ryzykowne zadania w odizolowanych mikro-wirtualnych maszynach (micro-VM), aby chronić użytkownika oraz zrozumieć i przechwycić cały łańcuch infekcji, łagodząc zagrożenia, które ominęły inne narzędzia zabezpieczające. Do tej pory klienci HP otworzyli ponad 18 miliardów załączników do wiadomości e-mail, stron internetowych i plików do pobrania, nie odnotowując żadnych naruszeń. Dane te zapewniają unikalny wgląd w sposób, w jaki twórcy złośliwego oprogramowania wykorzystują je w środowisku naturalnym.
Inne kluczowe wnioski zawarte w raporcie to:
- 9% zagrożeń nie było wcześniej zauważonych w momencie ich wyizolowania, a 14% wyizolowanego złośliwego oprogramowania poczty e-mail ominęło co najmniej jedno zabezpieczenie.
- Średnio ponad 3 dni (79 godzin) trwało, zanim skrót został rozpoznany przez inne narzędzia zabezpieczające.
- 45% złośliwego oprogramowania wyizolowanego przez HP Wolf Security dotyczyło plików w formacie Office.
- Do infekowania organizacji wykorzystywano 545 różnych złośliwych oprogramowań, przy czym do najpopularniejszych zalicza się Emotet, AgentTesla i Nemucod.
- Exploit Microsoft Equation Editor (CVE-2017-11882) stanowił 18% wszystkich przechwyconych złośliwych próbek.
- 69% wykrytego złośliwego oprogramowania zostało dostarczone za pośrednictwem poczty elektronicznej, natomiast 18% stanowiły pliki pobrane z Internetu. Najczęstszymi załącznikami wykorzystywanymi do dostarczania szkodliwego oprogramowania były dokumenty (29%), pliki archiwów (28%), pliki wykonywalne (21%) oraz arkusze kalkulacyjne (20%).
- Najczęstszymi załącznikami wykorzystywanymi do dostarczania szkodliwego oprogramowania były arkusze kalkulacyjne (33%), pliki wykonywalne i skrypty (29%), pliki archiwów (22%) oraz dokumenty (11%).
- Najczęstszymi przynętami phishingowymi były transakcje biznesowe, takie jak „zamówienie”, „płatność”, „zakup”, „prośba” i „faktura”.
W analizowanym kwartale odnotowaliśmy znaczący, 27-procentowy, wzrost ilości zagrożeń przechwyconych przez HP Wolf Security. Ponieważ cyberprzestępcy dostosowują swoje metody działania do zmian zachodzących w środowisku IT, ilość i różnorodność ataków stale rośnie, a konwencjonalnym narzędziom coraz trudniej jest je wykrywać – komentuje dr Ian Pratt, Global Head of Security for Personal Systems, HP Inc. W związku z rosnącą liczbą alternatywnych typów plików i technik wykorzystywanych do omijania zabezpieczeń, organizacje muszą zmienić swoje dotychczasowe metody i przyjąć bardziej kompleksowe podejście do zabezpieczeń punktów końcowych. Stosując zasadę najmniejszych uprawnień i izolując najczęstsze wektory zagrożeń – z poczty elektronicznej, przeglądarek lub plików do pobrania – unieszkodliwiamy złośliwe oprogramowanie dostarczane za pośrednictwem tych wektorów. To radykalnie zmniejsza podatność organizacji na cyberzagrożenia.
Dzięki izolowaniu zagrożeń, które ominęły narzędzia wykrywające i przedostały się na urządzenia użytkowników, HP Wolf Security ma szczegółowy wgląd w najnowsze techniki wykorzystywane przez cyberprzestępców.
Zespół HP Wolf Security omówi raport Threat Insights za I kwartał 2022 r. podczas webinaru, który odbędzie się 7 czerwca o godz. 17:00 (CET), więcej informacji można znaleźć tutaj.