Hackerii folosesc furnizori legitimi de cloud pentru a stoca malware. Aproape 90% din malware-ul detectat a fost livrat prin e-mail, arată un raport HP
Echipa de securitate cibernetică HP a descoperit că hackerii se mobilizează rapid pentru a profita de noile vulnerabilități de tip zero-day. Aceștia folosesc furnizori legitimi de Cloud pentru a stoca malware și schimbă tipurile de fișiere pentru a ocoli instrumentele de detectare, potrivit celui mai recent raport HP Wolf Security Threat Insights. “Timpul mediu în care o companie aplică, testează și implementează patch-uri, cu verificările necesare, este de 97 de zile, oferind astfel hackerilor oportunitatea de a exploata această ”fereastră de vulnerabilitate, mai spun cei de la HP.”
Cele mai importante concluzii ale raportului:
- 12% din malware-ul primit în email, care a fost izolat, a trecut de cel puțin un scaner gateway.
- 89% din malware-ul detectat a fost livrat prin email, în timp ce descărcarea fișierelor de pe web a fost responsabilă pentru 11%, iar alți vectori precum dispozitive externe de stocare pentru mai puțin de 1%.
- Cele mai uzuale atașamente folosite pentru a livra malware au fost fișierele de arhivă (38% față de 17.26% în trimestrul trecut), documentele Word (23%), documentele Excel (17%) și fișierele executabile (16%).
- Cele mai utilizate amenințări de tip phishing au utilizat cuvinte despre tranzacții business, precum “comandă”, “plată”, “nou”, “cotație” și “cerere”.
- Raportul arată că 12% din malware-ul detectat nu era cunoscut până acum.
Aceste date au fost obținute în cadrul cercetării HP Wolf Security în perioada iulie – septembrie 2021.
Alte amenințări importante identificate de echipa HP Wolf Security:
- Creșterea numărului de hackeri care folosesc furnizori legitimi de Cloud și Internet pentru a încărca malware: O campanie recentă GuLoader încărca troianul Remcos Remote Access (RAT) pe platforme importante, precum OneDrive, pentru a evita sisteme de protecție și pentru a trece de testele de verificare. De asemenea, HP Wolf Security a descoperit mai multe familii de malware pe platforme social media precum Discord.
- Malware tip JavaScript care eludează instrumentele de detectare: O campanie care împrăștie diverse fișiere JavaScript RAT prin atașamente de email compromise. Fișierele troian RAT sunt din ce în ce mai utilizate, pentru că atacatorii cibernetici încearcă să fure informații din conturi de business sau din portofele pentru criptomonede.
“Timpul mediu în care o companie aplică, testează și implementează patch-uri, cu verificările necesare, este de 97 de zile, oferind astfel hackerilor oportunitatea de a exploata această ”fereastră de vulnerabilitate.” Inițial, doar atacatorii cibernetici foarte experimentați puteau exploata această vulnerabilitate, dar scripturile automate au făcut ca tipul acesta de atac să fie accesibil și hackerilor mai puțin experimentați.
Astfel, riscul pentru companii crește substanțial, pe măsură ce exploatările de tip zero-day sunt automatizate și accesibile în locuri precum forumurile underground”, a explicat Alex Holland, Senior Malware Analyst, parte din echipa de cercetare HP Wolf Security din cadrul HP Inc. “De asemenea, observăm platforme importante, precum OneDrive, care oferă hackerilor posibilitatea de a organiza atacuri fulger. Deși malware-ul stocat pe astfel de platforme este șters rapid, acest lucru nu îi descurajează pe atacatori deoarece își pot atinge obiectivul livrând malware în orele în care fișierele sunt live”, a explicat Holland.
“Unii atacatori cibernetici schimbă scriptul sau tipul de fișier pe care îl utilizează o dată la câteva luni. Fișierele compromise JavaScript și HTA nu sunt noi, dar ajung totuși în poșta electronică a angajaților, vulnerabilizând compania. O campanie a lansat Vengeance Justice Worm, care se poate multiplica și în alte sisteme sau stick-uri USB.”