Socjotechnika i coraz liczniejsze ataki malware na program Excel – HP prezentuje kolejną odsłonę raportu przygotowanego przez zespół HP Wolf Security

Firma HP opublikowała kolejną wersję raportu HP Wolf Security Threat Insights, zawierającego analizę ataków cybernetycznych. Dzięki wyodrębnieniu zagrożeń, które doprowadziły do ataków, HP Wolf Security może mieć szczegółowy wgląd w najnowsze metody wykorzystywane przez cyberprzestępców.

 

HP Wolf Security Threat Insights obraz3

 

Zespół badań HP Wolf Security zidentyfikował falę ataków do rozprzestrzeniania złośliwego oprogramowania, które wykorzystują rozszerzenia znane z programu Microsoft Excel. Narażają one firmy i osoby prywatne na kradzież danych oraz ataki typu ransomware. W porównaniu z ubiegłym kwartałem odnotowano sześciokrotny wzrost (+588%) liczby ataków wykorzystujących złośliwe rozszerzenia plików .xll do infekowania systemów – metoda ta okazała się szczególnie niebezpieczna, ponieważ do uruchomienia złośliwego oprogramowania wystarczy jedno kliknięcie. Zespół znalazł na platformach handlu niebezpiecznym oprogramowaniem reklamy dropperów .xll i pakietów do tworzenia złośliwego oprogramowania, które ułatwiają prowadzenie kampanii poczatkującym hakerom.

Niedawna kampania spamowa QakBot wykorzystywała pliki Excela do oszukiwania celów, używając przejęte konta e-mail do przechwytywania wątków i wysyłania w odpowiedzi wiadomości ze złośliwym plikiem Excel (.xlsb) w załączniku. Po zainfekowaniu systemu, QakBot dopisuje się do listy procesów systemowych Windows (w celu uniknięcia wykrycia). Złośliwe pliki .xls były również wykorzystywane do rozprzestrzeniania trojana bankowego Ursnif we włoskich firmach i organizacjach sektora publicznego, gdzie przy pomocy spamu atakujący podawali się za włoską firmę kurierską BRT. Nowe kampanie rozprzestrzeniające szkodliwe oprogramowanie Emotet również wykorzystują pliki Excel zamiast plików JavaScript lub Word.

 

HP Wolf Security Threat Insights obraz2

 

Warto zwrócić uwagę na inne zagrożenia zidentyfikowane przez zespół HP Wolf Security w raporcie:

  • Powrót TA505? Firma HP zidentyfikowała kampanię phishingową MirrorBlast, która dzieli wiele taktyk, technik i procedur (TTP) z TA505. To grupa znana z masowych kampanii spamowych zawierających złośliwe oprogramowanie oraz zarabiająca na przywracaniu dostępu do zainfekowanych oprogramowaniem ransomware systemów. Urządzenia były infekowane trojanem FlawedGrace Remote Access Trojan (RAT).
  • Fałszywa platforma gamingowa infekuje ofiary wirusem RedLine: Odkryto podrobioną stronę instalatora platformy Discord, podstępnie nakłaniającą odwiedzających do pobrania infostealera RedLine, który wykradał ich dane uwierzytelniające.
  • Podmienianie nietypowych typów plików wciąż nie jest skutecznie wykrywane: Grupa cyberprzestępcza Aggah zaatakowała koreańskie organizacje za pomocą złośliwych rozszerzeń plików PowerPoint (.ppa) udających potwierdzenia zamówień, infekując systemy trojanami zdalnego dostępu. Złośliwe oprogramowanie wykorzystujące PowerPointa jest nietypowe – stanowi 1% złośliwych programów.

 

HP Wolf Security Threat Insights obraz1

 

Używanie prawidłowo działających funkcji w celu ukrycia się przed narzędziami wykrywającymi złośliwe oprogramowanie jest powszechną praktyką atakujących, podobnie jak wykorzystywanie nietypowych dla złośliwego oprogramowania typów plików, które mogą być przepuszczane przez filtry poczty elektronicznej. Zespoły ds. bezpieczeństwa muszą upewnić się, że nie polegają wyłącznie na automatycznej detekcji oraz że są na bieżąco z najnowszymi zagrożeniami i odpowiednio aktualizują swoje procedury bezpieczeństwa. Na przykład, w oparciu o gwałtowny wzrost liczby złośliwych plików .xll, który obserwujemy, zachęcam administratorów sieci do skonfigurowania filtrów poczty elektronicznej w taki sposób, aby blokowały przychodzące załączniki .xll, zezwalały na korzystanie tylko z dodatków podpisanych przez zaufanych partnerów lub całkowicie wyłączały obsługę rozszerzeń Excela – wyjaśnia Alex Holland, Starszy Analityk Szkodliwego Oprogramowania z Zespołu badań Zagrożeń HP Wolf Security, HP Inc.

