Firma HP na początku sierpnia br. opublikowała swój kwartalny raport Threat Insights, w którym ujawnia, że grupy cyberprzestępców rozprzestrzeniających rodziny złośliwego oprogramowania – w tym QakBot, IceID, Emotet i RedLine Stealer – wykorzystują do tego pliki skrótów (LNK). Skróty zastępują makra pakietu Office, które zaczynają być domyślnie blokowane. Następnie hakerzy, wykorzystując podstęp i socjotechniki, nakłaniają użytkowników do infekowania ich komputerów złośliwym oprogramowaniem. Dostęp ten może być wykorzystany do kradzieży cennych danych firmowych lub sprzedany grupom ransomware, co prowadzi do naruszeń na dużą skalę. Może to powodować wstrzymanie operacji biznesowych, jak również znaczne koszty naprawy.
Najnowszy globalny raport HP Wolf Security Threat Insights (przedstawiający analizę rzeczywistych cyberataków) wskazuje na 11-procentowy wzrost liczby plików archiwalnych zawierających złośliwe oprogramowanie, w tym plików LNK. Atakujący często umieszczają pliki skrótów w załącznikach ZIP dołączonych do wiadomości e-mail, aby ułatwić sobie unikanie skanerów poczty elektronicznej. Zespół HP Wolf Security zauważył również, że złośliwe oprogramowanie wykorzystujące LNK dostępne jest do kupienia na forach hakerów, co ułatwia cyberprzestępcom przejście na tę „pozbawioną makr” technikę wykonywania kodu poprzez tworzenie uzbrojonych plików skrótów i rozprzestrzenianie ich w firmach.
Ponieważ makra pobierane z sieci stają się domyślnie blokowane w pakiecie Office, bacznie przyglądamy się alternatywnym metodom testowanym przez cyberprzestępców. Otwarcie skrótu lub pliku HTML może wydawać się nieszkodliwe dla pracownika, ale ostatecznie może skutkować poważnym zagrożeniem dla przedsiębiorstwa – wyjaśnia Alex Holland, Starszy Analityk Malware, z Zespołu Badań Zagrożeń HP Wolf Security w HP. Organizacje muszą podjąć odpowiednie kroki już teraz, aby zabezpieczyć się przed technikami coraz częściej preferowanymi przez napastników jeśli nie chcą pozostać na pastwę losu, gdy staną się one powszechne. Zalecalibyśmy natychmiastowe blokowanie plików skrótów otrzymanych jako załączniki wiadomości e-mail lub pobranych z sieci, tam gdzie to tylko możliwe.
Dzięki izolowaniu zagrożeń na komputerach PC, które uniknęły narzędzi wykrywających, HP Wolf Security ma konkretny wgląd w najnowsze techniki wykorzystywane przez cyberprzestępców. Oprócz wzrostu liczby plików LNK, zespół badający zagrożenia zwrócił w tym kwartale uwagę na następujące zjawiska:
- HTML smuggling osiąga poziom krytyczny – HP zidentyfikowało kilka kampanii phishingowych wykorzystujących e-maile udające regionalne usługi pocztowe lub – jak przewiduje HP – duże wydarzenia, takie jak Doha Expo 2023 (przyciągające ponad 3 mln uczestników), które wykorzystywały HTML smuggling do dostarczenia złośliwego oprogramowania. Za pomocą tej techniki niebezpieczne typy plików, które w przeciwnym razie zostałyby zablokowane przez bramki poczty elektronicznej, mogą zostać przemycone do organizacji i doprowadzić do infekcji złośliwym oprogramowaniem.
- Atakujący wykorzystują podatność stworzoną przez lukę zero-day Follina (CVE-2022-30190) – Po jej ujawnieniu, wiele podmiotów zajmujących się zagrożeniami wykorzystało ostatnią lukę typu zero-day w narzędziu Microsoft Support Diagnostic Tool (MSDT) – nazwaną „Follina” – do dystrybucji QakBota, Agent Tesla oraz Remcos RAT (Remote Access Trojan), zanim dostępna była łatka. Luka jest szczególnie niebezpieczna, ponieważ pozwala napastnikom na uruchomienie dowolnego kodu w celu wdrożenia złośliwego oprogramowania i wymaga niewielkiej interakcji użytkownika, aby ją wykorzystać na docelowych maszynach.
