Cyberprzestępcy stają się coraz bardziej wyrafinowani
Firma HP opublikowała globalny raport „Threat Insights”, zawierający analizę rzeczywistych ataków i podatności w zakresie cyberbezpieczeństwa. Badania wskazują na znaczny wzrost częstotliwości i zaawansowania działań cyberprzestępczych oraz 65% wzrost wykorzystania narzędzi hakerskich pobranych z nielegalnych forów i stron internetowych, służących do wymiany plików, w okresie od drugiej połowy 2020 r. do pierwszej połowy 2021
Badacze zauważyli, że hakerzy wciąż usprawniają dobrze znane metody ataków. Dla przykładu, jedno z narzędzi może rozwiązywać zadania CAPTCHA przy użyciu technik widzenia komputerowego, a mianowicie optycznego rozpoznawania znaków (OCR) w celu przeprowadzenia ataków typu "credential stuffing" na strony internetowe. W szerszym ujęciu w raporcie stwierdzono, że cyberprzestępczość jest bardziej zorganizowana niż kiedykolwiek, a "podziemne" fora stanowią doskonałą platformę do współpracy oraz dzielenia się taktykami, technikami i procedurami ataków.
- Rozprzestrzenianie się narzędzi hakerskich na zamkniętych forach internetowych umożliwia osobom o niskim poziomie wiedzy stwarzanie poważnych zagrożeń dla bezpieczeństwa przedsiębiorstw - mówi dr Ian Pratt, Dyrektor ds. Bezpieczeństwa w Dziale Personal Systems w HP. Jednocześnie użytkownicy raz po raz padają ofiarą prostych ataków typu phishing. Rozwiązania zabezpieczające, które pozwalają działom IT wyprzedzać przyszłe zagrożenia, mają kluczowe znaczenie dla maksymalizacji ochrony i odporności zasobów firm - dodał
Najważniejsze zagrożenia wyizolowane przez ekspertów:
· Współpraca cyberprzestępców, w celu przeprowadzenia zmasowanych ataków na ofiary: partnerzy Dridexa sprzedają dostęp do zaatakowanych organizacji innym podmiotom, dzięki czemu mogą dystrybuować oprogramowanie ransomware na większą skalę. Spadek aktywności Emotet w I kwartale 2021 roku sprawił, że Dridex stał się główną rodziną złośliwego oprogramowania wyizolowaną przez HP Wolf Security.
· Hakerzy dzielą się coraz bardziej złośliwym oprogramowaniem: jednym z nich jest CryptBot - wykorzystywany do kradzieży informacji i wyłudzania danych uwierzytelniających z portfeli kryptowalutowych i przeglądarek internetowych. Jest również wykorzystywany do dostarczania DanaBot - trojana bankowego obsługiwanego przez zorganizowane grupy przestępcze.
· Kampania VBS downloader, której celem jest kadra kierownicza przedsiębiorstw: wieloetapowa kampania Visual Basic Script (VBS) udostępnia złośliwe załączniki ZIP nazwane imionami osób z kadry kierowniczej firmy, na którą jest ukierunkowana. Wdraża ona podstępny downloader VBS, a następnie wykorzystuje legalne narzędzia SysAdmin, aby utrzymywać się na urządzeniach i wprowadzać do organizacji złośliwe oprogramowanie.
· Od aplikacji do infiltracji: złośliwa kampania spamowa o tematyce związanej z życiorysami była skierowana do firm m.in. z branży żeglugowej, morskiej i logistycznej w siedmiu krajach (Chile, Japonia, Wielka Brytania, Pakistan, Stany Zjednoczone, Włochy i Filipiny), wykorzystując lukę w pakiecie Microsoft Office, w celu wdrożenia dostępnego w sprzedaży Remcos RAT i uzyskania dostępu typu backdoor do zainfekowanych komputerów.
Pozostałe kluczowe wnioski z raportu to:
· 75% wykrytego złośliwego oprogramowania zostało dostarczone za pośrednictwem poczty elektronicznej, natomiast za pozostałe 25% odpowiadały pliki pobrane z Internetu. Liczba zagrożeń pobieranych za pośrednictwem przeglądarek internetowych wzrosła o 24%, częściowo za sprawą użytkowników pobierających narzędzia hakerskie i oprogramowanie do wydobywania kryptowalut.
· Najczęstszymi przynętami phishingowymi w wiadomościach e-mail były faktury i transakcje biznesowe (49%), natomiast 15% stanowiły odpowiedzi na przechwycone wątki e-mail. Przynęty phishingowe związane z COVID-19 stanowiły mniej niż 1% i zmniejszyły się o 77% w okresie od drugiego półrocza 2020 r. do pierwszego półrocza 2021 r.
· Najczęstszym typem złośliwych załączników były pliki archiwalne (29%), arkusze kalkulacyjne (23%), dokumenty (19%) oraz pliki wykonywalne (19%). Nietypowe typy plików archiwalnych - takie jak JAR (Java Archive files) - są wykorzystywane do unikania narzędzi wykrywających i skanujących oraz do instalowania szkodliwego oprogramowania, które jest łatwo dostępne na podziemnych rynkach.
· W raporcie stwierdzono, że 34% przechwyconego, złośliwego oprogramowania było wcześniej nieznane1, co stanowi spadek o 4% w porównaniu z drugą połową 2020 r.
· O 24% wzrosła liczba złośliwego oprogramowania wykorzystującego CVE-2017-11882, lukę w zabezpieczeniach pamięci, powszechnie wykorzystywaną w pakietach Microsoft Office lub Microsoft WordPad i przeprowadzania ataków bez plików.