Echipa de cercetare HP Wolf Security a raportat că atacatorii cibernetici folosesc furnizori legitimi de Cloud pentru a stoca malware și schimbă tipurile de fișiere pentru a ocoli instrumentele de detectare, potrivit unui comunicat de presă.
HP Inc. (NYSE: HPQ) a lansat cel mai nou raport global HP Wolf Security Threat Insights, care prezintă o analiză a atacurilor cibernetice reale. Izolând amenințările care au reușit să evite instrumentele de detectare și care au ajuns la punctele terminale, HP Wolf Security oferă o perspectivă unică asupra celor mai noi tehnici folosite de hackeri.
Echipa HP Wolf Security a descoperit că atacatorii cibernetici se mobilizează rapid pentru a profita de noile vulnerabilități de tip zero-day. Exploatarea vulnerabilității CVE-2021-40444[1] – o vulnerabilitate prin care poate fi exploatat motorul de browser MSHTML utilizând documente Microsoft Office – a fost descoperită de HP pe 8 septembrie, cu o săptămână înainte de lansarea unui update (patch) în data de 14 septembrie.
Până pe 10 septembrie – în doar trei zile de la informarea inițială despre această amenințare – echipa HP a găsit în GitHub scripturi care automatizau această exploatare. În absența unui patch, această vulnerabilitate permite hackerilor să compromită punctele terminale cu o interacțiune minimă din partea utilizatorilor. Folosește un fișier de arhivă corupt care transmite malware printr-un document Office. Utilizatorii nu trebuie să deschidă fișierul, simpla previzualizare în File Explorer este suficientă pentru inițierea atacului despre care utilizatorul, de cele mai multe ori, nu este conștient. Odată dispozitivul compromis, hackerii pot instala o poartă de intrare ascunsă în sistem.
“Timpul mediu în care o companie aplică, testează și implementează patch-uri, cu verificările necesare, este de 97 de zile, oferind astfel hackerilor oportunitatea de a exploata această ”fereastră de vulnerabilitate.” Inițial, doar atacatorii cibernetici foarte experimentați puteau exploata această vulnerabilitate, dar scripturile automate au făcut ca tipul acesta de atac să fie accesibil și hackerilor mai puțin experimentați. Astfel, riscul pentru companii crește substanțial, pe măsură ce exploatările de tip zero-day sunt automatizate și accesibile în locuri precum forumurile underground”, a explicat Alex Holland, Senior Malware Analyst, parte din echipa de cercetare HP Wolf Security din cadrul HP Inc. “De asemenea, observăm platforme importante, precum OneDrive, care oferă hackerilor posibilitatea de a organiza atacuri fulger. Deși malware-ul stocat pe astfel de platforme este șters rapid, acest lucru nu îi descurajează pe atacatori deoarece își pot atinge obiectivul livrând malware în orele în care fișierele sunt live”, a explicat Holland. “Unii atacatori cibernetici schimbă scriptul sau tipul de fișier pe care îl utilizează o dată la câteva luni. Fișierele compromise JavaScript și HTA nu sunt noi, dar ajung totuși în poșta electronică a angajaților, vulnerabilizând compania. O campanie a lansat Vengeance Justice Worm, care se poate multiplica și în alte sisteme sau stick-uri USB.”
Rezultatele cercetării se bazează pe informații adunate de la milioane de puncte terminale care utilizează HP Wolf Security.
Cele mai importante concluzii ale raportului:
“Nu ne mai putem baza doar pe instrumente de detectare. Organizațiile au nevoie de mai multe straturi pentru securitatea punctelor terminale, utilizând principiile zero încredere pentru a limita și izola cei mai comuni vectori de atac pentru email, browser web și fișiere descărcate. Astfel, pot elimina atacurile și amenințările, oferind companiilor timp pentru a coordona în siguranță patch-uri, fără a-și întrerupe activitatea”, a declarat Dr. Ian Pratt – Global Head of Security for Personal Systems în cadrul HP Inc.