- Nowa technika wykorzystywana przez cyberprzestępców powoduje, że shellcode ukryty w dokumentach rozprzestrzenia złośliwe oprogramowanie SVCReady – HP ujawniło kampanię dystrybuującą nową rodzinę złośliwego oprogramowania o nazwie SVCReady, która wyróżnia się nietypowym sposobem dostarczania go do komputerów docelowych, poprzez shellcode ukryty we właściwościach dokumentów Office. Złośliwe oprogramowanie – zaprojektowane głównie do pobierania wtórnych złośliwych plików na zainfekowane komputery, po zebraniu informacji o systemie i zrobieniu zrzutów ekranu – jest nadal we wczesnej fazie rozwoju, zostało jednak kilkukrotnie zaktualizowane w ostatnich miesiącach.
Ustalenia oparte są na danych pochodzących z milionów punktów końcowych, na których działa HP Wolf Security. W celu ochrony użytkowników HP Wolf Security wykonuje zadania, takie jak otwieranie załączników do wiadomości e-mail, pobieranie plików i klikanie łączy w odizolowanych, mikro-wirtualnych maszynach (micro-VM), przechwytując szczegółowe ślady prób infekcji. Technologia izolacji aplikacji HP łagodzi zagrożenia, które mogą ominąć inne narzędzia zabezpieczające, a także zapewnia wyjątkowy wgląd w nowe techniki włamań i zachowania podmiotów odpowiedzialnych za zagrożenia. Do tej pory klienci HP kliknęli w ponad 18 miliardów załączników do wiadomości e-mail, stron internetowych i pobranych plików, nie odnotowując żadnych naruszeń.
Kolejne kluczowe ustalenia raportu:
- 14% złośliwego oprogramowania przechwyconego przez HP Wolf Security ominęło co najmniej jeden skaner poczty e-mail.
- Cyberprzestępcy wykorzystali 593 rodziny szkodliwego oprogramowania w swoich próbach zainfekowania organizacji, w porównaniu z 545 w poprzednim kwartale.
- Arkusze kalkulacyjne pozostały najpopularniejszym typem złośliwych plików, ale zespół badawczy zaobserwował 11% wzrost liczby zagrożeń w postaci archiwów. Sugeruje to, że napastnicy coraz częściej umieszczają pliki w archiwach przed ich wysłaniem, aby uniknąć wykrycia.
- 69% wykrytego złośliwego oprogramowania zostało dostarczone za pośrednictwem poczty elektronicznej, natomiast za 17% odpowiadały pliki pobrane z Internetu.
- Najczęstszymi atakami phishingowymi były transakcje biznesowe takie jak „Zamówienie”, „Płatność”, „Zakup”, „Zapytanie” i „Faktura”.
Cyberprzestępcy w szybkim tempie testują nowe złośliwe formaty plików lub exploity, aby uniknąć wykrycia. Dlatego też organizacje muszą przygotować się na niespodziewane zdarzenia. Oznacza to przyjęcie strukturalnego podejścia do bezpieczeństwa punktów końcowych, na przykład poprzez ograniczenie najczęstszych kierunków ataku, takich jak poczta elektroniczna, przeglądarki i pobieranie plików. Dzięki temu zagrożenia są izolowane niezależnie od tego, czy można je wykryć – komentuje dr Ian Pratt, Global Head of Security for Personal Systems w HP. Pozwoli to wyeliminować cały obszar ataku, a jednocześnie zapewni organizacji czas potrzebny do bezpiecznego koordynowania cykli łatek bez zakłócania pracy usług.
Informacje o badaniu
Dane zostały zebrane anonimowo zebrane w ramach maszyn wirtualnych klientów HP Wolf Security od kwietnia do czerwca 2022 roku.