Spoločnosť HP Inc. oznámila, že jej tím na výskum hrozieb, HP Wolf Security, zaznamenal v 1. štvrťroku 2022 v porovnaní so 4. štvrťrokom v roku 2021, keď sa na scéne prvýkrát objavil Emotet, 27-násobný nárast detekcií útokov vedených prostredníctvom škodlivých spamových kampaní.
Najnovšia globálna správa HP Wolf Security Threat Insights Report, ktorá prináša prehľad reálnych kybernetických útokov, uvádza, že Emotet v rebríčku útokov vystúpil o 36 miest a stal sa v tomto štvrťroku najčastejšie detegovaným typom malwaru – na jeho konto pripadá 9 % všetkých zachytených malwarových útokov.
Príčinou 879 % nárastu zachytených vzoriek malwaru šíreného prostredníctvom súborov .XLSM (Microsoft Excel), v porovnaní s minulým štvrťrokom, bola z veľkej časti jedna z útočných kampaní cieliacich na japonské organizácie, ktorá prostredníctvom klamlivých e-mailov prinútila príjemcu infikovať vlastné počítače.
Vďaka izolácii hrozieb, ktoré dokázali obísť detekčné nástroje a prenikli až na koncové zariadenia užívateľov, má HP Wolf Security detailný prehľad o najnovších technikách používaných kybernetickými zločincami. Nižšie uvádzame najvýznamnejšie príklady zachytených kybernetických útokov:
- V súvislosti s postupným odklonom od používania makier rastie obľuba horšie detegovateľných alternatív infikovaných dokumentov Microsoft Office: Keďže spoločnosť Microsoft začala v dokumentoch svojho kancelárskeho balíka zakazovať makrá, zaznamenala spoločnosť HP v porovnaní s minulým štvrťrokom nárast formátov, ktoré nie sú založené na balíku MS Office, vrátane škodlivých súborov Java Archive (nárast o 476 %) a súborov JavaScript (nárast o 42 %). Proti takýmto útokom sa organizácia horšie bráni, pretože miera detekcie týchto typov súborov je často nízka, čo zvyšuje pravdepodobnosť infekcie.
- Na vzostupe je „vpašovanie“ škodlivého HTML kódu: Priemerná veľkosť škodlivých HTML súborov vzrástla z 3 kB na 12 kB, čo poukazuje na čoraz častejšiu snahu o „vpašovanie“ škodlivého HTML kódu. Ide o techniku, pri ktorej kybernetickí zločinci vkladajú malware priamo do súborov HTML, aby obišli e-mailové brány a vyhli sa detekcii, čím by mohli získať prístup k dôležitým finančným informáciám a zmocniť sa ich. Nedávno vedené útočné kampane sa zameriavali na latinskoamerické a africké banky.
- Útočné kampane prostredníctvom malwaru „dva v jednom“ vedú k viacnásobným infekciám RAT: Zistilo sa, že útok pomocou skriptu Visual Basic bol použitý na inicializáciu útočného reťazca, ktorý spôsobuje viacnásobnú infekciu rovnakého zariadenia, čo útočníkom umožňuje získať trvalý prístup k infikovaným systémom pomocou nástrojov VW0rm, NjRAT a AsyncRAT.
„Naše údaje za 1. štvrťrok ukazujú, že sa stretávame so zďaleka najintenzívnejšou aktivitou, akú sme pri Emotete zaznamenali od začiatku roka 2021, keď bola táto hackerská skupina zlikvidovaná. Je to jasný signál, že sa prevádzkovatelia tejto kyberzločineckej siete reorganizujú, znovu posilňujú a investujú do budovania botnetu. Americká agentúra pre kybernetickú bezpečnosť (CISA) už predtým označila Emotet za jeden z najničivejších typov malwaru, pri ktorom je náprava napáchaných škôd najnákladnejšia. Prevádzkovatelia tejto siete často spolupracujú so skupinami využívajúcimi na svoje útoky ransomware, čo sa dá očakávať aj naďalej. Ich návrat teda pre podniky aj verejný sektor znamená zlú správu,“ vysvetľuje Alex Holland, samostatný malwarový analytik výskumného tímu kybernetických hrozieb divízie HP Wolf Security spoločnosti HP Inc.
