HP Threat Insights Report: Hackerii exploatează vulnerabilitățile de tip zero-day înainte ca organizațiile și companiile să implementeze măsuri

Echipa de cercetare HP Wolf Security a raportat că atacatorii cibernetici folosesc furnizori legitimi de Cloud pentru a stoca malware și schimbă tipurile de fișiere pentru a ocoli instrumentele de detectare, potrivit unui comunicat de presă.

HP Inc. (NYSE: HPQ) a lansat cel mai nou raport global  HP Wolf Security Threat Insights, care prezintă o analiză a atacurilor cibernetice reale. Izolând amenințările care au reușit să evite instrumentele de detectare și care au ajuns la punctele terminale, HP Wolf Security oferă o perspectivă unică asupra celor mai noi tehnici folosite de hackeri.

Echipa HP Wolf Security a descoperit că atacatorii cibernetici se mobilizează rapid pentru a profita de noile vulnerabilități de tip zero-day. Exploatarea vulnerabilității CVE-2021-40444[1] – o vulnerabilitate prin care poate fi exploatat motorul de browser MSHTML utilizând documente Microsoft Office – a fost descoperită de HP pe 8 septembrie, cu o săptămână înainte de lansarea unui update (patch) în data de 14 septembrie.

Până pe 10 septembrie – în doar trei zile de la informarea inițială despre această amenințare – echipa HP a găsit în GitHub scripturi care automatizau această exploatare. În absența unui patch, această vulnerabilitate permite hackerilor să compromită punctele terminale cu o interacțiune minimă din partea utilizatorilor. Folosește un fișier de arhivă corupt care transmite malware printr-un document Office. Utilizatorii nu trebuie să deschidă fișierul, simpla previzualizare în File Explorer este suficientă pentru inițierea atacului despre care utilizatorul, de cele mai multe ori, nu este conștient. Odată dispozitivul compromis, hackerii pot instala o poartă de intrare ascunsă în sistem.

Alte amenințări importante identificate de echipa HP Wolf Security:

• Creșterea numărului de hackeri care folosesc furnizori legitimi de Cloud și Internet pentru a încărca malware: O campanie recentă GuLoader încărca troianul Remcos Remote Access (RAT) pe platforme importante, precum OneDrive, pentru a evita sisteme de protecție și pentru a trece de testele de verificare. De asemenea, HP Wolf Security a descoperit mai multe familii de malware pe platforme social media precum Discord.
• Malware tip JavaScript care eludează instrumentele de detectare: O campanie care împrăștie diverse fișiere JavaScript RAT prin atașamente de email compromise. Fișierele troian RAT sunt din ce în ce mai utilizate, pentru că atacatorii cibernetici încearcă să fure informații din conturi de business sau din portofele pentru criptomonede.
• Utilizarea fișierelor de tip HTA pentru a răspândi malware printr-un singur clIck. Troianul Trickbot este acum livrat prin fișiere HTA (o aplicație HTML), care plasează malware imediat ce atașamentul sau fișierul arhivat care îl conține este deschis. Fișierele compromise HTA sunt puțin probabil să fie detectate de instrumentele de protecție.

“Timpul mediu în care o companie aplică, testează și implementează patch-uri, cu verificările necesare, este de 97 de zile, oferind astfel hackerilor oportunitatea de a exploata această ”fereastră de vulnerabilitate.” Inițial, doar atacatorii cibernetici foarte experimentați puteau exploata această vulnerabilitate, dar scripturile automate au făcut ca tipul acesta de atac să fie accesibil și hackerilor mai puțin experimentați.  Astfel, riscul pentru companii crește substanțial, pe măsură ce exploatările de tip zero-day sunt automatizate și accesibile în locuri precum forumurile underground”, a explicat Alex Holland, Senior Malware Analyst, parte din echipa de cercetare HP Wolf Security din cadrul HP Inc. “De asemenea, observăm platforme importante, precum OneDrive, care oferă hackerilor posibilitatea de a organiza atacuri fulger. Deși malware-ul stocat pe astfel de platforme este șters rapid, acest lucru nu îi descurajează pe atacatori deoarece își pot atinge obiectivul livrând malware în orele în care fișierele sunt live”, a explicat Holland. “Unii atacatori cibernetici schimbă scriptul sau tipul de fișier pe care îl utilizează o dată la câteva luni. Fișierele compromise JavaScript și HTA nu sunt noi, dar ajung totuși în poșta electronică a angajaților, vulnerabilizând compania. O campanie a lansat Vengeance Justice Worm, care se poate multiplica și în alte sisteme sau stick-uri USB.”

