Spoločnosť HP Inc. zverejnila novú štvrťročnú správu HP Wolf Security Threat Insights, ktorá varuje pred zlepšujúcimi sa schopnosťami záškodníckych hackerov. V správe stojí, že dostupnosť stále dokonalejších a komplexnejších nástrojov, vďaka ktorým môžu kybernetickí zločinci obchádzať detekciu a infikovať zariadenia, neustále rastie.
Prejsť na:
Správa má byť založená na údajoch z miliónov koncových zariadení, ktoré majú nainštalovaný softvér HP Wolf Security. Obsahuje informácie o niektorých známych typoch útokov.
Houdini’s Last Act a Jekyll a Hide
V tomto súvise možno spomenúť napríklad Houdini’s Last Act, čo je nová kampať zamerná na firemné systémy, ktorá používa falošné prepravené dokumenty ukrývajúce JavaScrip malvér Vjw0rm. Jeho zamaskovaný kód umožňuje malvéru prejsť cez centrálne zabezpečenie e-mailov a dostať sa ku cieľovým počítačom. Hodini je 10 rokov starý VBScript RAT, ktorý využíva aj aktuálne analyzovaný útok. To ukazuje, že s vhodnými nástrojmi z online tržníc a obchodov pre kyberzločincov môžu hackeri stále účinne využívať aj starší malvér tak, že zneužívajú skriptovacie funkcie integrované v dnešných operačných systémoch.
Druhým prípadom je útok typu Jekyll a Hide. V tomto prípade ide o kampaň Parallax RAT, ktorá spustí dve vlákna, pokiaľ používateľ otvorí nakazenú faktúru. Vlákno „Jekyll“ otvorí falošnú faktúru kopírovanú z legitímnej online šablóny a znižuje tak podozrenie, zatiaľ čo „Hyde“ spustí malvér na pozadí. Tento útok je ľahko uskutočniteľný, pretože predpripravené sady Parallax sú na hackerských fórach ponúkané len za 65 dolárov mesačne.
„Útočníci si dnes môžu jednoducho zakúpiť hotové, používateľsky prívetivé sady malvéru, ktoré systému infikujú jedným kliknutím,“ hovorí Alex Holland, vedúci analytik malvéru v tíme pre výskum hrozieb HP Wolf Security. „Namiesto vytvárania vlastných nástrojov môžu získať sady využívajúce taktiky vychádzajúce z už existujúcich prostriedkov. Tieto nenápadné útoky je ťažšie detegovať vďaka výnimkám bezpečnostných mechanizmov pre práva administrátorov, napríklad kvôli automatizácii.“
Idú aj po vlastných
Spoločnosť HP tiež odhalila, ako sa útočníci snažia nachytať menej skúsených kybernetických zločincov. Na platformy pre zdieľanie kódu, ako je napríklad GitHub, umiestňujú falošné sady na vytváranie malvéru. Tieto repozitáre môžu mať za následok infikovanie počítačov tých, ktorí sami chceli byť aktérmi útokov. Napríklad populárna sada malvéru XWorm sa na nelegálnych trhoch ponúka za ceny až 500 dolárov, čo kyberzločincov s obmedzenými prostriedkami núti kupovať cracknuté verzie.
Správa taktiež rozkrýva, ako kyberzločinci pokračujú v diverzifikácii svojich útočných metód, aby obišli pravidlá a detekčné nástroje.
Najčastejšie sa malvér šíri cez formáty ZIP a RAR
Spoločnosť zistila, že archívy, teda napríklad ZIP a RAR súbory, boli už šiesty štvrťrok za sebou najpopulárnejším spôsobom šírenia malvéru. Ísť malo až o 36 % analyzovaných prípadov. Ďalej poukazuje na makrá v doplnkoch Excel súborov (.xlam). Tie sú síce štandardne deaktivované, no v poslednom štvrťroku aj napriek tomu boli siedmym najpopulárnejším typom súborov zneužívaných útočníkmi. Objavovali sa dokonca aj malvérové kampane zneužívajúce doplnky v PowerPointe.
Správa taktiež informuje, že minimálne 12 % útokov šírených prostredníctvom e-mailových správ identifikovaných HP Sure Click v druhom a treťom štvrťroku obišlo jeden alebo viac skenerov na e-mailových bránach. Okrem toho v sledovanom období narástol počet útokov využívajúcich zraniteľnosť v Exceli a Worde. Pri PDF súboroch a hrozbách izolovaných HP Wolf Security zase došlo k nárastu o 5 % v medzikvartálnom porovnaní. Napokon možno poznamenať, že najčastejším zdrojom hrozieb v treťom štvrťroku boli e-maily (80 %) a sťahovanie z prehliadačov (11 %).
„Nástroje na vytváranie nenápadných útokov sú ľahko dostupné a aktéri hrozieb sa stále spoliehajú na to, že na ne používateľ klikne,“ vysvetľuje Holland. „Pre neutralizáciu útokov prostredníctvom predpripravených malvérových sád by mali firmy izolovať činnosti s vysokými rizikami, ako je otváranie e-mailových príloh či klikanie na odkazy a sťahovanie. Tým sa výrazne zníži potenciál útoku, pretože sa obmedzí napadnuteľná plocha.“
HP na to ide rozumne
HP Wolf Security spúšťa rizikové úlohy, ako je otváranie e-mailových príloh, sťahovanie súborov a klikanie na odkazy, v izolovaných virtuálnych počítačoch (micro-VM). Touto cestou sú používatelia chránení a pokusy o infikovanie počítača sú dôkladne zmapované.
Technológia izolácie aplikácií spoločnosti HP zmierňuje hrozby, ktoré by mohli zostať nezachytené inými bezpečnostnými nástrojmi a poskytuje informácie o nových technikách napadnutia a správania útočníkov.
Používatelia HP Wolf Security mali doposiaľ otvoriť viac ako 30 miliárd e-mailových príloh, webových stránok a súborov bez narušenia bezpečnosti. Vďaka izolácii hrozieb, ktoré obchádzajú bežné detekčné nástroje na PC, ale stále umožňujú bezpečné stiahnutie malvéru, má HP Wolf Security konkrétny prehľad o najnovších technikách používaných v tomto rýchlo sa meniacom prostredí.
