cyberbezpieczeństwo

Cyberprzestępcy coraz sprytniejsi – chmura i nowe przekręty na porządku dziennym

4 minuty czytania
Komentarze

Cyberprzestępcy nie cofną się przed niczym, by dopiąć swojego celu. Wykorzystują różne metody, by podejść użytkownika i obejść systemy zabezpieczeń. Nawet w przypadku tak popularnych rozwiązań chmurowych, jak OneDrive. Zespół HP odpowiedzialny za wykrywanie cyber zagrożeń przygotował specjalny raport, w którym pokazuje, że mało kto może czuć się bezpieczny.

Cyberprzestępcy coraz sprytniejsi

cyberbezpieczeństwo

Zespół do spraw analizy zagrożeń HP Wolf Security stworzył nowy raport Threat Insights. Tam zwraca uwagę m.in. na niebezpieczeństwo, które niosą luki zero-day. Chodzi o luki w dopiero co wypuszczonym oprogramowaniu, które jeszcze nie zostały załatane, a już są wykorzystywane przez hakerów. Zespół HP wykrył taką lulkę w Microsoft Office na tydzień przed tym, zanim pojawił się patch ją łatający. Exploit umożliwiał hakerom wykorzystanie luki przy minimalnym zaangażowaniu samego użytkownika. Ci nie musieli otwierać nawet pliku, a wystarczyło go wyświetlić w eksploratorze plików. Po zainicjowaniu ataku hakerzy mogli instalować oprogramowanie typu Backdoor, które następnie mogło być wykorzystane do ataków ransomware. Takie luki zero-day to niestety spore wyzwanie dla osób zajmujących się cyberbezpieczeństwem w sieci.

Średni czas, w którym firma musi zastosować, przetestować i w pełni wdrożyć poprawki z odpowiednimi kontrolami, wynosi 97 dni, co daje cyberprzestępcom możliwość wykorzystania tego „okna”. Chociaż na początku tylko wysoce zdolni hakerzy mogli wykorzystać taką lukę, zautomatyzowane skrypty obniżyły „poziom trudności”, czyniąc ataki dostępnymi dla mniej świadomych i dysponujących gorszymi zasobami cyberprzestępców. Zwiększa to znacznie ryzyko dla firm, ponieważ exploity luki są udostępniane na rynku masowym w miejscach takich jak podziemne fora. Exploity są zazwyczaj skuteczne w unikaniu narzędzi do wykrywania zagrożeń, ponieważ sygnatury mogą być niedoskonałe i szybko stają się przestarzałe, gdy zmienia się zrozumienie zakresu exploita. Spodziewamy się, że cyberprzestępcy włączą CVE-2021-40444 do puli swoich narzędzi, a potencjalnie nawet zastąpią one popularne exploity używane dziś do uzyskania początkowego dostępu do systemów, takie jak te wykorzystujące Equation Editor.

Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team, HP Inc.

Zobacz też: Nowe karty rozszerzeń do Xbox Series X.

Samo wykrywanie zagrożeń to za mało

Raport HP Wolf Security zwraca uwagę na to, że samo wykrywanie i przechwytywanie zagrożeń nie zawsze zdaje egzamin. Rynek zmienił się na tyle, że samo przechwytywanie zagrożeń może nie wystarczyć. 12% takiego przechwyconego złośliwego oprogramowania było wcześniej nieznane. Tyle samo procent ominęło przynajmniej jeden skaner i dotarło do użytkownika końcowego. Dalej najczęstszym sposobem dostarczania takiego oprogramowania jest poczta e-mail (89%). Rozwiązaniem może być badanie takich zagrożeń z wykorzystaniem odizolowanych, mikrowirtulanych maszyn (micro Virtual Machines – micro VMs), by lepiej zrozumieć sposób działania przestępców. A takie sposoby działania ciągle są modyfikowane. Poniżej możecie znaleźć przykłady niektórych ataków, a pełną treść raportu znajdziecie TUTAJ.

Metody działania cyberprzestępców

  • Wykorzystanie legalnych dostawców usług chmurowych i internetowych do przesyłania szkodliwego oprogramowania: W niedawnej kampanii GuLoader przestępcy przesyłali trojana zdalnego dostępu Remcos (RAT) na platformy, takie jak OneDrive, aby uniknąć systemów wykrywania włamań i przejścia testów białej listy. HP Wolf Security odkrył również, że wiele rodzin złośliwego oprogramowania jest hostowanych na platformach społecznościowych do gier, takich jak Discord.
  • Złośliwe oprogramowanie JavaScript wymykające się narzędziom do wykrywania zagrożeń: Hakerzy rozprzestrzeniają RAT JavaScript za pośrednictwem złośliwych załączników do wiadomości e-mail. Programy do pobierania JavaScript mają niższy współczynnik wykrywania niż programy do pobierania pakietu Office lub pliki binarne. RAT są coraz powszechniejsze, ponieważ atakujący dążą do kradzieży danych uwierzytelniających do kont firmowych lub portfeli kryptograficznych.
  • Podszywanie się pod Ugandyjski Narodowy Fundusz Ubezpieczeń Społecznych: Atakujący wykorzystali „typosquatting” – stosując sfałszowany adres internetowy podobny do oficjalnej nazwy domeny – aby zwabić ofiary na stronę, która pobiera złośliwy dokument Word. Wykorzystuje makra do uruchamiania skryptu PowerShell, który blokuje rejestrowanie zabezpieczeń i omija funkcję Windows Antimalware Scan Interface.
  • Przełączanie na pliki HTA rozprzestrzenia szkodliwe oprogramowanie jednym kliknięciem: Trojan Trickbot jest teraz dostarczany za pośrednictwem plików HTA (aplikacji HTML), wdrażając szkodliwe oprogramowanie zaraz po otwarciu załącznika lub pliku achive, który je zawiera. Złośliwe pliki HTA, ze względu na swój rzadki charakter, są mniej narażone na wykrycie przez narzędzia do identyfikowania zagrożeń.

Źródło: HP informacja prasowa

Motyw