20.4 C
Athens
Κυριακή, 21 Απριλίου, 2024

HP: Εντοπίζει κυβερνοεγκληματίες που εξαπατούν τους χρήστες μέσω Excel

Μυστικές τεχνικές και αυξανόμενες εκστρατείες κακόβουλου λογισμικού του Excel βάζουν τα θύματα στο στόχαστρο συμμοριών ransomware

Η HP Inc. κυκλοφόρησε την πιο πρόσφατη παγκόσμια έκθεση HP Wolf Security Threat Insights, παρέχοντας ανάλυση των πραγματικών επιθέσεων στον κυβερνοχώρο. Απομονώνοντας απειλές που έχουν αποφύγει τα εργαλεία ανίχνευσης και έχουν φτάσει στα τελικά σημεία των χρηστών, το HP Wolf Security έχει συγκεκριμένες πληροφορίες για τις πιο πρόσφατες τεχνικές που χρησιμοποιούνται από εγκληματίες στον κυβερνοχώρο.

Η ερευνητική ομάδα απειλών της HP Wolf Security εντόπισε ένα κύμα επιθέσεων που χρησιμοποιούν πρόσθετα αρχεία Excel για τη διάδοση κακόβουλου λογισμικού, βοηθώντας τους εισβολείς να αποκτήσουν πρόσβαση σε στόχους και εκθέτοντας επιχειρήσεις και άτομα σε κλοπή δεδομένων και καταστροφικές επιθέσεις ransomware.

Εξαπλάσια αύξηση

Υπήρξε μια τεράστια εξαπλάσια αύξηση (+588%) στους εισβολείς που χρησιμοποιούσαν κακόβουλα πρόσθετα αρχεία Microsoft Excel (.xll) για να μολύνουν συστήματα σε σύγκριση με το τελευταίο τρίμηνο – μια τεχνική που βρέθηκε ιδιαίτερα επικίνδυνη καθώς απαιτεί μόνο ένα κλικ για να εκτελεστεί το κακόβουλο λογισμικό.

Η ομάδα βρήκε επίσης διαφημίσεις για kit δημιουργίας .xll dropper και κακόβουλου λογισμικού σε υπόγειες αγορές, διευκολύνοντας τους άπειρους εισβολείς να ξεκινήσουν καμπάνιες.

Επιπλέον, μια πρόσφατη καμπάνια ανεπιθύμητης αλληλογραφίας QakBot χρησιμοποίησε αρχεία Excel για να εξαπατήσει στόχους, χρησιμοποιώντας παραβιασμένους λογαριασμούς email για να παραβιάσει κόμβους email και να απαντήσει με ένα συνημμένο κακόβουλο αρχείο Excel (.xlsb).

Κακόβουλη εκστρατεία ανεπιθύμητης αλληλογραφίας

Αφού παραδοθεί στα συστήματα, το QakBot εισχωρεί σε νόμιμες διαδικασίες των Windows για να αποφύγει τον εντοπισμό. Κακόβουλα αρχεία Excel (.xls) χρησιμοποιήθηκαν επίσης για τη διάδοση του τραπεζικού Trojan Ursnif σε ιταλόφωνες επιχειρήσεις και οργανισμούς του δημόσιου τομέα μέσω μιας κακόβουλης εκστρατείας ανεπιθύμητης αλληλογραφίας, με τους εισβολείς να παριστάνουν την ιταλική υπηρεσία ταχυμεταφορών BRT. Οι νέες καμπάνιες που διαδίδουν κακόβουλο λογισμικό Emotet χρησιμοποιούν πλέον το Excel αντί για αρχεία JavaScript ή Word.

Άλλες αξιοσημείωτες απειλές που απομονώθηκαν από την ομάδα της HP Wolf Security threat insight αποτελούν:

  • Η επιστροφή της ΤΑ505? Η HP εντόπισε μια καμπάνια ηλεκτρονικού “ψαρέματος” μέσω email της MirrorBlast που μοιράζεται πολλές τακτικές, τεχνικές και διαδικασίες (TTP) με την TA505, μια ομάδα απειλών με οικονομικά κίνητρα, γνωστή για τεράστιες καμπάνιες ανεπιθύμητου κακόβουλου λογισμικού και πρόσβαση σε μολυσμένα συστήματα με χρήση ransomware. Η επίθεση στόχευε οργανισμούς με τον FlawedGrace Remote Access Trojan (RAT).

