Securitate, Studii — October 22, 2021 at 12:03 pm

Hackerii exploatează vulnerabilitățile de tip zero-day înainte ca organizațiile și companiile să implementeze măsuri

by

HP Inc. (NYSE: HPQ) a lansat cel mai nou raport global HP Wolf Security Threat Insights, care prezintă o analiză a atacurilor cibernetice reale. Izolând amenințările care au reușit să evite instrumentele de detectare și care au ajuns la punctele terminale, HP Wolf Security oferă o perspectivă unică asupra celor mai noi tehnici folosite de hackeri.

HP Wolf SecurityEchipa HP Wolf Security a descoperit că atacatorii cibernetici se mobilizează rapid pentru a profita de noile vulnerabilități de tip zero-day. Exploatarea vulnerabilității CVE-2021-40444  – o vulnerabilitate prin care poate fi exploatat motorul de browser MSHTML utilizând documente Microsoft Office – a fost descoperită de HP pe 8 septembrie, cu o săptămână înainte de lansarea unui update (patch) în data de 14 septembrie.

Până pe 10 septembrie – în doar trei zile de la informarea inițială despre această amenințare – echipa HP a găsit în GitHub scripturi care automatizau această exploatare. În absența unui patch, această vulnerabilitate permite hackerilor să compromită punctele terminale cu o interacțiune minimă din partea utilizatorilor. Folosește un fișier de arhivă corupt care transmite malware printr-un document Office. Utilizatorii nu trebuie să deschidă fișierul, simpla previzualizare în File Explorer este suficientă pentru inițierea atacului despre care utilizatorul, de cele mai multe ori, nu este conștient. Odată dispozitivul compromis, hackerii pot instala o poartă de intrare ascunsă în sistem.

Alte amenințări importante identificate de echipa HP Wolf Security:
Creșterea numărului de hackeri care folosesc furnizori legitimi de Cloud și Internet pentru a încărca malware: O campanie recentă GuLoader încărca troianul Remcos Remote Access (RAT) pe platforme importante, precum OneDrive, pentru a evita sisteme de protecție și pentru a trece de testele de verificare. De asemenea, HP Wolf Security a descoperit mai multe familii de malware pe platforme social media precum Discord.
Malware tip JavaScript care eludează instrumentele de detectare: O campanie care împrăștie diverse fișiere JavaScript RAT prin atașamente de email compromise. Fișierele troian RAT sunt din ce în ce mai utilizate, pentru că atacatorii cibernetici încearcă să fure informații din conturi de business sau din portofele pentru criptomonede.
Utilizarea fișierelor de tip HTA pentru a răspândi malware printr-un singur clIck. Troianul Trickbot este acum livrat prin fișiere HTA (o aplicație HTML), care plasează malware imediat ce atașamentul sau fișierul arhivat care îl conține este deschis. Fișierele compromise HTA sunt puțin probabil să fie detectate de instrumentele de protecție.

„Timpul mediu în care o companie aplică, testează și implementează patch-uri, cu verificările necesare, este de 97 de zile, oferind astfel hackerilor oportunitatea de a exploata această ”fereastră de vulnerabilitate.” Inițial, doar atacatorii cibernetici foarte experimentați puteau exploata această vulnerabilitate, dar scripturile automate au făcut ca tipul acesta de atac să fie accesibil și hackerilor mai puțin experimentați.  Astfel, riscul pentru companii crește substanțial, pe măsură ce exploatările de tip zero-day sunt automatizate și accesibile în locuri precum forumurile underground”, a explicat Alex Holland, Senior Malware Analyst, parte din echipa de cercetare HP Wolf Security din cadrul HP Inc. „De asemenea, observăm platforme importante, precum OneDrive, care oferă hackerilor posibilitatea de a organiza atacuri fulger. Deși malware-ul stocat pe astfel de platforme este șters rapid, acest lucru nu îi descurajează pe atacatori deoarece își pot atinge obiectivul livrând malware în orele în care fișierele sunt live”, a explicat Holland. “Unii atacatori cibernetici schimbă scriptul sau tipul de fișier pe care îl utilizează o dată la câteva luni. Fișierele compromise JavaScript și HTA nu sunt noi, dar ajung totuși în poșta electronică a angajaților, vulnerabilizând compania. O campanie a lansat Vengeance Justice Worm, care se poate multiplica și în alte sisteme sau stick-uri USB.”

Rezultatele cercetării se bazează pe informații adunate de la milioane de puncte terminale care utilizează HP Wolf Security.

Cele mai importante concluzii ale raportului:
• 12% din malware-ul primit în email, care a fost izolat, a trecut de cel puțin un scaner gateway.
• 89% din malware-ul detectat a fost livrat prin email, în timp ce descărcarea fișierelor de pe web a fost responsabilă pentru 11%, iar alți vectori precum dispozitive externe de stocare pentru mai puțin de 1%.
• Cele mai uzuale atașamente folosite pentru a livra malware au fost fișierele de arhivă (38% față de 17.26% în trimestrul trecut), documentele Word (23%), documentele Excel (17%) și fișierele executabile (16%).
• Cele mai utilizate amenințări de tip phishing au utilizat cuvinte despre tranzacții business, precum “comandă”, “plată”, “nou”, “cotație” și “cerere”.
• Raportul arată că 12% din malware-ul detectat nu era cunoscut până acum .

„Nu ne mai putem baza doar pe instrumente de detectare. Organizațiile au nevoie de mai multe straturi pentru securitatea punctelor terminale, utilizând principiile zero încredere pentru a limita și izola cei mai comuni vectori de atac pentru email, browser web și fișiere descărcate. Astfel, pot elimina atacurile și amenințările, oferind companiilor timp pentru a coordona în siguranță patch-uri, fără a-și întrerupe activitatea”, a declarat Dr. Ian Pratt – Global Head of Security for Personal Systems în cadrul HP Inc.