HP Wolf Security: Άνοδος 27% στις συνολικές απειλές κυβερνοασφάλειας

Η ερευνητική ομάδα απειλών HP Wolf Security της HP Inc. εντόπισε αύξηση κατά 27 φορές στους εντοπισμούς που προέρχονται από κακόβουλες καμπάνιες ανεπιθύμητης αλληλογραφίας Emotet το 1ο τρίμηνο του 2022, σε σύγκριση με 4ο τρίμηνο 2021 – όταν το Emotet επανεμφανίστηκε για πρώτη φορά.

Η πιο πρόσφατη παγκόσμια έκθεση HP Wolf Security Threat Insights – η οποία παρέχει ανάλυση επιθέσεων κυβερνοασφάλειας στον πραγματικό κόσμο – δείχνει ότι το Emotet έχει αναρριχηθεί 36 θέσεις στην κατάταξη, για να γίνει η πιο συνηθισμένη οικογένεια κακόβουλου λογισμικού που εντοπίστηκε αυτό το τρίμηνο (που αντιπροσωπεύει το 9% όλων των κακόβουλων προγραμμάτων που καταγράφηκαν).

Μία από αυτές τις καμπάνιες –η οποία στόχευε ιαπωνικούς οργανισμούς και περιελάμβανε κλοπή μηνυμάτων ηλεκτρονικού ταχυδρομείου για να εξαπατήσει τους παραλήπτες ώστε να μολύνουν τους υπολογιστές τους– ήταν σε μεγάλο βαθμό υπεύθυνη για την κατά 879% αύξηση των δειγμάτων κακόβουλου λογισμικού .XLSM (Microsoft Excel) που καταγράφηκαν σε σύγκριση με το προηγούμενο τρίμηνο.

Απομονώνοντας απειλές που έχουν αποφύγει τα εργαλεία ανίχνευσης και έχουν φτάσει στα τελικά σημεία των χρηστών, η HP Wolf Security έχει συγκεκριμένες πληροφορίες για τις πιο πρόσφατες τεχνικές που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου. Αξιοσημείωτα παραδείγματα περιλαμβάνουν:

• Οι μυστικές εναλλακτικές λύσεις για κακόβουλα έγγραφα του Microsoft Office γίνονται δημοφιλείς, καθώς οι μακροεντολές αρχίζουν να καταργούνται σταδιακά: Καθώς η Microsoft έχει αρχίσει να απενεργοποιεί τις μακροεντολές, η HP έχει σημειώσει αύξηση σε μορφές που δεν βασίζονται στο Office, συμπεριλαμβανομένων κακόβουλων αρχείων Java Archive (+476%) και JavaScript αρχεία (+42%) σε σύγκριση με το προηγούμενο τρίμηνο. Τέτοιες επιθέσεις καθιστούν πιο δύσκολο για τους οργανισμούς να αμυνθούν, επειδή τα ποσοστά ανίχνευσης για αυτούς τους τύπους αρχείων είναι συχνά χαμηλά, αυξάνοντας την πιθανότητα μόλυνσης.
• Τα σημάδια δείχνουν ότι το λαθρεμπόριο HTML βρίσκεται σε άνοδο: Το μέσο μέγεθος αρχείου των απειλών HTML αυξήθηκε από 3KB σε 12KB, υποδηλώνοντας αύξηση της χρήσης λαθρεμπορίου HTML, μια τεχνική όπου οι εγκληματίες του κυβερνοχώρου ενσωματώνουν κακόβουλο λογισμικό απευθείας σε αρχεία HTML για να παρακάμψουν τις πύλες email και να αποφύγουν τον εντοπισμό, πριν αποκτήσουν πρόσβαση και κλέψουν κρίσιμες οικονομικές πληροφορίες. Πρόσφατες καμπάνιες παρατηρήθηκαν με στόχο τράπεζες της Λατινικής Αμερικής και της Αφρικής.
• Η καμπάνια κακόβουλου λογισμικού “Two for One” οδηγεί σε πολλαπλές μολύνσεις RAT: Μια επίθεση σεναρίου της Visual Basic βρέθηκε ότι χρησιμοποιείται για την έναρξη μιας αλυσίδας μολύνσεων που οδηγεί σε πολλαπλές μολύνσεις στην ίδια συσκευή, δίνοντας στους εισβολείς επίμονη πρόσβαση στα συστήματα των θυμάτων με VW0rm, NjRAT και AsyncRAT.

