Report HP Wolf Security odhaľuje v súčasnosti najvyužívanejšie metódy kybernetických útokov
Spoločnosť HP Inc. zverejňuje svoju štvrťročnú správu HP Wolf Security Threat Insights. Tá ukazuje, že útočníci aktuálne zneužívajú najmä otvorené presmerovanie, falošné faktúry a útoky využívajúce nástroje, ktoré sú bežnou súčasťou systému. Správa obsahuje analýzu skutočných kybernetických útokov a pomáha tak firmám držať krok s najnovšími metódami, ktoré kyberzločinci používajú v rýchlo sa meniacom prostredí.
Na základe analýzy dát z miliónov zariadení, na ktorých beží HP Wolf Security, výskumníci HP zozbierali nasledujúce zistenia:
- Útočníci využívajú otvorené presmerovanie používateľa, tzv. "Cat-Phishing": v pokročilej kampani WikiLoader útočníci na obchádzanie detekčných systémov využili zraniteľnosti v otvorenom presmerovaní na webových stránkach. Používatelia boli najprv nasmerovaní na dôveryhodné stránky, často prostredníctvom reklamných banerov, aby potom boli nepozorovane presmerovaní na škodlivé stránky – to používateľom takmer znemožňovalo odhaliť takúto zmeni.
- Život v „pozadí“: niekoľko kampaní zas zneužilo službu Windows Background Intelligent Transfer Service (BITS) – legitímny mechanizmus používaný programátormi a systémovými administrátormi pre sťahovanie alebo nahrávanie súborov na webové servery a zdieľané zložky. Technika "Living-off-the-Land" tak pomohla útočníkom zostať neodhalenými, keď službu BITS zneužili na stiahutie škodlivých súborov.
- Falošné faktúry vedúce k útokom pomocou HTML: HP identifikovalo aj útočníkov, ktorí svoj malvér maskovali vo vnútri HTML súborov vydávaných za faktúry od dodávateľov. Keď ich používateľ otvoril vo webovom prehliadači, spustili reťazec aktivít, pri ktorých bol nasadený open-source malware AsyncRAT. Zaujímavé je, že útočníci venovali len pomerne malú pozornosť dizajnu svojich falošných faktúr, čo naznačuje, že útok bol vytvorený len s minimálnou investíciou času a zdrojov.
Patrick Schläpfer, hlavný výskumník v tíme výskumu hrozieb spoločnosti HP Wolf Security, to komentuje nasledovne: „Cielenie na firmy s pomocou falošných faktúr je jedným z najstarších trikov, ale môže byť stále veľmi účinný. Zamestnanci finančných oddelení sú na prijímanie faktúr cez e-mail zvyknutý, takže je často pravdepodobné, že ich naozaj otvoria. Ak sú útočníci úspešní, môžu rýchlo speňažiť získaný prístup prostredníctvom predaja kybernetickým brokerom alebo nasadením ransomvéru.“
Vďaka Izolácii hrozieb, ktoré sa vyhli detekčným nástrojom, ale stále umožňujú bezpečné „odpálenie“ malvéru, získava HP Wolf Security konkrétny prehľad o najnovších technikách používaných kyberzločincami. Doteraz používatelia HP Wolf Security klikli na viac ako 40 miliárd e-mailových príloh, webových stránok a stiahnutých súborov bez hlásených narušení.
Správa podrobne popisuje, ako kyberzločinci naďalej diverzifikujú metódy útokov, aby obišli bezpečnostné politiky a nástroje na detekciu. Medzi ďalšie zistenia patria nasledujúce štatistiky:
- Najmenej 12 % e-mailových hrozieb identifikovaných nástrojom HP Sure Click[1] obišlo jeden alebo viac skenerov na e-mailových bránach.
- Najčastejšími zdrojmi hrozieb boli v poslednom štvrťroku prílohy e-mailov (53 %), stiahnuté súbory z prehliadačov (25 %) a ďalšie vektory infekcie, ako sú vymeniteľné úložiská (napríklad USB flash disky) a zdieľané súbory (22 %).
- V tomto štvrťroku sa najmenej 65 % hrozieb spojených s dokumentmi spoliehalo na spustenie kódu, nie na makrá.
Ian Pratt globálny šéf bezpečnosti osobných systémov v HP Inc., k tomu hovorí: „Techniky využívajúce existujúce nástroje v operačných systémoch odhaľujú základné nedostatky prístupu, ktorý sa spolieha iba na detekciu. Keďže útočníci používajú legitímne nástroje v systéme, hrozby je ťažké odhaliť bez toho, aby sa objavilo mnoho rušivých falošných poplachov. Obmedzenie hrozieb poskytuje ochranu aj vtedy, keď detekcia zlyhá, zabraňuje úniku alebo zničeniu používateľských dát či prihlasovacích údajov a bráni zotrvaniu útočníkov v systéme. Preto by organizácie mali pristupovať k bezpečnosti systematicky a komplexne, napríklad izolovať a obmedzovať vysokorizikové aktivity, čo povedie k zúženiu možností na potenciálny útok.“
HP Wolf Security[2] spúšťa rizikové úlohy v izolovaných, hardvérom vynútených jednorazových virtuálnych strojoch bežiacich na koncových zariadeniach. Tým chráni používateľov bez toho, aby obmedzovala ich produktivitu. Zachytáva tiež podrobné stopy pokusov o infekciu. Technológia izolácie aplikácií od HP zmierňuje hrozby, ktoré sa vyhnú iným bezpečnostným nástrojom a poskytuje tak jedinečný pohľad do techník narušenia a správania útočníkov.
Dáta boli získané od zákazníkov (HP Wolf Security ktorí s ich zberom vyjadrili súhlas) od januára do marca 2024.
O spoločnosti HP
Spoločnosť HP Inc. (NYSE: HPQ) je celosvetovým lídrom v oblasti technológií a tvorcom riešení, ktoré umožňujú ľuďom realizovať ich nápady a zaoberať sa vecami, na ktorých im záleží najviac. Spoločnosť HP pôsobí vo viac ako 170 krajinách sveta a ponúka širokú škálu inovatívnych a udržateľných zariadení, služieb a predplatiteľských programov pre osobné počítače, bežnú aj 3D tlač, hybridnú prácu, hranie hier a ďalšie. Viac informácií o HP Inc. nájdete na http://www.hp.com.
[1] HP Sure Click Enterprise sa predáva samostatne. Podporované prílohy zahŕňajú súbory Microsoft Office (Word, Excel, PowerPoint) a PDF, ak je nainštalovaný Microsoft Office alebo Adobe Acrobat. Úplné systémové požiadavky nájdete na stránkach HP na adrese: https://enterprisesecurity.hp.com/s/article/System-Requirements-for-HP-Sure-Access -Enterprise
[2] HP Wolf Security for Business vyžaduje systém Windows 10 alebo 11 Pro a vyšší, obsahuje rôzne bezpečnostné funkcie HP a je k dispozícii v produktoch HP Pro, Elite, RPOS a Workstation. Informácie o zahrnutých bezpečnostných funkciách nájdete v podrobnostiach o produkte.