Firma HP opublikowała raport na temat zagrożeń bezpieczeństwa w sieci HP-Bromium Threat Insights Report, analizujący dane z ostatniego kwartału 2020. Jak pokazują informacje zebrane za pomocą usługi HP Sure Click Enterprise (obsługiwanej przez Bromium), nasiliły się cyberataki z wykorzystaniem malware Dridex i Emotet. Praktyka infekowania formularzy Excel, dotychczas wykorzystywana przez przestępców w ramach sektora bankowego zaczyna dotykać również innych gałęzi biznesu.
Najczęstsze zagrożenia wykrywane przez HP Sure Click
W Q4 2020, 29% ataków odizolowanych przez rozwiązanie HP Sure Click przeprowadzono przy pomocy nowego, nieznanego oprogramowania. Najczęściej występującym rodzajem były Trojany (66,4%), następnie Exploity (12,7%), zaś pozostałe rodzaje zagrożeń stanowiły Downloadery, programy wykradające dane, narzędzia hackerskie i inne. Eksperci zauważyli, że do ataków najczęściej dochodziło w środy, a najwięcej zarejestrowano ich w grudniu (37,4% ataków). Wzrasta również liczba pozytywnych wyników – 88% alertów zostało potwierdzonych jako złośliwe oprogramowanie po dalszej analizie. Niezwykle często źródło zagrożeń to także e-maile oraz ataki prowadzone przez różne narzędzia do tworzenia szkodliwego spamu, wśród których najpopularniejsze to Emotet i Dridex.
Dridex – złośliwy spam pojawia o 239% częściej
W ostatnim kwartale 2020 r. 88% zagrożeń odizolowanych przez rozwiązanie HP Sure Click zostało dostarczonych pocztą elektroniczną. Pozostałe 12% to pliki pobrane przez internet. Malware z rodziny Dridex był w Q4 2020 drugim najczęściej rozsyłanym wirusowym spamem, zaraz po zagrożeniu typu Emotet. Jak pokazują dane, od 2017 roku sukcesywnie rośnie liczba przypadków, gdzie oprogramowanie typu Trojan wykorzystywane jest do szantażu w celu wyłudzenia pieniędzy od użytkownika. Dridex coraz częściej infekuje komputery za pomocą zawirusowanych arkuszy Excel, które pobierają ransomware z zewnętrznych serwerów. Infekowanie komputerów z wykorzystaniem złośliwych oprogramowań w arkuszach kalkulacyjnych wzrosło w Q4 o 9% w porównaniu z poprzednim kwartałem.
Warto podkreślić, że utrzymuje się trend zamieszczania w takich plikach setek adresów URL, z których pobierane jest malware, co znacznie zwiększa skuteczność ataków, ponieważ programy zabezpieczające sieci zmuszone są do blokowania ogromnej liczby adresów.
Luki w zabezpieczeniach przeglądarek internetowych prowadzą do kradzieży danych
W listopadzie 2020 HP Threat Research zidentyfikowało atak malware wykorzystujący błędnie zapisane adresy popularnych komunikatorów internetowych. Strona główna fałszywych domen przekierowywała użytkowników do stron RigEK, które próbowały wykorzystać luki w przeglądarkach oraz wtyczkach, instalując w systemach malware FickerStealer. Luki wykorzystywane przez RigEK dotyczyły przeglądarek i wtyczek opierających się na technologii Flash, Java oraz Silverlight. W zautomatyzowany sposób, jeśli odpowiednie warunki zostały spełnione, program instalował lukę w systemie, przez którą później dostawał się wirus FickerStealer.
FickerStealer to rodzina szkodliwego oprogramowania kradnącego informacje, która pojawiła się w październiku 2020 roku na rosyjskojęzycznych, podziemnych forach. Jego możliwości obejmują kradzież poufnych informacji, takich jak hasła, formularze autouzupełniania przeglądarki i portfele kryptowalut.
APOMacroSploit – szkodliwe maile przypominające informacje o dostawach
Wzrosła również częstotliwość przenoszenia zagrożeń za pomocą plików EXE, XLS oraz XLSM. Maile tworzone przez APOMacroSploit przypominały te z informacjami o dostawie zamówień. Najbardziej skuteczną metodą ataku okazało się wykorzystanie starych technologii, takich jak makra Excela 4.0. Programy Malware osadzone w arkuszach Excel pojawiały się już w 2012 roku, jednak obecnie zostały wykryte w ramach szerszych ataków opartych na threadhijackingu. Najlepszą metodą zabezpieczenia się przed takimi zagrożeniami jest otwieranie załączników w wyizolowanym środowisku.
Eksperci HP Sure Click wskazują, że najprostszą metodą na zwiększenie bezpieczeństwa, jest uruchomienia zabezpieczeń skrzynek mailowych oraz plików z pakietu Microsoft Office w ustawieniach usługi HP Sure Click. Funkcja ta jest domyślnie uruchomiana na portalu klienta, ale warto sprawdzić czy działa bez zastrzeżeń, aby zwiększyć bezpieczeństwo systemu.
Zalecenia HP Sure Click Enterprise
Przeprowadzenie badań składających się na raport HP-Bronium Threat Insights było możliwe dzięki użytkownikom, którzy wyrazili zgodę na dzielenie się danymi o zagrożeniach. Dzięki temu ostrzeżenia trafiają prosto do ekspertów obsługujących HP Sure Click, prowadząc do usprawnienia rozwiązania, na przykład przez wyeliminowanie fałszywie pozytywnych ostrzeżeń. W ostatnim kwartale 2020 r. odnotowano już 1.4% wzrost zagrożeń odizolowanych przez HP Sure Click po ominięciu innych zabezpieczeń.
Aby w pełni korzystać z możliwości jakie zapewnia HP Sure Click, eksperci HP zalecają:
- Włączenie Threat Intelligence Service oraz zgłaszania zagrożeń. Dzięki temu luki bezpieczeństwa w ramach endpoint będą stale aktualizowane przez Bromium Rules File (BRF), zabezpieczając sieci domowe.
- Regularną aktualizację kontrolera HP Sure Controller – najnowsze informacje o wersji i oprogramowaniu są dostępne do pobrania w ramach portalu klienta.
- Aktualizowanie punktów końcowych oprogramowania HP Sure Click Enterprise co najmniej dwa razy w roku, aby być na bieżąco z regułami wykrywania zagrożeń dodawanymi przez zespół ekspertów HP.