Η HP ανακοίνωσε ότι η ερευνητική ομάδα απειλών HP Wolf Security εντόπισε αύξηση κατά 27 φορές στους εντοπισμούς που προέρχονται από κακόβουλες καμπάνιες ανεπιθύμητης αλληλογραφίας Emotet το 1ο τρίμηνο του 2022, σε σύγκριση με 4ο τρίμηνο 2021 – όταν το Emotet επανεμφανίστηκε για πρώτη φορά. Η πιο πρόσφατη παγκόσμια έκθεση HP Wolf Security Threat Insights – η οποία παρέχει ανάλυση επιθέσεων κυβερνοασφάλειας στον πραγματικό κόσμο – δείχνει ότι το Emotet έχει αναρριχηθεί 36 θέσεις στην κατάταξη, για να γίνει η πιο συνηθισμένη οικογένεια κακόβουλου λογισμικού που εντοπίστηκε αυτό το τρίμηνο (που αντιπροσωπεύει το 9% όλων των κακόβουλων προγραμμάτων που καταγράφηκαν). Μία από αυτές τις καμπάνιες –η οποία στόχευε ιαπωνικούς οργανισμούς και περιελάμβανε κλοπή μηνυμάτων ηλεκτρονικού ταχυδρομείου για να εξαπατήσει τους παραλήπτες ώστε να μολύνουν τους υπολογιστές τους– ήταν σε μεγάλο βαθμό υπεύθυνη για την κατά 879% αύξηση των δειγμάτων κακόβουλου λογισμικού .XLSM (Microsoft Excel) που καταγράφηκαν σε σύγκριση με το προηγούμενο τρίμηνο.
Απομονώνοντας απειλές που έχουν αποφύγει τα εργαλεία ανίχνευσης και έχουν φτάσει στα τελικά σημεία των χρηστών, η HP Wolf Security έχει συγκεκριμένες πληροφορίες για τις πιο πρόσφατες τεχνικές που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου. Αξιοσημείωτα παραδείγματα περιλαμβάνουν:
- Οι μυστικές εναλλακτικές λύσεις για κακόβουλα έγγραφα του Microsoft Office γίνονται δημοφιλείς, καθώς οι μακροεντολές αρχίζουν να καταργούνται σταδιακά: Καθώς η Microsoft έχει αρχίσει να απενεργοποιεί τις μακροεντολές, η HP έχει σημειώσει αύξηση σε μορφές που δεν βασίζονται στο Office, συμπεριλαμβανομένων κακόβουλων αρχείων Java Archive (+476%) και JavaScript αρχεία (+42%) σε σύγκριση με το προηγούμενο τρίμηνο. Τέτοιες επιθέσεις καθιστούν πιο δύσκολο για τους οργανισμούς να αμυνθούν, επειδή τα ποσοστά ανίχνευσης για αυτούς τους τύπους αρχείων είναι συχνά χαμηλά, αυξάνοντας την πιθανότητα μόλυνσης.
- Τα σημάδια δείχνουν ότι το λαθρεμπόριο HTML βρίσκεται σε άνοδο: Το μέσο μέγεθος αρχείου των απειλών HTML αυξήθηκε από 3KB σε 12KB, υποδηλώνοντας αύξηση της χρήσης λαθρεμπορίου HTML, μια τεχνική όπου οι εγκληματίες του κυβερνοχώρου ενσωματώνουν κακόβουλο λογισμικό απευθείας σε αρχεία HTML για να παρακάμψουν τις πύλες email και να αποφύγουν τον εντοπισμό, πριν αποκτήσουν πρόσβαση και κλέψουν κρίσιμες οικονομικές πληροφορίες. Πρόσφατες καμπάνιες παρατηρήθηκαν με στόχο τράπεζες της Λατινικής Αμερικής και της Αφρικής.
- Η καμπάνια κακόβουλου λογισμικού “Two for One” οδηγεί σε πολλαπλές μολύνσεις RAT: Μια επίθεση σεναρίου της Visual Basic βρέθηκε ότι χρησιμοποιείται για την έναρξη μιας αλυσίδας μολύνσεων που οδηγεί σε πολλαπλές μολύνσεις στην ίδια συσκευή, δίνοντας στους εισβολείς επίμονη πρόσβαση στα συστήματα των θυμάτων με VW0rm, NjRAT και AsyncRAT.
«Τα δεδομένα μας για το 1ο τρίμηνο δείχνουν ότι αυτή είναι μακράν η μεγαλύτερη δραστηριότητα που έχουμε δει από την Emotet από τότε που διακόπηκε ο όμιλος στις αρχές του 2021 – ένα σαφές μήνυμα ότι οι χειριστές του ανασυγκροτούνται, ενισχύουν τη δύναμή τους και επενδύουν στην ανάπτυξη του botnet. Το Emotet είχε περιγραφεί κάποτε από την CISA ως ένα από τα πιο καταστροφικά και δαπανηρά κακόβουλα προγράμματα για αποκατάσταση και οι χειριστές του συχνά συνεργάζονται με ομάδες ransomware, ένα μοτίβο που αναμένουμε πως θα συνεχιστεί. Επομένως, η επανεμφάνισή τους είναι κακά νέα για τις επιχειρήσεις και τον δημόσιο τομέα», εξηγεί ο Alex Holland, Senior Malware Analyst, HP Wolf Security threat research team της HP Inc. “Το Emotet συνέχισε επίσης να ευνοεί τις επιθέσεις με δυνατότητα μακροεντολών – ίσως για να δέχεται επιθέσεις πριν από την προθεσμία της Microsoft τον Απρίλιο ή απλώς επειδή οι άνθρωποι εξακολουθούν να έχουν ενεργοποιημένες τις μακροεντολές και μπορούν να εξαπατηθούν ώστε να κάνουν click σε λάθος πράγμα.”