Tieto zistenia vychádzajú z údajov z mnohých miliónov koncových zariadení vybavených systémom HP Wolf Security. Ten pátra po existencii malwaru spúšťaním rizikových úloh v izolovaných mikrovirtuálnych počítačoch (micro-VM), aby ochránil používateľov, pochopil a zachytil celý reťazec infekcie a prispel k zmierneniu hrozieb, ktoré unikli pozornosti ostatných bezpečnostných nástrojov. Do tejto chvíle klikli zákazníci HP na viac ako 18 miliárd e-mailových príloh, webových stránok a súborov na stiahnutie bez toho, aby došlo k narušeniu bezpečnosti. Tieto údaje poskytujú jedinečné informácie o tom, ako pôvodcovia kybernetických hrozieb malware skutočne využívajú.
Ďalšie kľúčové zistenia uvedené v správe:
- Deväť percent hrozieb nebolo v čase ich izolácie známych ešte z minulosti, pričom 14 % izolovaného e-mailového malwaru obišlo aspoň jeden skenovací program e-mailovej brány.
- V priemere trvalo viac ako 3 dni (79 hodín), než tento malware rozpoznali podľa hasha ďalšie bezpečnostné nástroje.
- Štyridsaťpäť percent škodlivého softvéru izolovaného nástrojom HP Wolf Security predstavovali súborové formáty Office.
- Pri pokusoch o infikovanie organizácií použili útočníci 545 rôznych rodín malwaru, pričom na prvých troch miestach boli Emotet, AgentTesla a Nemucod.
- Zneužitie Editora rovníc spoločnosti Microsoft (CVE-2017-11882) predstavovalo 18 % všetkých zachytených škodlivých vzoriek.
- Šesťdesiatdeväť percent zisteného škodlivého softvéru bolo doručených e-mailom, 18 % pripadá na sťahovanie z webu. Najčastejšími prílohami používanými na doručenie malwaru boli textové dokumenty (29 %), archívy (28 %), spustiteľné súbory (21 %) a tabuľky (20 %).
- Najčastejšími prílohami používanými na doručenie malwaru boli tabuľky (33 %), spustiteľné súbory a skripty (29 %), archívy (22 %) a textové dokumenty (11 %).
- Najčastejšie phishingové návnady sa objavovali v podobe obchodných transakcií, napr. pod titulmi „Objednávka“, „Platba“, „Nákup“, „Žiadosť“ a „Faktúra“.
„V tomto štvrťroku sme zaznamenali významný nárast – 27 % – objemu kybernetických hrozieb zachytených nástrojom HP Wolf Security. S tým, ako kybernetickí zločinci pozmeňujú svoje prístupy v reakcii na zmeny v prostredí IT, sa neustále zvyšuje objem a rozmanitosť útokov, a pre bežné nástroje je čoraz ťažšie útoky odhaliť,“ podotýka Dr. Ian Pratt, globálny riaditeľ pre zabezpečenie osobných systémov spoločnosti HP Inc.
Zásluhou izolácie hrozieb, ktoré dokázali obísť detekčné nástroje a prenikli až na koncové zariadenia užívateľov, má HP Wolf Security detailný prehľad o najnovších technikách používaných kybernetickými zločincami.
Tím HP Wolf Security bude o správe Threat Insights za 1. štvrťrok 2022 diskutovať na webinári 7. júna o 8:00 PDT. Podrobnejšie informácie sa dozviete tu.
Informácie o spracovávaných údajoch
Tieto dáta boli anonymne zhromaždené vo virtuálnych počítačoch zákazníkov využívajúcich nástroj HP Wolf Security v období január – marec 2022.