Spoločnosť HP zverejňuje svoju štvrťročnú správu HP Wolf Security Threat Insights. Tá ukazuje, že útočníci aktuálne zneužívajú najmä otvorené presmerovanie, falošné faktúry a útoky využívajúce nástroje, ktoré sú bežnou súčasťou systému. Správa obsahuje analýzu skutočných kybernetických útokov a pomáha tak firmám držať krok s najnovšími metódami, ktoré kyberzločinci používajú v rýchlo sa meniacom prostredí.
Na základe analýzy dát z miliónov zariadení, na ktorých beží HP Wolf Security, výskumníci HP zozbierali nasledujúce zistenia:
- Útočníci využívajú otvorené presmerovanie používateľa, tzv. „cat-phishing„: v pokročilej kampani WikiLoader útočníci na obchádzanie detekčných systémov využili zraniteľnosti v otvorenom presmerovaní na webových stránkach. Používatelia boli najprv nasmerovaní na dôveryhodné stránky, často prostredníctvom reklamných banerov, aby potom boli nepozorovane presmerovaní na škodlivé stránky – to používateľom takmer znemožňovalo odhaliť takúto zmenu
- Život v „pozadí“: niekoľko kampaní zas zneužilo službu Windows Background Intelligent Transfer Service (BITS) – legitímny mechanizmus používaný programátormi a systémovými administrátormi pre sťahovanie alebo nahrávanie súborov na webové servery a zdieľané zložky. Technika „Living-off-the-Land“ tak pomohla útočníkom zostať neodhalenými, keď službu BITS zneužili na stiahutie škodlivých súborov.
- Falošné faktúry vedúce k útokom pomocou HTML: HP identifikovalo aj útočníkov, ktorí svoj malvér maskovali vo vnútri HTML súborov vydávaných za faktúry od dodávateľov. Keď ich používateľ otvoril vo webovom prehliadači, spustili reťazec aktivít, pri ktorých bol nasadený open-source malware AsyncRAT. Zaujímavé je, že útočníci venovali len pomerne malú pozornosť dizajnu svojich falošných faktúr, čo naznačuje, že útok bol vytvorený len s minimálnou investíciou času a zdrojov.
Patrick Schläpfer, hlavný výskumník v tíme výskumu hrozieb spoločnosti HP Wolf Security, to komentuje nasledovne: „Cielenie na firmy s pomocou falošných faktúr je jedným z najstarších trikov, ale môže byť stále veľmi účinný. Zamestnanci finančných oddelení sú na prijímanie faktúr cez e-mail zvyknutí takže je často pravdepodobné, že ich naozaj otvoria. Ak sú útočníci úspešní, môžu rýchlo speňažiť získaný prístup prostredníctvom predaja kybernetickým brokerom alebo nasadením ransomvéru.“
Správa podrobne popisuje, ako kyberzločinci naďalej diverzifikujú metódy útokov, aby obišli bezpečnostné politiky a nástroje na detekciu. Medzi ďalšie zistenia patria nasledujúce štatistiky:
- Najmenej 12 % e-mailových hrozieb identifikovaných nástrojom HP Sure Click obišlo jeden alebo viac skenerov na e-mailových bránach
- Najčastejšími zdrojmi hrozieb boli v poslednom štvrťroku prílohy e-mailov (53 %), stiahnuté súbory z prehliadačov (25 %) a ďalšie vektory infekcie, ako sú vymeniteľné úložiská (napríklad USB flash disky) a zdieľané súbory (22 %)
- V tomto štvrťroku sa najmenej 65 % hrozieb spojených s dokumentmi spoliehalo na spustenie kódu, nie na makrá
Ian Pratt globálny šéf bezpečnosti osobných systémov v HP Inc., k tomu hovorí: „Techniky využívajúce existujúce nástroje v operačných systémoch odhaľujú základné nedostatky prístupu, ktorý sa spolieha iba na detekciu. Keďže útočníci používajú legitímne nástroje v systéme, hrozby je ťažké odhaliť bez toho, aby sa objavilo mnoho rušivých falošných poplachov. Obmedzenie hrozieb poskytuje ochranu aj vtedy, keď detekcia zlyhá, zabraňuje úniku alebo zničeniu používateľských dát či prihlasovacích údajov a bráni zotrvaniu útočníkov v systéme. Preto by organizácie mali pristupovať k bezpečnosti systematicky a komplexne, napríklad izolovať a obmedzovať vysokorizikové aktivity, čo povedie k zúženiu možností na potenciálny útok.“