HP Inc. (NYSE: HPQ) a publicat raportul trimestrial HP Wolf Security Threat Insights, care explică cum hackerii înlănțuiesc diferite combinații de atacuri, precum cărămizile unui joc de construcție, pentru a ocoli instrumentele de detectare.
Prin izolarea amenințărilor care au trecut de instrumentele PC-urilor, HP Wolf Security are o perspectivă specifică asupra celor mai noi tehnici folosite de hackeri, în peisajul în continuă schimbare al criminalității cibernetice. Până în prezent, clienții HP Wolf Security au deschis peste 30 de miliarde de atașamente de e-mail, pagini web și fișiere descărcate, fără să fie raportate breșe.
Pe baza datelor provenite de la milioane de puncte terminale care rulează HP Wolf Security , studiul a descoperit:
• Hackerii folosesc atacuri de tip “building block”. În campaniile QakBot, infractorii cibernetici au conectat diferite instrumente pentru a crea lanțuri de infectare unice. Prin schimbarea diferitelor tipuri de fișiere și tehnici, aceștia au reușit să ocolească instrumentele de detectare și politicile de securitate. 32% dintre lanțurile de infectare QakBot analizate de HP în perioada aprilie-iunie au fost unice.
• Blogger sau keylogger? Autorii recentelor campanii Aggah au plasat codul malițios în cadrul popularei platforme de blogging, Blogspot. Prin ascunderea codului într-o sursă legitimă, au făcut mult mai dificilă detectarea unui eventual atac cibernetic. Hackerii își folosesc apoi cunoștințele despre sistemele Windows pentru a dezactiva unele instrumente anti-malware de pe calculatorul utilizatorului și a fura informații sensibile.
• Malware multilingv. O campanie recentă utilizează mai multe limbaje de programare pentru a evita detectarea. Mai întâi, criptează codul cu ajutorul unui program scris în Go, dezactivând funcțiile de scanare anti-malware care, în mod normal, l-ar detecta. Apoi schimbă limbajul în C++ pentru a interacționa cu sistemul de operare al utilizatorului atacat și pentru a rula programul malware în memorie, lăsând foarte puține urme în PC.
Patrick Schläpfer, analist senior în cadrul echipei de cercetare HP Wolf Security, comentează: „Infractorii cibernetici sunt din ce în ce mai bine organizați și mai bine informați. Aceștia cercetează și analizează sistemul de operare, ceea ce face mai simplă exploatarea lacunelor. Știind ce butoane trebuie să apese, aceștia pot naviga cu ușurință prin sistemele interne, folosind tehnici relativ simple în moduri foarte eficiente – fără a trage un semnal de alarmă.”
Raportul detaliază modul în care grupurile de infractori cibernetici își diversifică metodele de atac pentru a ocoli politicile de securitate și instrumentele de detectare. Principalele constatări:
• Arhivele au fost cel mai popular tip de livrare de malware pentru al cincilea trimestru consecutiv, fiind folosite în 44% dintre cazurile analizate de HP.
• În al doilea trimestru (aprilie-iunie) s-a înregistrat o creștere de 23% a amenințărilor HTML detectate de HP Wolf Security, comparativ cu primul trimestru.
• A existat o creștere de 4% în cazul fișierelor executabile – de la 14% la 18%, între primul și al doilea trimestru – cauzată în principal de utilizarea fișierului PDFpower.exe, care a grupat software-ul cu un malware de deturnare a browserului.
• Principalii vectori de amenințare în trimestrul al doilea au fost e-mailul (79%) și descărcările din browser (12%).
HP Wolf Security execută sarcini riscante, cum ar fi deschiderea atașamentelor de e-mail, descărcarea de fișiere și link-uri în micro-mașini virtuale (micro-VM) izolate, fără a afecta productivitatea. De asemenea, captează urme detaliate ale încercărilor de infectare. Tehnologia HP de izolare a aplicațiilor atenuează amenințările care ar putea trece neobservate de alte instrumente de securitate și oferă informații unice despre noile tehnici abordate de hackeri.
Despre studiu
Datele au fost colectate în mod anonim cu instrumentele HP Wolf Security, în perioada aprilie-iunie 2023.