HP Inc. опубликовала результаты своего глобального исследования Threat Insights Report за первое полугодие 2021 г., содержащие анализ произошедших атак и используемых уязвимостей в сфере кибербезопасности. Полученные данные указывают на значительный рост в количестве и изобретательности киберпреступлений в период со второй половины 2020 года по первую половину 2021 года. Также злоумышленники стали на 65% чаще использовать хакерские инструменты, загружаемые с теневых форумов и файлообменников.
Кибераналитики отметили, что активно применяемые хакерами инструменты оказались на удивление эффективными. Например, один из таких инструментов позволял обходить защиту CAPTCHA при помощи технологий компьютерного зрения, а именно оптического распознавания символов (OCR), что позволяло злоумышленникам выполнять атаки на веб-сайты c заполнением учетных данных пользователей. Отчет показал, что киберпреступность приобрела еще более организованный характер, в том числе благодаря даркнет-ресурсам, которые выступают идеальной платформой для злоумышленников, где они могут налаживать сотрудничество друг с другом, обмениваться идеями о тактиках, методах и процедурах для осуществления атак.
«Распространение пиратских инструментов для взлома и рост популярности даркнет-форумов позволяют даже мелким, рядовым злоумышленникам создавать серьезные риски для безопасности предприятий, – отмечает доктор Йэн Пратт (Dr. Ian Pratt), глава отдела безопасности в подразделении персональных систем, HP Inc. – В то же время рядовые пользователи снова и снова становятся жертвами даже простых фишинговых атак. И сейчас технологии безопасности, позволяющие ИТ-отделам работать на опережение и прогнозировать будущие угрозы, являются ключом к обеспечению максимальной защиты и устойчивости бизнеса».
Среди наиболее заметных угроз, выявленных исследовательской группой HP Wolf Security, можно отметить следующие. Взаимодействие киберпреступников открывает возможности для более масштабных атак: группировки, использующие банковский троян Dridex, продают доступ к взломанной инфраструктуре организаций другим злоумышленникам, чтобы те могли распространять программы-вымогатели. Снижение активности трояна Emotet в первом квартале 2021 года привело к тому, что Dridex стал основным семейством вредоносных программ, выделенных HP Wolf Security.
Злоумышленники, специализирующиеся на хищении информации, используют все более опасные вредоносные программы: «инфостилер» CryptBot, исторически используемое для кражи учетных данных из крипто-кошельков и веб-браузеров – теперь применяется также для внедрения DanaBot – банковского трояна, управляемого организованными преступными группировками.
Атаки с использованием VBS-загрузчика, нацеленные на руководителей компаний: речь идет о многоэтапной кампании с использованием Visual Basic Script (VBS), когда пользователям рассылаются вложения с вредоносным ZIP архивом, название которого совпадает с именем руководителя предприятия. При открытии архива на компьютер жертвы устанавливается скрытый VBS-загрузчик – и реализуется LotL-атака (Live off the Land), используя уже инсталлированные легитимные инструменты администратора для распространения вредоносного ПО и сохранения на устройствах.
От приложения до проникновения: атака, использующая распространение вредоносного спама под видом резюме и нацеленная на судоходные, морские, логистические и связанные с ними компании в семи странах мира (Чили, Япония, Великобритания, Пакистан, США, Италия и Филиппины). В атаке задействована уязвимость Microsoft Office для развертывания популярных решений удаленного управления и мониторинга (Remcos RAT) и получения доступа к зараженным компьютерам через бэкдор.
Все эти выводы были основаны на данных, полученных группой исследования угроз HP Wolf Security, которые отслеживают вредоносные программы на изолированных микровиртуальных машинах для лучшего понимания и фиксирования всей цепочки распространения, тем самым помогая компаниям бороться с угрозами. Лучше понимая поведение вредоносных программ в реальных условиях, аналитики и инженеры HP Wolf Security могут усилить защиту конечных устройств и повысить общую отказоустойчивость систем.