Τα ευρήματα βασίζονται σε δεδομένα από πολλά εκατομμύρια τερματικά σημεία που λειτουργούν το HP Wolf Security. Το HP Wolf Security παρακολουθεί κακόβουλο λογισμικό ανοίγοντας επικίνδυνες εργασίες σε μεμονωμένες, μικρο-εικονικές μηχανές (micro-VMs) για να προστατεύει τον χρήστη και να κατανοεί και να καταγράφει την πλήρη αλυσίδα απόπειρας μόλυνσης, μετριάζοντας τις απειλές που έχουν περάσει από άλλα εργαλεία ασφαλείας.

Μέχρι σήμερα, οι πελάτες της HP έχουν κάνει click σε περισσότερα από 18 δισεκατομμύρια συνημμένα email, ιστοσελίδες και λήψεις χωρίς να έχουν αναφερθεί παραβιάσεις. Αυτά τα δεδομένα παρέχουν μοναδικές πληροφορίες σχετικά με τον τρόπο με τον οποίο οι φορείς απειλών χρησιμοποιούν κακόβουλο λογισμικό στη φύση.

Περαιτέρω βασικά ευρήματα της έκθεσης περιλαμβάνουν:

• Το 9% των απειλών δεν είχαν εμφανιστεί πριν τη στιγμή που απομονώθηκαν, με το 14% των κακόβουλων προγραμμάτων email που απομονώθηκαν να έχουν παρακάμψει τουλάχιστον έναν σαρωτή πύλης email.
• Χρειάστηκαν πάνω από 3 ημέρες (79 ώρες), κατά μέσο όρο, για να γίνει γνωστός με κατακερματισμό σε άλλα εργαλεία ασφαλείας.
• Το 45% του κακόβουλου λογισμικού που απομονώθηκε από το HP Wolf Security ήταν μορφές αρχείων του Office.
• Οι απειλές χρησιμοποίησαν 545 διαφορετικές οικογένειες κακόβουλου λογισμικού στις προσπάθειές τους να μολύνουν οργανισμούς, με τις Emotet, AgentTesla και Nemucod να είναι οι τρεις πρώτες.
• Η απειλή του Microsoft Equation Editor (CVE-2017-11882) αντιπροσώπευε το 18% όλων των κακόβουλων δειγμάτων που καταγράφηκαν.
• Το 69% του κακόβουλου λογισμικού που εντοπίστηκε παραδόθηκε μέσω email, ενώ οι λήψεις από το διαδίκτυο ήταν υπεύθυνες για το 18%. Τα πιο συνήθη συνημμένα που χρησιμοποιήθηκαν για την παράδοση κακόβουλου λογισμικού ήταν έγγραφα (29%), αρχεία (28%), εκτελέσιμα αρχεία (21%), υπολογιστικά φύλλα (20%).
• Τα πιο κοινά συνημμένα που χρησιμοποιήθηκαν για την παράδοση κακόβουλου λογισμικού ήταν υπολογιστικά φύλλα (33%), εκτελέσιμα αρχεία και σενάρια (29%), αρχεία (22%) και έγγραφα (11%).
• Τα πιο συνηθισμένα μηνύματα phishing αφορούσαν επιχειρηματικές συναλλαγές όπως «Παραγγελία», «Πληρωμή», «Αγορά», «Αίτημα» και «Τιμολόγιο».