Tehnicile ascunse și intensificarea campaniilor de tip malware Excel transformă utilizatorii în victime sigure ale hackerilor
HP Inc. (NYSE: HPQ) a lansat cel mai recent studiu global HP Wolf Security Threat Insights Report, care analizează atacuri cibernetice reale. Izolând amenințările care au trecut de barierele de securitate și au ajuns la utilizatorul final, raportul HP Wolf Security oferă informații specifice legate de cele mai noi tehnici utilizate de infractorii cibernetici.
Raportul a identificat un val de atacuri care folosesc fișiere de tip add-in Excel pentru a răspândi malware. Astfel, hackerii ajung la țintele vizate, iar companiile și utilizatorii sunt expuși la furt de date și atacuri de tip ransomware. Raportul relevă o creștere uriașă, de peste 500% (+588%) comparativ cu trimestrul anterior (Q4 2021 vs Q3 2021), a campaniilor care folosesc fișiere compromise add-in Microsoft Excel (.xll) pentru a infecta sisteme – o tehnică foarte periculoasă având în vedere că e nevoie de un singur click pentru a răspândi malware. De asemenea, echipa HP a descoperit pe piața neagră oferte pentru fișiere corupte .xll și kit-uri de răspândire de malware, ceea ce înseamnă că și atacatori mai puțin experimentați au acces la aceste instrumente și pot lansa campanii de hacking.
Fișiere infectate Excel (.xls) au fost folosite pentru a răspândi troianul bancar Ursnif în companii și organizații din sectorul public din Italia, prin campanii de tip spam în care atacatorii se dădeau drept serviciul de curierat italian BRT. Campanii noi care răspândesc malware Emotet utilizează acum fișiere Excel în locul celor JavaScript sau Word.
Alte amenințări importante identificate de echipa HP Wolf Security:
Revenirea TA505? HP a identificat o campanie MirrorBlast de phishing pe email cu multe elemente comune (tactici, tehnici, proceduri) cu TA505 – un grup infracțional motivat financiar recunoscut pentru campanii masive de tip malware spam. Atacul a vizat organizații prin troianul FlawedGrace Remote Access (RAT).
Platformă falsă de gaming care infectează victimele cu RedLine. A fost descoperit un website fals care păcălea vizitatorii să descarce RedLine, programul care fură informații personale.
Grupul infracțional Aggah a vizat organizații coreene cu fișiere corupte Power Point add-in (.ppa) deghizate în comenzi, care au infectat sistemele cu troieni accesați remote. Utilizarea de fișiere PowerPoint malware este neobișnuită – astfel de atacuri reprezintă 1% din malware.
“Folosirea caracteristicilor software legitime pentru a trece de barierele de securitate este o practică uzuală a hackerilor, la fel ca utilizarea fișierelor atipice care pot trece de sisteme de securitate ale e-mailului. Echipele de securitate cibernetică nu trebuie să se bazeze doar pe instrumentele de detectare a posibilelor amenințări. Trebuie să fie la curent cu ultimele metode și să-și adapteze sistemele de protecție ținând cont de acestea. De exemplu, bazându-ne pe creșterea atacurilor care folosesc fișiere cu extensia .xll, i-aș avertiza pe administratorii de rețea să configureze sisteme de protecție pentru conturile de e-mail, care să blocheze atașamentele .xll, permițând accesul doar celor venite de la utilizatori de încredere”, a explicat Alex Holland, senior malware analyst în cadrul echipei HP Wolf Security, HP Inc. ”Infractorii cibernetici au investit în tehnici, iar acum este foarte greu pentru utilizatori să-și dea seama dacă un email este curat sau compromis.”
Concluziile raportului se bazează pe informații obținute de la milioane de puncte terminale care rulează HP Wolf Security. HP Wolf Security scanează malware-ul deschizând și izolând fișierele compromise, pentru a înțelege și identifica întreg lanțul de infectare, ajutând la înțelegea amenințărilor cibernetice care au trecut de barierele de securitate. Astfel, clienții au putut să acceseze peste 10 miliarde de atașamente, pagini web și fișiere descărcate fără să raporteze probleme. Înțelegând modul în care acționează programele malware, cercetătorii și inginerii din echipa HP Wolf Security pot îmbunătăți sistemele de protecție a punctelor terminale și reziliența sistemului, în general.
Alte concluzii ale raportului:
13% dintre programele malware trimise pe e-mail, care au fost izolate, au trecut de cel puțin o barieră de securitate.
Au fost folosite 136 de extensii de fișiere diferite în încercările de a infecta organizații.
77% dintre programele malware detectate au fost livrate prin email, iar fișierele descărcate de pe internet au reprezentat 13%.
Cele mai folosite fișiere pentru a livra malware au fost documentele (29%), arhivele (28%), executabilele (21%), foile de calcul Excel (20%).
Cele mai uzuale momeli tip phishing au avut legătură cu Anul Nou sau cu tranzacții de business folosind cuvinte cheie, precum: “comandă”, “2021/2022”, “plată”, “cumpărare”, “cerere” și “factură”.
“În prezent, infractorii cibernetici cu expunere limitată pot lansa atacuri ascunse și apoi vinde informațiile obținute unor grupuri organizate motivate financiar, ceea ce poate provoca o breșă importantă de securitate care să paralizeze sistemele IT și să blocheze operațiunile”, a declarat Dr. Ian Pratt, Global Head of Security Personal Systems la HP Inc. “Organizațiile ar trebui să aibă în vedere reducerea punctelor vulnerabile, concentrându-se și pe metodele de recuperare rapidă în cazul unei breșe de securitate. Acest lucru înseamnă respectarea principiilor Zero Trust.”
Despre cercetare
Date au fost colectate în perioada octombrie-decembrie 2021.
Despre HP
HP Inc. este o companie de tehnologie care consideră că o idee bine conturată are puterea să schimbe lumea. Portofoliul său de produse și servicii – sisteme de calcul, imprimante, soluții de imprimare 3D – transformă aceste idei în realitate. Vizitează www.hp.ro.
Despre HP Wolf Security
Lansat de producătorul celor mai sigure computere și imprimante din lume, HP Wolf Security este un nivel nou de securitate pentru punctele terminale. Portofoliul HP de funcții de securitate aplicate hardware-ului și de servicii de securitate pentru punctele terminale sunt concepute pentru a ajuta organizațiile să-și protejeze computerele, imprimantele și angajații împotriva atacatorilor cibernetici. HP Wolf Security oferă reziliență și protecție completă a punctelor terminale, care începe cu hardware-ul și se extinde pentru software și servicii.