Τα ευρήματα βασίζονται σε δεδομένα από πολλά εκατομμύρια τερματικά σημεία που λειτουργούν το HP Wolf Security. Το HP Wolf Security παρακολουθεί κακόβουλο λογισμικό ανοίγοντας επικίνδυνες εργασίες σε μεμονωμένες, μικρο-εικονικές μηχανές (micro-VMs) για να προστατεύει τον χρήστη και να κατανοεί και να καταγράφει την πλήρη αλυσίδα απόπειρας μόλυνσης, μετριάζοντας τις απειλές που έχουν περάσει από άλλα εργαλεία ασφαλείας. Μέχρι σήμερα, οι πελάτες της HP έχουν κάνει click σε περισσότερα από 18 δισεκατομμύρια συνημμένα email, ιστοσελίδες και λήψεις χωρίς να έχουν αναφερθεί παραβιάσεις1 . Αυτά τα δεδομένα παρέχουν μοναδικές πληροφορίες σχετικά με τον τρόπο με τον οποίο οι φορείς απειλών χρησιμοποιούν κακόβουλο λογισμικό στη φύση.
Περαιτέρω βασικά ευρήματα της έκθεσης περιλαμβάνουν:
- Το 9% των απειλών δεν είχαν εμφανιστεί πριν τη στιγμή που απομονώθηκαν, με το 14% των κακόβουλων προγραμμάτων email που απομονώθηκαν να έχουν παρακάμψει τουλάχιστον έναν σαρωτή πύλης email.
- Χρειάστηκαν πάνω από 3 ημέρες (79 ώρες), κατά μέσο όρο, για να γίνει γνωστός με κατακερματισμό σε άλλα εργαλεία ασφαλείας.
- Το 45% του κακόβουλου λογισμικού που απομονώθηκε από το HP Wolf Security ήταν μορφές αρχείων του Office.
- Οι απειλές χρησιμοποίησαν 545 διαφορετικές οικογένειες κακόβουλου λογισμικού στις προσπάθειές τους να μολύνουν οργανισμούς, με τις Emotet, AgentTesla και Nemucod να είναι οι τρεις πρώτες.
- Η απειλή του Microsoft Equation Editor (CVE-2017-11882) αντιπροσώπευε το 18% όλων των κακόβουλων δειγμάτων που καταγράφηκαν.
- Το 69% του κακόβουλου λογισμικού που εντοπίστηκε παραδόθηκε μέσω email, ενώ οι λήψεις από το διαδίκτυο ήταν υπεύθυνες για το 18%. Τα πιο συνήθη συνημμένα που χρησιμοποιήθηκαν για την παράδοση κακόβουλου λογισμικού ήταν έγγραφα (29%), αρχεία (28%), εκτελέσιμα αρχεία (21%), υπολογιστικά φύλλα (20%).
- Τα πιο κοινά συνημμένα που χρησιμοποιήθηκαν για την παράδοση κακόβουλου λογισμικού ήταν υπολογιστικά φύλλα (33%), εκτελέσιμα αρχεία και σενάρια (29%), αρχεία (22%) και έγγραφα (11%).
- Τα πιο συνηθισμένα μηνύματα phishing αφορούσαν επιχειρηματικές συναλλαγές όπως «Παραγγελία», «Πληρωμή», «Αγορά», «Αίτημα» και «Τιμολόγιο».
Αυτό το τρίμηνο είδαμε σημαντική αύξηση 27% στον όγκο των απειλών που καταγράφηκαν από το HP Wolf Security. Καθώς οι εγκληματίες του κυβερνοχώρου τροποποιούν τις προσεγγίσεις τους ως απάντηση στις αλλαγές στο τοπίο της πληροφορικής, ο όγκος και η ποικιλία των επιθέσεων συνεχίζει να αυξάνεται και γίνεται πιο δύσκολο για τα συμβατικά εργαλεία να ανιχνεύουν επιθέσεις», σχολιάζει ο Dr. Ian Pratt, Global Head of Security for Personal Systems της HP Inc. «Με την αφομοίωση εναλλακτικών τύπων αρχείων και τεχνικών που χρησιμοποιούνται για την παράκαμψη της ανίχνευσης, οι οργανισμοί πρέπει να αλλάξουν πορεία και να ακολουθήσουν μια πολυεπίπεδη προσέγγιση για την ασφάλεια του τελικού σημείου (endpoint). Εφαρμόζοντας την αρχή των ελάχιστων προνομίων και απομονώνοντας τα πιο κοινά διανύσματα απειλής – από email, προγράμματα περιήγησης ή λήψεις – καθιστώντας το κακόβουλο λογισμικό που παρέχεται μέσω αυτών των φορέων ακίνδυνο. Αυτό μειώνει δραματικά την έκθεση των οργανισμών στον κίνδυνο από απειλές στον κυβερνοχώρο».
Απομονώνοντας απειλές που έχουν αποφύγει τα εργαλεία ανίχνευσης και έχουν φτάσει στα τελικά σημεία των χρηστών, η HP Wolf Security έχει συγκεκριμένες πληροφορίες για τις πιο πρόσφατες τεχνικές που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου.
Η ομάδα HP Wolf Security θα συζητήσει την έκθεση Threat Insights για το Q1 σε ένα διαδικτυακό σεμινάριο στις 7 Ιουνίου στις 8 π.μ. PDT. Μπορείτε να μάθετε περισσότερα εδώ.