Atakujący nieustannie wprowadzają nowe metody pozwalające uniknąć wykrycia, dlatego tak ważne jest, aby przedsiębiorstwa planowały i dostosowywały swoją obronę w oparciu o krajobraz zagrożeń i potrzeby biznesowe swoich użytkowników. Podmioty stanowiące zagrożenie zainwestowały w techniki takie, jak przejmowanie wątków wiadomości e-mail, co sprawia, że odróżnienie przyjaciela od wroga jest dla użytkowników trudniejsze niż kiedykolwiek – dodaje Alex Holland.

 

HP Wolf Security Threat Insights obraz5

 

Wyniki raportu oparte są na danych pochodzących z milionów urządzeń, na których działa HP Wolf Security. Śledzi on złośliwe oprogramowanie poprzez otwieranie ryzykownych procesów w odizolowanych mikro maszynach wirtualnych (micro-VM), aby zrozumieć i uchwycić cały łańcuch infekcji, pomagając w ograniczaniu zagrożeń, które ominęły inne narzędzia zabezpieczające. Dzięki temu klienci mogli kliknąć ponad 10 miliardów załączników do wiadomości e-mail, stron internetowych i plików do pobrania pozostając niezainfekowanymi. Poprzez lepsze zrozumienie zachowania złośliwego oprogramowania w środowisku naturalnym, badacze i inżynierowie HP Wolf Security mogą wzmocnić ochronę urządzeń końcowych i ogólną odporność systemu.

 

Pozostałe wnioski z raportu, na które również warto zwrócić uwagę:

  • 13% wyizolowanego złośliwego oprogramowania pocztowego ominęło co najmniej jeden filtr poczty elektronicznej.
  • Podczas prób infekowania organizacji i firm przestępcy wykorzystywali 136 różnych rozszerzeń plików.
  • 77% wykrytego złośliwego oprogramowania zostało dostarczone za pośrednictwem poczty elektronicznej, natomiast 13% stanowiły pliki pobrane z Internetu.
  • Najczęstszymi załącznikami wykorzystywanymi do dostarczania złośliwego oprogramowania były dokumenty (29%), archiwa (28%), pliki wykonywalne (21%) oraz arkusze kalkulacyjne (20%).
  • Najczęściej spotykane przynęty phishingowe były związane z Nowym Rokiem lub transakcjami,
    np. „Zamówienie”, „2021/2022”, „Płatność”, „Zakup”, „Zapytanie” oraz „Faktura”.

 

Dzisiaj, niezależni cyberprzestępcy mogą przeprowadzać ataki z ukrycia i sprzedawać dostęp zorganizowanym grupom oprogramowania ransomware, co prowadzi do naruszeń na dużą skalę, które mogą sparaliżować systemy IT i wstrzymać działalność operacyjną – komentuje dr Ian Pratt, Globalny Kierownik ds. Bezpieczeństwa Systemów Osobistych, HP Inc.

Organizacje powinny skupić się na ograniczeniu liczby możliwych wektorów ataku i umożliwieniu szybkiego odzyskania danych w przypadku naruszenia bezpieczeństwa. Oznacza to przestrzeganie zasad Zero Trust i stosowanie silnego systemu zarządzania tożsamością, minimalnych uprawnień dla użytkowników oraz izolacji na poziomie sprzętowym. Dla przykładu, izolując powszechne wektory ataku, takie jak poczta elektroniczna, przeglądarki lub pliki do pobrania za pomocą mikrowirtualizacji, wszelkie potencjalne złośliwe oprogramowanie lub exploity czające się wewnątrz są mocno ograniczone i nieszkodliwe – podsumowuje Pratt.