+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

HP опублікував глобальний звіт з аналізом кібератак HP Wolf Security Threat Insights Report

HP опублікувала глобальний звіт з аналізом кібератак HP Wolf Security Threat Insights Report

HP опублікувала глобальний звіт HP Wolf Security Threat Insights Report з аналізом кібератак за третій квартал 2021 року Експерти змогли виявити методи та інструменти зловмисників для обходу засобів захисту від злому.

Експерти HP Wolf Security вивчили зростаючі випадки використання кіберзлочинцями вразливостей нульового дня. Експлойти CVE-2021-40444i побудовані на віддаленому виконанні шкідливого коду на комп'ютері жертви. Така вразливість дозволяє використовувати движок браузера MSHTML в пакеті програм Microsoft Office - вперше він був виявлений фахівцями HP з безпеки 8 вересня 2021 року, за тиждень до виходу чергового оновлення.

Вже 10 вересня — всього через три дні після публікації бюлетеня про першу загрозу — команда дослідників HP виявила інформацію на GitHub, призначену для автоматизації створення цього експлойту. При відсутності оновлень системи ця вразливість дозволяла зловмисникам зламувати кінцеві пристрої при мінімальній взаємодії з користувачами. У експлойті використовується шкідливий архівний файл, який розгортає зловмисне програмне забезпечення через документ Office. Однак користувачам не потрібно відкривати файл або вмикати будь-які макроси для його попереднього перегляду. Відкриття Файлового провідника досить, щоб ініціювати атаку, про яку власник пристрою часто навіть не буде знати. Після злому пристрою зловмисники можуть встановити в систему бекдори, які можуть бути продані, наприклад, іншим злочинним угрупованням, які використовують шкідливе ПО для вимагання викупу.

Інші помітні загрози, виділені HP Wolf Security, включають збільшення кількості кіберзлочинців, які використовують послуги постачальника хмарного програмного забезпечення та ресурси веб-провайдерів для розміщення шкідливого програмного забезпечення: недавня кампанія GuLoader виявила троян віддаленого доступу Remcos (RAT), шкідливий код, який використовує віддалений доступ для обходу систем виявлення загроз, ховаючись під виглядом звичайних файлів на основних платформах. наприклад, OneDrive. HP Wolf Security також виявила кілька сімейств подібних шкідливих програм, розміщених в соціальних мережах і на ігрових платформах, таких як Discord.

Крім того, фахівці виявляють шкідливі програми в JavaScript, які можуть обійти інструменти виявлення: мова йде про поширення заражених програм RAT, написаних на JavaScript через вкладення електронної пошти. Сценарії JavaScript складніше розпізнати і виявити серед усіх даних, ніж в документах з розширеннями Office або в бінарних файлах. Шкідливе ПЗ RAT стає все більш популярним серед зловмисників, які прагнуть вкрасти облікові дані бізнес-користувачів або отримати доступ до криптогаманців. Небезпечний і перехід на файли HTA, що дозволяє поширювати шкідливий код в один клік: троян Trickbot тепер з'являється на комп'ютерах жертв після отримання файлів HTA (HTML-додатків), які поширюють по системі шкідливе ПО відразу після відкриття прикріпленого документа або архіву, що містить шкідливий код. Оскільки цей тип файлів ще не поширений, шкідливий код, прихований у файлах .hta, з меншою ймовірністю буде виявлений засобами виявлення.

«Середній час, необхідний компаніям для застосування, тестування та впровадження патчів безпеки з відповідними перевірками, становить 97 днів, що дає кіберзлочинцям можливість використовувати це «вікно вразливості». Спочатку використовувати такі вразливості могли тільки висококваліфіковані хакери, але поява скриптів для автоматизації написання коду знизило поріг входу, зробивши цей вид атак доступним для менш досвідчених і технічно підготовлених зловмисників. Це значно підвищує ризик для бізнесу, так як експлойти нульового дня стають товаром і стають більш доступними для масового ринку, наприклад, в даркнеті, - пояснює старший аналітик шкідливих програм з групи досліджень загроз безпеці HP Wolf Security, HP Inc. - Такі нові вразливості зазвичай не відстежуються засобами виявлення, так як оригінальні підписи можуть бути недосконалими і швидко застарівати в міру оцінки масштабів експлойту. Ми очікуємо, що експлуатація CVE-2021-40444 стане новим інструментом кіберзлочинності, можливо, навіть замінить поширене шкідливе програмне забезпечення, яке використовується сьогодні для отримання початкового доступу до систем, таких як ті, які використовують вразливість у Equation Editor».

Програмне забезпечення HP Wolf Security відстежує шкідливе ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ шляхом запуску додатків на ізольованих мікровіртуальних машинах (мікроВМ) для захоплення і розуміння всього ланцюжка інфекцій, тим самим допомагаючи мінімізувати загрози, які не були виявлені іншими засобами безпеки. Це дозволило клієнтам HP відкрити понад 10 мільярдів вкладень електронної пошти, веб-сторінок і завантажень без будь-яких витоків або порушень безпеки. Краще розуміючи поведінку шкідливих програм у реальних середовищах, дослідники та інженери HP Wolf Security мають здатність зміцнювати клієнтські пристрої та покращувати загальну стійкість системи.

Серед основних висновків дослідження, заснованих на даних, отриманих з мільйонів пристроїв під управлінням HP Wolf Security, можна відзначити, що 12% виявлених шкідливих програм електронної пошти вдалося обійти хоча б один шлюз сканування мережі, 89% виявлених шкідливих програм доставлялося по електронній пошті, в той час як на завантаження інтернету припадало 11% і інші способи доставки, наприклад, зараження через зовнішні запам'ятовувальні пристрої – менше 1% інфікованого програмного забезпечення. Найпоширенішими типами вкладень, які використовувалися для доставки шкідливих програм, були архівні файли (38% – у порівнянні з 17,26% у минулому кварталі), документи Word (23%), електронні таблиці (17%) та файли .exe (16%), кажуть експерти. П'ять найпоширеніших фішингових атак були пов'язані з такими бізнес-операціями, як «оформлення замовлення» та «оплата» замовлення, «реклама нових продуктів», «пропозиція» та «попит».

«Ми більше не можемо покладатися тільки на виявлення загроз, ландшафт яких занадто динамічний, і, як ми бачимо з аналізу загроз, зафіксованих в наших віртуальних машинах, зловмисники все частіше здатні ухилятися від виявлення, - сказав керівник відділу безпеки персональних систем в HP Inc. - Організації потрібен багатошаровий підхід до безпеки кінцевих точок, який дотримується принципів Zero Trust для стримування і запобігання найбільш Поширені вектори атак, включаючи електронну пошту, браузер і атаки завантаження. Це дозволить мінімізувати ймовірність атак для цілих класів загроз, забезпечивши організаціям необхідний часовий проміжок для своєчасного усунення вразливостей без шкоди для бізнес-процесів».

Дані, використані в цьому звіті, були зібрані з віртуальних машин користувачів HP Wolf Security в період з липня по вересень 2021 року.

Інші новини

Найкраща ціна