RedLine

  • Η ψεύτικη πλατφόρμα τυχερών παιχνιδιών που μολύνει τα θύματα με RedLine: Ανακαλύφθηκε ένας πλαστός ιστότοπος εγκατάστασης Discord, ο οποίος εξαπατά τους επισκέπτες να κατεβάσουν το RedLine infostealer και να κλέψουν τα διαπιστευτήριά τους.
  • Η εναλλαγή ασυνήθιστων τύπων αρχείων εξακολουθεί να παρακάμπτει την ανίχνευση: Η ομάδα απειλών Aggah στόχευε οργανισμούς που μιλούν Κορεάτικα με κακόβουλα πρόσθετα αρχεία PowerPoint (.ppa) μεταμφιεσμένα ως παραγγελίες αγοράς, μολύνοντας συστήματα με Trojans απομακρυσμένης πρόσβασης. Το κακόβουλο λογισμικό PowerPoint είναι ασυνήθιστο, καθώς αποτελεί το 1% του κακόβουλου λογισμικού.

«Η κατάχρηση των νόμιμων λειτουργιών του λογισμικού για απόκρυψη από τα εργαλεία ανίχνευσης είναι μια κοινή τακτική για τους εισβολείς, όπως και η χρήση ασυνήθιστων τύπων αρχείων που μπορεί να επιτρέπονται πέρα ​​από τις πύλες ηλεκτρονικού ταχυδρομείου.

Τι πρεπει να κάνουν οι ομάδες ασφαλείας

Οι ομάδες ασφαλείας πρέπει να διασφαλίσουν ότι δεν βασίζονται μόνο στον εντοπισμό και ότι συμβαδίζουν με τις πιο πρόσφατες απειλές, ενημερώνοντας ανάλογα τις άμυνές τους. Για παράδειγμα, με βάση την απότομη αύξηση των κακόβουλων εμφανίσεων .xll που βλέπουμε, προτρέπω τους διαχειριστές του δικτύου να διαμορφώσουν τις πύλες ηλεκτρονικού ταχυδρομείου για να αποκλείουν τα εισερχόμενα συνημμένα .xll, να επιτρέπουν μόνο πρόσθετα υπογεγραμμένα από αξιόπιστους συνεργάτες ή να απενεργοποιούν πλήρως τα πρόσθετα του Excel. » εξηγεί ο Alex Holland, Senior Malware Analyst, HP Wolf Security threat research team της HP Inc.

«Οι εισβολείς καινοτομούν συνεχώς για να βρουν νέες τεχνικές για να αποφύγουν τον εντοπισμό, επομένως είναι ζωτικής σημασίας οι επιχειρήσεις να σχεδιάζουν και να προσαρμόζουν τις άμυνές τους με βάση το τοπίο απειλών και τις επιχειρηματικές ανάγκες των χρηστών τους. Οι φορείς απειλών έχουν επενδύσει σε τεχνικές όπως η πειρατεία μέσω email, καθιστώντας πιο δύσκολο από ποτέ για τους χρήστες να ξεχωρίσουν φίλο από εχθρό.»

Τα ευρήματα βασίζονται σε δεδομένα από πολλά εκατομμύρια τελικά σημεία που εκτελούν το HP Wolf Security. Το HP Wolf Security παρακολουθεί κακόβουλο λογισμικό ανοίγοντας επικίνδυνες εργασίες σε μεμονωμένες, μίκρο-εικονικές μηχανές (micro-VMs) για να κατανοήσει και να καταγράψει την πλήρη αλυσίδα μόλυνσης, συμβάλλοντας στον μετριασμό απειλών που έχουν περάσει από άλλα εργαλεία ασφαλείας.

Κατανοώντας καλύτερα τη συμπεριφορά του κακόβουλου λογισμικού

Αυτό επέτρεψε στους πελάτες να κάνουν κλικ σε περισσότερα από 10 δισεκατομμύρια συνημμένα email, ιστοσελίδες και λήψεις χωρίς αναφερόμενες παραβιάσεις. Κατανοώντας καλύτερα τη συμπεριφορά του κακόβουλου λογισμικού στη φύση, οι ερευνητές και οι μηχανικοί του HP Wolf Security μπορούν να ενισχύσουν την προστασία της ασφάλειας τελικού σημείου και τη συνολική ανθεκτικότητα του συστήματος.