Rezultatele cercetării se bazează pe informații adunate de la milioane de puncte terminale care utilizează HP Wolf Security.

Cele mai importante concluzii ale raportului:

• 12% din malware-ul primit în email, care a fost izolat, a trecut de cel puțin un scaner gateway.
• 89% din malware-ul detectat a fost livrat prin email, în timp ce descărcarea fișierelor de pe web a fost responsabilă pentru 11%, iar alți vectori precum dispozitive externe de stocare pentru mai puțin de 1%.
• Cele mai uzuale atașamente folosite pentru a livra malware au fost fișierele de arhivă (38% față de 17.26% în trimestrul trecut), documentele Word (23%), documentele Excel (17%) și fișierele executabile (16%).
• Cele mai utilizate amenințări de tip phishing au utilizat cuvinte despre tranzacții business, precum “comandă”, “plată”, “nou”, “cotație” și “cerere”.
• Raportul arată că 12% din malware-ul detectat nu era cunoscut până acum[2].

“Nu ne mai putem baza doar pe instrumente de detectare. Organizațiile au nevoie de mai multe straturi pentru securitatea punctelor terminale, utilizând principiile zero încredere pentru a limita și izola cei mai comuni vectori de atac pentru email, browser web și fișiere descărcate. Astfel, pot elimina atacurile și amenințările, oferind companiilor timp pentru a coordona în siguranță patch-uri, fără a-și întrerupe activitatea”, a declarat Dr. Ian Pratt – Global Head of Security for Personal Systems în cadrul HP Inc.

 ***

Despre raport

Aceste date au fost obținute în cadrul cercetării HP Wolf Security în perioada iulie – septembrie 2021.

Despre HP
HP Inc. creează tehnologii pentru o viață mai bună pentru oricine, oriunde pe glob. Prin portofoliul nostru de produse și servicii – PC-uri, imprimante, soluții de imprimare 3D – facilităm experiențe uimitoare.

Despre HP Wolf Security
Lansat de producătorul celor mai sigure computere[3] și imprimante[4] din lume, HP Wolf Security este un nivel de securitate[5] pentru punctele terminale. Portofoliul HP de funcții de securitate aplicate hardware-ului și de servicii de securitate pentru punctele terminale sunt concepute pentru a ajuta organizațiile să-și protejeze computerele, imprimantele și angajații împotriva atacatorilor cibernetici. HP Wolf Security oferă reziliență și protecție completă a punctelor terminale, care începe cu hardware-ul și se extinde pentru software și servicii.

[1] Microsoft credited security researchers Rick Cole (MSTIC), Dhanesh Kizhakkinan of Mandiant, Haifei Li of EXPMON, and Bryce Abdo of Mandiant for discovering the zero-day vulnerability.

[2] Based on first-seen in the wild data from multiple antivirus engines.

[3] Based on HP’s unique and comprehensive security capabilities at no additional cost among vendors on HP Elite PCs with Windows and 8th Gen and higher Intel® processors or AMD Ryzen™ 4000 processors and higher; HP ProDesk 600 G6 with Intel® 10th Gen and higher processors; and HP ProBook 600 with AMD Ryzen™ 4000 or Intel® 11th Gen processors and higher.

[4] HP’s most advanced embedded security features are available on HP Enterprise and HP Managed devices with HP FutureSmart firmware 4.5 or above. Claim based on HP review of 2021 published features of competitive in-class printers. Only HP offers a combination of security features to automatically detect, stop, and recover from attacks with a self-healing reboot, in alignment with NIST SP 800-193 guidelines for device cyber resiliency. For a list of compatible products, visit: hp.com/go/PrintersThatProtect. For more information, visit: hp.com/go/PrinterSecurityClaims.

[5] HP Security is now HP Wolf Security. Security features vary by platform, please see product data sheet for details.