Společnost HP Inc. zveřejňuje svou čtvrtletní zprávu HP Wolf Security Threat Insights. Ta ukazuje, že útočníci aktuálně zneužívají otevřené přesměrování, falešné faktury a techniky využívající regulérní prostředky systému. Zpráva poskytuje analýzu skutečných kybernetických útoků a pomáhá organizacím držet krok s nejnovějšími metodami, které kyberzločinci používají v rychle se měnícím prostředí.
Na základě analýzy dat z milionů zařízení běžících na HP Wolf Security zjistili výzkumníci HP následující:
- Útočníci využívají otevřené přesměrování uživatele, tzv. „Cat-Phishing“: v pokročilé kampani WikiLoader útočníci využili k obcházení detekčních systémů otevřeného přesměrování na webových stránkách. Uživatelé byli nasměrováni na důvěryhodné stránky, často prostřednictvím reklamních formátů, a poté byli přesměrováni na škodlivé stránky – což uživatelům téměř znemožňovalo detekci změny.
- Život v „pozadí“: několik kampaní zneužilo službu Windows Background Intelligent Transfer Service (BITS) – legitimní mechanismus používaný programátory a systémovými administrátory pro stahování nebo nahrávání souborů na webové servery a sdílené složky. Technika „Living-off-the-Land“ tak pomohla útočníkům zůstat neodhaleni, protože použili službu BITS k downloadu škodlivých souborů.
- Falešné faktury vedoucí k útokům pomocí HTML: HP identifikovalo útočníky, kteří maskovali malware uvnitř HTML souborů vydávaných za faktury od dodavatelů. Ty po otevření ve webovém prohlížeči spustily řetězec událostí, při nichž byl nasazen open-source malware AsyncRAT. Zajímavé je, že útočníci věnovali malou pozornost designu návnady, což naznačuje, že útok byl vytvořený s minimální investicí času a zdrojů.
Patrick Schläpfer, hlavní výzkumník hrozeb v týmu výzkumu hrozeb společnosti HP Wolf Security, to komentuje následovně:
„Zacílení na firmy pomocí falešných faktur je jedním z nejstarších triků, ale může být stále velmi účinné, a tedy lukrativní. Zaměstnanci finančních oddělení jsou zvyklí přijímat faktury e-mailem, takže je pravděpodobnější, že je otevřou. Pokud jsou útočníci úspěšní, mohou rychle zpeněžit získaný přístup prostřednictvím prodeje kybernetickým brokerům nebo nasazením ransomwaru.“
V minulém čtvrtletí zneužívali útočníci tzv. „Cat-Phishing“, falešné faktury, či legitimní mechanismus BITS používaný programátory a administrátory
Díky Izolací hrozeb, které se vyhnuly detekčním nástrojům, ale stále umožňují bezpečné „odpálení“ malwaru, získává HP Wolf Security konkrétní přehled o nejnovějších technikách používaných kyberzločinci. Dosud uživatelé HP Wolf Security klikli na více než 40 miliard e-mailových příloh, webových stránek a stažených souborů bez hlášených narušení. Zpráva podrobně popisuje, jak kyberzločinci mění metody útoků, aby obešli bezpečnostní politiky a nástroje pro detekci. Aktuální data ukazují že:
- Nejméně 12 % e-mailových hrozeb identifikovaných nástrojem HP Sure Click[1] obešlo jeden nebo více skenerů na e-mailových branách.
- Nejčastějšími vektory hrozeb byly v posledním čtvrtletí přílohy e-mailů (53 %), stahování z prohlížečů (25 %) a další vektory infekce, jako jsou vyměnitelná úložiště (například USB flash disky) a sdílené soubory (22 %).
- V tomto čtvrtletí spoléhalo nejméně 65 % hrozeb spojených s dokumenty na spuštění kódu, nikoli na makra.
Ian Pratt globální šéf bezpečnosti osobních systémů v HP Inc., k tomu říká: „Techniky využívající existující legitimní nástroje odhalují základní nedostatky přístupu spočívajícího ve spoléhání se pouze na detekci. Protože útočníci používají legitimní nástroje, je obtížné odhalit hrozby, aniž by se objevilo mnoho falešných poplachů. Omezení hrozeb poskytuje ochranu i tehdy, když detekce selže; zabraňuje úniku nebo zničení uživatelských dat či přihlašovacích údajů a brání setrvání útočníků v systému. Proto by organizace měly přistupovat k bezpečnosti systematicky a komplexně, izolovat a omezovat vysoce rizikové aktivity, což povede ke zúžení možností pro útočníky.“
HP Wolf Security[2] spouští rizikové úkoly v izolovaných, hardwarem vynucených, jednorázových virtuálních strojích běžících na koncových zařízeních, čímž chrání uživatele, aniž by omezovala jejich produktivitu. Dále zachytává podrobné stopy pokusů o infekci. Technologie izolace aplikací od HP zmírňuje hrozby, které se vyhnou jiným bezpečnostním nástrojům, a poskytuje tak jedinečný vhled do technik narušení a chování útočníků.
Data byla získána od zákazníků (HP Wolf Security kteří s jejich sběrem vyjádřili souhlas) od ledna do března 2024.
O společnosti HP
Společnost HP Inc. (NYSE: HPQ) je celosvětovým lídrem v oblasti technologií a tvůrcem řešení, která umožňují lidem realizovat jejich nápady a zabývat se věcmi, na nichž jim záleží nejvíc. Společnost HP působí ve více než 170 zemích světa a nabízí širokou škálu inovativních a udržitelných zařízení, služeb a předplatitelských programů pro osobní počítače, běžný i 3D tisk, hybridní práci, hraní her a další.
Více informací o HP Inc. naleznete na http://www.hp.com.
[1] HP Sure Click Enterprise se prodává samostatně. Podporované přílohy zahrnují soubory Microsoft Office (Word, Excel, PowerPoint) a PDF, pokud je nainstalován Microsoft Office nebo Adobe Acrobat. Úplné systémové požadavky naleznete na stránkách HP needitujte hypertextový odkaz na systémové požadavky HP Sure Access Enterprise a HP Sure Click Enterprise na adrese: https://enterprisesecurity.hp.com/s/article/System-Requirements-for-HP-Sure-Access-Enterprise
[2] HP Wolf Security for Business vyžaduje systém Windows 10 nebo 11 Pro a vyšší, obsahuje různé bezpečnostní funkce HP a je k dispozici v produktech HP Pro, Elite, RPOS a Workstation. Informace o zahrnutých bezpečnostních funkcích naleznete v podrobnostech o produktu.