Άλλα βασικά ευρήματα στην έκθεση περιλαμβάνουν:

  • Το 13% του κακόβουλου λογισμικού email που απομονώθηκε είχε παρακάμψει τουλάχιστον έναν σαρωτή πύλης email.
  • Οι απειλές χρησιμοποίησαν 136 διαφορετικές επεκτάσεις αρχείων στις προσπάθειές τους να μολύνουν οργανισμούς.
  • Το 77% του κακόβουλου λογισμικού που εντοπίστηκε παραδόθηκε μέσω email, ενώ οι λήψεις ιστού ήταν υπεύθυνες για το 13%.
  • Τα πιο συνηθισμένα συνημμένα που χρησιμοποιήθηκαν για την παράδοση κακόβουλου λογισμικού ήταν έγγραφα (29%), αρχεία (28%), εκτελέσιμα αρχεία (21%), υπολογιστικά φύλλα (20%).
  • Τα πιο συνηθισμένα θέλγητρα ηλεκτρονικού ψαρέματος σχετίζονταν με πρωτοχρονιάτικες ή επιχειρηματικές συναλλαγές όπως «Παραγγελία», «2021/2022», «Πληρωμή», «Αγορά», «Αίτημα» και «Τιμολόγιο».

Κρυφές επιθέσεις

«Σήμερα, παράγοντες χαμηλού επιπέδου απειλών μπορούν να πραγματοποιήσουν κρυφές επιθέσεις και να πουλήσουν πρόσβαση σε οργανωμένες ομάδες ransomware, οδηγώντας σε παραβιάσεις μεγάλης κλίμακας που θα μπορούσαν να ακρωτηριάσουν τα συστήματα πληροφορικής και να σταματήσουν τις λειτουργίες», σχολιάζει ο Dr. Ian Pratt, Global Head of Security for Personal Systems, της HP Inc.

«Οι οργανισμοί θα πρέπει να επικεντρωθούν στη μείωση της επιφάνειας της επίθεσης και να επιτρέψουν τη γρήγορη ανάκαμψη σε περίπτωση συμβιβασμού. Αυτό σημαίνει να ακολουθείτε Zero Trust αρχές και να εφαρμόζετε ισχυρή διαχείριση ταυτότητας, λιγότερα προνόμια και απομόνωση από το επίπεδο hardware. Για παράδειγμα, με την απομόνωση κοινών φορέων επίθεσης όπως email, προγράμματα περιήγησης ή λήψεις με χρήση μίκρο-εικονικοποίησης, κάθε πιθανό κακόβουλο λογισμικό ή εκμεταλλεύσεις που κρύβονται μέσα περιορίζονται, καθιστώντας τα αβλαβή».

Κοινοποιηση αρθρου

Τελευταια Νεα

Η Hewlett Packard Enterprise στο 9ο Delphi Economic Forum

H Hewlett Packard Enterprise συμμετείχε στο Οικονομικό Φόρουμ των Δελφών, παρουσιάζοντας το όραμα της για την υπεύθυνη, ηθική ανάπτυξη και χρήση του AI μέσα...

Απλά Ψηφιακά 134: Οι επόμενες κινήσεις της Performance (Δ. Χιντζίδης), οι εξελίξεις στις τηλεπικοινωνίες και τα ηλεκτρικά σχέδια της Quest

Για την πορεία της Performance Technologies, τους διευρυμένους τομείς δραστηριοποίησής της, καθώς και τα επόμενα της σχέδια, μίλησε στον Δημήτρη Μαλλά και την Νίκη...

+6% στο ελληνικό ΑΕΠ μπορεί να προσθέσει η τεχνητή νοημοσύνη σε ορίζοντα 10ετίας

Σημαντικό οικονομικό αποτύπωμα στην ελληνική οικονομία μπορεί να δημιουργήσει η παραγωγική τεχνητή νοημοσύνη (GenAI), εφόσον η χώρα μας καταφέρει να ξεπεράσει τη σημερινή υστέρηση...

Η AEGEAN επενδύει σε 4 νέα Airbus

Η AEGEAN ανακοινώνει τη στρατηγική της απόφαση να επενδύσει σε, αρχικά, τέσσερα αεροσκάφη μιας «ειδικά διαμορφωμένης», αναβαθμισμένης, έκδοσης των A321neo, με δυνατότητα πτήσεων μεγαλύτερης...

Τα νέα προγράμματα Nova Family φέρνουν την οικογένεια πιο κοντά

Στη σύγχρονη εποχή όλοι μας θέλουμε να είμαστε σε συνεχή επικοινωνία και να μοιραζόμαστε έντονες στιγμές και εμπειρίες ψυχαγωγίας. Μια άλλη, ξεκάθαρη ακόμη ανάγκη...