«Экосистема киберпреступности продолжает развиваться и трансформироваться, предлагая мелким киберпреступникам еще больше возможностей для взаимодействия с более серьезными игроками и хакерскими командами, а также для загрузки передовых инструментов, способных обойти действующие системы защиты от взлома, – отмечает Алекс Холланд, (Alex Holland) старший аналитик по вредоносному ПО в HP Inc. – Мы видим, что хакеры адаптируют свои методы для улучшения монетизации, продавая доступ к уязвимым системам организованным преступным группам, чтобы те могли проводить более изощренные атаки на предприятия. Штаммы вредоносных программ, таких как CryptBot, ранее представлявших опасность только для пользователей, хранивших на своих ПК криптокошельки, теперь представляют угрозу и для бизнеса. Мы видим, что хакеры распространяют вредоносное ПО, управляемое организованными преступными группировками, которые, как правило, предпочитают использовать вирусы-вымогатели для монетизации полученного доступа».
Среди других выводов исследования можно выделить следующие: 75% обнаруженных вредоносных программ попали на компьютеры жертв через электронную почту, а 25% были загружены из сети Интернет. Количество угроз, проникающих в систему с помощью веб-браузеров, выросло на 24%, частично за счет загрузки пользователями инструментов взлома, а также программного обеспечения для майнинга криптовалют.
Наиболее распространенными фишинговыми приманками, отправляемыми по электронной почте, были счета-фактуры и информация о бизнес-транзакциях (49%), еще 15% случаев – это ответы на перехваченную переписку. Фишинговые приманки с упоминанием COVID-19 составили менее 1%, снизившись на 77% за период со второго полугодия 2020 года по первое полугодие 2021 года.
Самыми распространенными типами вредоносных вложений стали архивные файлы (29%), электронные таблицы (23%), документы (19%) и исполняемые файлы (19%). Необычные типы архивных файлов, такие как JAR (файлы архивов Java), применяются злоумышленниками, чтобы уйти от обнаружения и сканирования соответствующими инструментами, и установить на компьютеры жертв вредоносное ПО, которое можно легко найти на даркнет-маркетплейсах.
Отчет показал, что 34% обнаруженного вредоносного ПО было неизвестно аналитикам, что на 4% меньше, чем во втором полугодии 2020 г.
На 24% увеличилось количество вредоносных программ, в основе которых лежит CVE-2017-11882, широко эксплуатируемая уязвимость Microsoft Office / Microsoft WordPad, приводящая к нарушению целостности памяти и проведению бесфайловых атак.
«Киберпреступники с легкостью обходят средства обнаружения, просто оптимизируя и совершенствуя свои методы. Мы увидели всплеск вредоносных программ, распространяемых через необычные типы файлов, такие как файлы JAR, которые, очевидно, используются злоумышленниками, чтобы снизить шанс обнаружения вредоносного кода сканерами безопасности и инструментами для защиты от вредоносных программ, – комментирует Алекс Холланд, (Alex Holland). – Жертвы попадаются и на уже знакомые фишинговые атаки, с приманками на тему транзакций, убеждающих пользователей нажимать на вредоносные вложения, ссылки и веб-страницы».
В свою очередь, доктор Йэн Пратт (Dr. Ian Pratt) добавляет: «На фоне того, как киберпреступность становится более организованной, и мелкие игроки могут легко получать эффективные хакерские инструменты и монетизировать атаки, продавая доступ к скомпрометированным системам, не существует такой вещи, как незначительная утечка. Конечные устройства остаются в центре внимания киберпреступников. Их методы становятся все более изощренными, поэтому сегодня как никогда важно сформировать комплексную и устойчивую инфраструктуру клиентских устройств и средств обеспечения безопасности Это означает использование таких методов, как средства изоляции угроз для защиты от современных приемов злоумышленников, а также минимизацию поверхности атаки за счет устранения угроз по наиболее распространенным векторам атак – по электронной почте, через браузеры и загрузки».
Данные для исследования были собраны специалистами HP Wolf Security с виртуальных машин заказчиков в период с января по июнь 2021 года.