HP випустила звіт HP Wolf Security Threat Insights Report з аналізом кібератак у четвертому кварталі 2021 року

Вивчивши загрози, які вдалося обійти системи безпеки і дійшли до кінцевих пристроїв користувачів, фахівці HP Wolf Security зробили висновки про новітні методи атаки, які використовували кіберзлочинці.

Дослідницька група HP Wolf Security виявила хвилю атак за допомогою надбудов Excel, за допомогою яких зловмисники поширюють шкідливий код і отримують доступ до пристроїв і мереж, щоб потім вкрасти дані підприємств або приватних осіб. Кількість зловмисників, які використовують шкідливі файли надбудов Microsoft Excel (.xll) для зараження систем своїх жертв, зросла майже в 7 разів в порівнянні з  минулим кварталом. Такі атаки виявилися дуже небезпечними, адже для початку роботи шкідливих програм досить просто натиснути на файл, відправлений кіберзлочинцем. Також команда знайшла в даркнеті оголошення для «крапельниць» (програмне забезпечення для доставки і запуску .xll файлів) і цілі комплекти для створення програм, що полегшують недосвідченим зловмисникам проведення подібних кампаній.

Під час нещодавньої спам-кампанії QakBot зловмисники розповсюджували файли Excel через скомпрометовані облікові записи електронної пошти. Злочинці перехоплювали електронні листи і надсилали підроблені повідомлення-відповіді зі шкідливим вкладеним файлом Excel (.xlsb). Після доставки на пристрій жертви QakBot вбудовується в процеси ОС, щоб уникнути виявлення. Шкідливі файли Excel (.xls) також використовувалися для поширення банківського трояна Ursnif на італійськомовні підприємства та організації державного сектору за допомогою спаму. При цьому зловмисники видавали себе за співробітників італійської кур'єрської служби РРТ. Нові кампанії зі шкідливим програмним забезпеченням Emotet тепер також використовують Excel замість файлів JavaScript або Word.

Інші помітні загрози, виявлені HP Wolf Security, такі:

• можливе повернення ТА505. HP виявила фішингову кампанію MirrorBlast, в якій хакери використовували ті ж тактики, методи і процедури, що і TA505 – група зловмисників, відома масовими кампаніями з поширенням шкідливого спаму і монетизацією доступу до заражених систем за допомогою програм-вимагачів. Нова кампанія націлена на організації та використовує Троян дистанційного доступу FlawedGrace (RAT);
• підроблена ігрова платформа, яка поширює шкідливий код RedLine. Фахівці HP виявили підроблений веб-сайт з клієнтом Discord, зараженим кодом RedLine, який вкрав дані користувача;
• використання хакерами незвичайних типів файлів як і раніше дозволяє обійти системи безпеки. Кіберзлочинна група Aggah вибирає жертвами корейськомовні організації і використовує шкідливі файли надбудов PowerPoint (.ppa), замасковані під замовлення клієнтів на зараження систем троянцями віддаленого доступу. Атаки через поширення заражених файлів PowerPoint є дуже непопулярним вибором і становлять всього 1% шкідливих програм.

«Використання стандартних функцій програмного забезпечення в злочинних цілях є поширеною тактикою для зловмисників, щоб уникнути виявлення – як і використання незвичайних типів файлів, які здатні просочуватися через поштові шлюзи, не виявляючи себе. Силовим відомствам не варто покладатися виключно на технології виявлення вторгнень : важливо уважно стежити за появою нових загроз і відповідно оновлювати їх захист. Так, з огляду на сплеск поширення шкідливих файлів .xll, який ми спостерігаємо сьогодні, настійно рекомендуємо мережевим адміністраторам налаштовувати шлюзи електронної пошти для блокування вхідних вкладень .xll, роблячи винятки тільки для надбудов від перевірених партнерів, або повністю відключати надбудови Excel », - прокоментував старший аналітик шкідливих програм в групі дослідження загроз HP Wolf Security, HP Inc. - Зловмисники постійно шукають нові інструменти, щоб уникнути виявлення. Ось чому важливо, щоб підприємства будували та коригували свої системи безпеки на основі ландшафту загроз та  потреб бізнесу своїх користувачів. Зловмисники сьогодні активно використовують такі методи атаки, як перехоплення кореспонденції в електронній пошті , що ще більше ускладнює користувачам відмінність колег і партнерів від злочинців ».

Висновки звіту ґрунтуються на аналізі багатьох мільйонів кінцевих точок під керуванням програмного забезпечення HP Wolf Security.  Шкідливе програмне забезпечення HP відстежує шкідливе програмне забезпечення, відкриваючи завантаження на ізольованих мікровіртуальних машинах (мікро-віртуальних машинах), щоб вивчити механіку зараження. Розуміння поведінки шкідливих програм у природному середовищі дозволяє дослідникам та інженерам HP Wolf Security посилити захист кінцевих точок та підвищити стабільність системи.

За допомогою програмного забезпечення HP Wolf Security клієнти змогли відкрити понад 10 мільярдів вкладень електронної пошти, веб-сторінок та завантажених файлів без будь-яких виправлених витоків.

Інші ключові висновки дослідження включають:

• 13% ізольованих шкідливих скриптів, надісланих електронною поштою, обійшли хоча б один сканер безпеки на поштовому шлюзі.
• Намагаючись заразити комп'ютери організацій, зловмисники використовували 136 різних розширень файлів;
• 77% виявлених шкідливих програм доставлялися електронною поштою, тоді як завантаження з інтернету становили лише 13% з них;
• Найпоширенішими вкладеннями, які використовувалися для доставки шкідливих програм, були документи (29%), архіви (28%), файли .exe (21%) та електронні таблиці (20%).
• найпоширенішими фішинговими приманками були листи, пов'язані з Новим роком або господарськими операціями, наприклад, з такими темами, як «Замовлення», «2021/2022», «Оплата», «Купівля», «Заявка» і «Рахунок-фактура».

"Сьогодні зловмисники низького рівня можуть здійснювати приховані атаки та продавати доступ організованим групам кіберзлочинців, які використовують у своїй діяльності програми-вимагачі. В результаті це призводить до масштабних атак, які можуть вивести з ладу IT-системи і привести до відключення всієї організації », - коментує глобальний глава відділу безпеки персональних систем HP Inc. - Організації повинні зосередитися на зменшенні поверхні атак і забезпеченні швидкого відновлення своїх систем в разі їх компромісу. Це означає дотримання принципів Zero Trust і введення строгих систем ідентифікації, надання мінімальних привілеїв користувачам і ізоляційних пристроїв, починаючи з апаратного рівня ».

Інші новини