Firma HP Inc w grudniu br. opublikowała raport HP Wolf Security Threat Insights za trzeci kwartał, z którego wynika, że to pliki archiwów – takie jak ZIP i RAR – były najczęściej wykorzystywanym formatem do wysyłania złośliwego oprogramowania. Tym samym, po raz pierwszy od trzech lat prześcignęły pliki Office. W raporcie można znaleźć analizę cyberataków, które rzeczywiście się wydarzyły, pokazując jednocześnie organizacjom, jak być na bieżąco w szybko zmieniającym się otoczeniu cyberprzestępczości. Zapoznając się z najnowszymi technikami wykorzystywanymi przez przestępców, firmy mogą dowiedzieć się, w jaki sposób atakujący unikają wykrywania przez systemy ochronne i łamią zabezpieczenia użytkowników.
Na podstawie danych pochodzących z milionów urządzeń wyposażonych w system HP Wolf Security, raport wykazał, że 44% złośliwego oprogramowania zostało dostarczone do odbiorców w formie plików archiwów – co stanowi wzrost o 11% w stosunku do poprzedniego kwartału. Za pośrednictwem plików pakietu Office, takich jak Microsoft Word, Excel i PowerPoint, wysyłano ok. 32% malware’ów.
Raport zidentyfikował kilka rodzajów działań. Cyberprzestępcy osadzają złośliwy kod z plików archiwów w formacie HTML w celu ominięcia bramek e-mail, a następnie przeprowadzają atak.
Dla przykładu, ostatnie kampanie QakBot i IceID wykorzystywały pliki HTML do kierowania użytkowników do fałszywych przeglądarek dokumentów online, które podszywały się pod Adobe. Użytkownicy byli następnie instruowani, aby otworzyć ZIP i wprowadzić hasło w celu rozpakowania plików, które umieszczały złośliwe oprogramowanie na ich komputerach.
Ponieważ złośliwe oprogramowanie w oryginalnym pliku HTML jest zakodowane i zaszyfrowane, wykrycie go przez bramkę poczty elektronicznej lub inne narzędzia bezpieczeństwa jest bardzo trudne. Zamiast tego, atakujący opiera się na socjotechnikach, tworząc przekonującą i dobrze zaprojektowaną stronę internetową, aby zachęcić odbiorcę do zainicjowania ataku poprzez otwarcie złośliwego pliku ZIP. W październiku br. zauważono również wykorzystanie fałszywych stron Google Drive przez te same grupy przestępców, którzy w ten sposób próbowali skłonić atakowanych do otwarcia złośliwych plików.
Archiwa łatwo zaszyfrować, co pomaga cyberprzestępcom w ukrywaniu w nich złośliwego oprogramowania i omijaniu webowych proxy, sandboxów czy skanerów poczty elektronicznej. To sprawia, że ataki są trudne do wykrycia, zwłaszcza gdy stosowane są w nich również techniki przemycania kodu HTML. W kampaniach QakBot i IceID interesujący był wysiłek włożony w stworzenie fałszywych stron – były one bardziej przekonujące niż te, które widzieliśmy wcześniej, co utrudnia zorientowanie się, którym plikom można zaufać, a które wyglądają podejrzanie – wyjaśnia Alex Holland, Senior Malware Analyst, Zespół Badań Zagrożeń HP Wolf Security, HP Inc.
HP zidentyfikowało również nowe podejście hakerów, umożliwiające atakującemu zmianę taktyki w zależności od celu i zabezpieczeń, które chcą złamać. Z uwagi na to, że złośliwe oprogramowanie nie znajduje się bezpośrednio w załączniku wiadomości wysyłanej do odbiorcy, bramki e-mailowe mają większe trudności z wykryciem tego rodzaju ataku.
Jak wykazano w raporcie, napastnicy nieustannie zmieniają techniki, co bardzo utrudnia dostrzeżenie ich przez narzędzia wykrywające – komentuje dr Ian Pratt, Global Head of Security for Personal Systems, HP Inc. Postępując zgodnie z zasadą Zero Trust, polegającą na szczelnej izolacji, organizacje mogą wykorzystać mikrowirtualizację, aby mieć pewność, że potencjalnie złośliwe zadania – takie jak klikanie w linki lub otwieranie złośliwych załączników – są wykonywane w jednorazowej maszynie wirtualnej, oddzielonej od podstawowych systemów. Proces ten jest całkowicie niewidoczny dla użytkownika, a umożliwia zatrzymanie wszelkiego ukrytego w nim złośliwego oprogramowania. Dzięki temu atakujący nie uzyskują dostępu do wrażliwych danych czy systemu, a przemieszczanie się w sposób lateralny nie jest możliwe.
