Firma HP opublikowała swój najnowszy, globalny raport „Threat Insights”, zawierający analizę rzeczywistych ataków i podatności w zakresie cyberbezpieczeństwa. Badania wskazują na znaczny wzrost częstotliwości i zaawansowania działań cyberprzestępczych oraz 65% wzrost wykorzystania narzędzi hakerskich pobranych z nielegalnych forów i stron internetowych, służących do wymiany plików, w okresie od drugiej połowy 2020 r. do pierwszej połowy 2021 r.
Badacze zauważyli, że hakerzy wciąż usprawniają dobrze znane metody ataków. Dla przykładu, jedno
z narzędzi może rozwiązywać zadania CAPTCHA przy użyciu technik widzenia komputerowego,
a mianowicie optycznego rozpoznawania znaków (OCR) w celu przeprowadzenia ataków typu „credential stuffing” na strony internetowe. W szerszym ujęciu w raporcie stwierdzono, że cyberprzestępczość jest bardziej zorganizowana niż kiedykolwiek, a „podziemne” fora stanowią doskonałą platformę do współpracy oraz dzielenia się taktykami, technikami i procedurami ataków.
Rozprzestrzenianie się narzędzi hakerskich na zamkniętych forach internetowych umożliwia osobom
o niskim poziomie wiedzy stwarzanie poważnych zagrożeń dla bezpieczeństwa przedsiębiorstw – mówi dr Ian Pratt, Dyrektor ds. Bezpieczeństwa w Dziale Personal Systems w HP. Jednocześnie użytkownicy raz po raz padają ofiarą prostych ataków typu phishing. Rozwiązania zabezpieczające, które pozwalają działom IT wyprzedzać przyszłe zagrożenia, mają kluczowe znaczenie dla maksymalizacji ochrony i odporności zasobów firm.
Najważniejsze zagrożenia wyizolowane przez HP Wolf Security:
- Współpraca cyberprzestępców, w celu przeprowadzenia zmasowanych ataków na ofiary: partnerzy Dridexa sprzedają dostęp do zaatakowanych organizacji innym podmiotom, dzięki czemu mogą dystrybuować oprogramowanie ransomware na większą skalę. Spadek aktywności Emotet w I kwartale 2021 roku sprawił, że Dridex stał się główną rodziną
złośliwego oprogramowania wyizolowaną przez HP Wolf Security. - Hakerzy dzielą się coraz bardziej złośliwym oprogramowaniem: jednym z nich jest CryptBot – wykorzystywany do kradzieży informacji i wyłudzania danych uwierzytelniających z portfeli kryptowalutowych i przeglądarek internetowych. Jest również wykorzystywany do dostarczania DanaBot – trojana bankowego obsługiwanego przez zorganizowane grupy przestępcze.
- Kampania VBS downloader, której celem jest kadra kierownicza przedsiębiorstw: wieloetapowa kampania Visual Basic Script (VBS) udostępnia złośliwe załączniki ZIP nazwane imionami osób z kadry kierowniczej firmy, na którą jest ukierunkowana. Wdraża ona podstępny downloader VBS, a następnie wykorzystuje legalne narzędzia SysAdmin, aby utrzymywać się na urządzeniach i wprowadzać do organizacji złośliwe oprogramowanie.
- Od aplikacji do infiltracji: złośliwa kampania spamowa o tematyce związanej z życiorysami była skierowana do firm m.in. z branży żeglugowej, morskiej i logistycznej w siedmiu krajach (Chile, Japonia, Wielka Brytania, Pakistan, Stany Zjednoczone, Włochy i Filipiny), wykorzystując
lukę w pakiecie Microsoft Office, w celu wdrożenia dostępnego w sprzedaży Remcos RAT
i uzyskania dostępu typu backdoor do zainfekowanych komputerów.
Aby zrozumieć i uchwycić pełny łańcuch infekcji oraz pomóc w niwelowaniu zagrożeń, wyniki oparte są na danych z HP Wolf Security, który śledzi złośliwe oprogramowanie w obrębie izolowanych, mikro-wirtualnych maszyn. Poprzez lepsze zrozumienie zachowania złośliwego oprogramowania w środowisku naturalnym, badacze i inżynierowie HP Wolf Security są w stanie wzmocnić ochronę punktów końcowych i ogólną odporność systemu.
