Společnost HP Inc. oznámila, že její tým pro výzkum hrozeb HP Wolf Security zaznamenal v 1. čtvrtletí 2022 ve srovnání se 4. čtvrtletím roku 2021, kdy se na scéně poprvé objevil Emotet, 27násobný nárůst detekcí útoků vedených prostřednictvím škodlivých spamových kampaní.
Nejnovější globální zpráva HP Wolf Security Threat Insights Report, přinášející přehled reálných kybernetických útoků, uvádí, že Emotet na žebříčku útoků vystoupil o 36 míst a stal se v tomto čtvrtletí nejčastěji detekovaným typem malwaru (na jeho konto připadá 9 % všech zachycených malwarových útoků).
Příčinou 879% nárůstu zachycených vzorků malwaru šířeného prostřednictvím souborů .XLSM (Microsoft Excel) zaznamenanému oproti minulému čtvrtletí byla z velké části jedna z útočných kampaní cílící na japonské organizace, která prostřednictvím klamavých e‑mailů přiměla příjemce k infikování vlastních počítačů.
Díky izolaci hrozeb, které dokázaly obejít detekční nástroje a pronikly až na koncová zařízení uživatelů, má HP Wolf Security detailní přehled o nejnovějších technikách používaných kybernetickými zločinci. Níže uvádíme nejvýznamnější příklady zachycených kybernetických útoků:
- V souvislosti s postupným odklonem od používání maker roste obliba hůře detekovatelných alternativ infikovaných dokumentů Microsoft Office: V souvislosti s tím, že společnost Microsoft začala v dokumentech svého kancelářského balíku zakazovat makra, zaznamenala společnost HP oproti minulému čtvrtletí nárůst formátů, které nejsou založeny na balíku MS Office, včetně škodlivých souborů Java Archive (+476 %) a souborů JavaScript (+42 %). Proti takovým útokům se organizace hůře brání, protože míra detekce těchto typů souborů je často nízká, což zvyšuje pravděpodobnost infekce.
- Na vzestupu je vpašování škodlivého HTML kódu: Průměrná velikost škodlivých HTML souborů vzrostla z 3 kB na 12 kB, což poukazuje na stále častější snahu o vpašování škodlivého HTML kódu. Jde o techniku, při níž kybernetičtí zločinci vkládají malware přímo do souborů HTML, aby obešli e‑mailové brány a vyhnuli se detekci, čímž by mohli získat přístup k důležitým finančním informacím a dokázali by se jich zmocnit. Nedávno vedené útočné kampaně se zaměřovaly na latinskoamerické a africké
- Útočné kampaně prostřednictvím malwaru „dva v jednom“ vedou k vícenásobným infekcím RAT: Bylo zjištěno, že útok pomocí skriptu Visual Basic byl použit k inicializaci útočného řetězce, který způsobuje vícenásobnou infekci stejného zařízení, což útočníkům umožňuje získat trvalý přístup k infikovaným systémům pomocí nástrojů VW0rm, NjRAT a AsyncRAT.
„Naše údaje za 1. čtvrtletí ukazují, že se potýkáme se zdaleka nejintenzivnější aktivitou, jakou jsme u Emotetu zaznamenali od počátku roku 2021, kdy byla tato hackerská skupina zlikvidována. Je to jasný signál, že se provozovatelé této kyberzločinecké sítě reorganizují, znovu posilují a investují do budování botnetu. Americká agentura pro kybernetickou bezpečnost (CISA) již dříve označila Emotet za jeden z nejničivějších typů malwaru, u něhož je náprava napáchaných škod nejnákladnější. Provozovatelé této sítě často spolupracují se skupinami využívajícími ke svým útokům ransomware, což se dá očekávat i nadále. Jejich návrat znamená tedy pro podniky i veřejný sektor špatnou zprávu,“ vysvětluje Alex Holland, samostatný malwarový analytik výzkumného týmu kybernetických hrozeb divize HP Wolf Security společnosti HP Inc.
Tato zjištění vycházejí z údajů z mnoha milionů koncových zařízení vybavených systémem HP Wolf Security. Ten pátrá po existenci malwaru spouštěním rizikových úloh v izolovaných mikrovirtuálních počítačích (micro-VM), aby ochránil uživatele, pochopil a zachytil celý řetězec infekce a přispěl ke zmírnění hrozeb, které unikly pozornosti ostatních bezpečnostních nástrojů. Do této chvíle klikli zákazníci HP na více než 18 miliard e‑mailových příloh, webových stránek a souborů ke stažení, aniž by došlo k narušení bezpečnosti. Tato data poskytují jedinečné informace o tom, jak původci kybernetických hrozeb malware skutečně využívají.
Další klíčová zjištění:
- 9 % hrozeb nebylo v době jejich izolace ještě z dřívějška známo, přičemž 14 % izolovaného e‑mailového malwaru obešlo alespoň jeden skenovací program e‑mailové brány.
- V průměru trvalo více než 3 dny (79 hodin), než tento malware rozpoznaly podle hashe další bezpečnostní nástroje.
- 45 % škodlivého softwaru izolovaného nástrojem HP Wolf Security představovaly souborové formáty Office.
- Při pokusech o infikování organizací použily útočníci 545 různých rodin malwaru, přičemž na prvních třech místech byly Emotet, AgentTesla a Nemucod.
- Zneužití Editoru rovnic společnosti Microsoft (CVE-2017-11882) představovalo 18 % všech zachycených škodlivých vzorků.
- 69 % zjištěného škodlivého softwaru bylo doručeno e‑mailem, 18 % připadá na stahování z webu. Nejčastějšími přílohami používanými k doručení malwaru byly textové dokumenty (29 %), archivy (28 %), spustitelné soubory (21 %) a tabulky (20 %).
- Nejčastějšími přílohami používanými k doručení malwaru byly tabulky (33 %), spustitelné soubory a skripty (29 %), archivy (22 %) a textové dokumenty (11 %).
- Nejčastější phishingové návnady se objevovaly v podobě obchodních transakcí, např. pod tituly „Objednávka“, „Platba“, „Nákup“, „Žádost“ a „Faktura“.
„V tomto čtvrtletí jsme zaznamenali významný 27% nárůst objemu kybernetických hrozeb, zachycených nástrojem HP Wolf Security. S tím, jak kybernetičtí zločinci pozměňují své přístupy v reakci na změny v prostředí IT, se neustále zvyšuje objem a rozmanitost útoků a pro běžné nástroje je stále obtížnější útoky odhalit,“ podotýká dr. Ian Pratt, globální ředitel pro zabezpečení osobních systémů společnosti HP Inc.
Zásluhou izolace hrozeb, které dokázaly obejít detekční nástroje a pronikly až na koncová zařízení uživatelů, má HP Wolf Security detailní přehled o nejnovějších technikách používaných kybernetickými zločinci.
Zdroj a foto: HP
Podívejte se i na další zajímavé články na webu IT Revue v rubrikách Hardware, Software, Elektronika nebo Ostatní. IT Revue můžete sledovat i na Facebooku nebo Instagramu.