Ekosystem hakerów wciąż się rozwija i przekształca, oferując drobnym cyberprzestępcom więcej możliwości, poprzez nawiązywanie kontaktów z większymi graczami, a także pobieranie zaawansowanych narzędzi, które mogą omijać zabezpieczenia i łamać systemy – zauważa Alex Holland, Starszy Analityk ds. Szkodliwego Oprogramowania w HP. Widzimy, jak hakerzy dostosowują swoje techniki w celu osiągnięcia większych zysków, sprzedając dostęp zorganizowanym grupom przestępczym, aby mogły one przeprowadzać bardziej wyrafinowane ataki na organizacje. Złośliwe oprogramowanie, takie jak CryptBot, było dużym zagrożeniem dla użytkowników, którzy używają swoich komputerów do przechowywania portfeli kryptowalut, ale teraz oznacza spory problem również dla firm. Widzimy, jak infostealerzy rozprowadzają złośliwe oprogramowanie obsługiwane przez zorganizowane grupy przestępcze, które zazwyczaj preferują oprogramowanie ransomware.
Pozostałe kluczowe wnioski z raportu to:
- 75% wykrytego złośliwego oprogramowania zostało dostarczone za pośrednictwem poczty
elektronicznej, natomiast za pozostałe 25% odpowiadały pliki pobrane z Internetu. Liczba zagrożeń pobieranych za pośrednictwem przeglądarek internetowych wzrosła o 24%, częściowo za sprawą użytkowników pobierających narzędzia hakerskie i oprogramowanie do wydobywania kryptowalut. - Najczęstszymi przynętami phishingowymi w wiadomościach e-mail były faktury i transakcje
biznesowe (49%), natomiast 15% stanowiły odpowiedzi na przechwycone wątki e-mail. Przynęty phishingowe związane z COVID-19 stanowiły mniej niż 1% i zmniejszyły się o 77% w okresie od drugiego półrocza 2020 r. do pierwszego półrocza 2021 r. - Najczęstszym typem złośliwych załączników były pliki archiwalne (29%), arkusze kalkulacyjne (23%), dokumenty (19%) oraz pliki wykonywalne (19%). Nietypowe typy plików archiwalnych – takie jak JAR (Java Archive files) – są wykorzystywane do unikania narzędzi wykrywających
i skanujących oraz do instalowania szkodliwego oprogramowania, które jest łatwo dostępne na podziemnych rynkach. - W raporcie stwierdzono, że 34% przechwyconego, złośliwego oprogramowania było wcześniej nieznane1, co stanowi spadek o 4% w porównaniu z drugą połową 2020 r.
- O 24% wzrosła liczba złośliwego oprogramowania wykorzystującego CVE-2017-11882, lukę
w zabezpieczeniach pamięci, powszechnie wykorzystywaną w pakietach Microsoft Office lub Microsoft WordPad i przeprowadzania ataków bez plików.
Cyberprzestępcy z łatwością omijają zabezpieczenia, udoskonalając swoje techniki. Zaobserwowaliśmy wzrost liczby złośliwego oprogramowania rozpowszechnianego za pośrednictwem nieznanych dla wielu użytkowników plików JAR – prawdopodobnie w celu zmniejszenia szans na wykrycie przez skanery antywirusowe – komentuje Holland. Te same stare sztuczki phishingowe zwabiają ofiary, a przynęty informujące o dokonanych transakcjach przekonują użytkowników do kliknięcia złośliwych załączników, linków i stron internetowych.
Ponieważ cyberprzestępczość staje się coraz bardziej zorganizowana, a mniejsi gracze mogą z łatwością zdobyć skuteczne narzędzia i zarabiać na atakach sprzedając dostęp do nich, nie ma czegoś takiego jak niewielkie naruszenie – podsumowuje Pratt. Punkt końcowy nadal pozostaje w centrum zainteresowania cyberprzestępców. Ich techniki stają się coraz bardziej wyrafinowane, dlatego ważniejsze niż kiedykolwiek jest posiadanie kompleksowej i odpornej infrastruktury punktów końcowych oraz cyberobrony. Oznacza to wykorzystanie funkcji takich, jak izolacja zagrożeń, która minimalizuje zasięg ataku poprzez eliminację zagrożeń z najczęstszych źródeł – poczty elektronicznej, przeglądarek i pobieranych plików.