Služby

štvrtok 26. mája 2022

Emotet: Najčastejší malvér

Emotet v rebríčku útokov podľa 
HP Wolf Security Threat Insights Report vystúpil o 36 miest a stal sa v tomto štvrťroku najčastejšie detegovaným typom malvéru – na jeho konto pripadá 9 % všetkých zachytených malvérových útokov. Príčinou 879 % nárastu zachytených vzoriek malvéru šíreného prostredníctvom súborov .XLSM (Microsoft Excel) bola z veľkej časti jedna z útočných kampaní cieliacich na japonské organizácie, ktorá prostredníctvom klamlivých emailov prinútila príjemcu infikovať vlastné počítače.

Vďaka izolácii hrozieb, ktoré dokázali obísť detekčné nástroje a prenikli až na koncové zariadenia používateľov, má HP Wolf Security detailný prehľad o najnovších technikách používaných kybernetickými zločincami.
  • V súvislosti s postupným odklonom od používania makier rastie obľuba horšie detegovateľných alternatív infikovaných dokumentov Microsoft Office: Keďže spoločnosť Microsoft začala v dokumentoch svojho kancelárskeho balíka zakazovať makrá, zaznamenala spoločnosť HP v porovnaní s minulým štvrťrokom nárast formátov, ktoré nie sú založené na balíku MS Office, vrátane škodlivých súborov Java Archive (nárast o 476 %) a súborov JavaScript (nárast o 42 %). Proti takýmto útokom sa organizácia horšie bráni, pretože miera detekcie týchto typov súborov je často nízka, čo zvyšuje pravdepodobnosť infekcie.
  • Na vzostupe je „vpašovanie“ škodlivého HTML kódu: Priemerná veľkosť škodlivých HTML súborov vzrástla z 3 kB na 12 kB, čo poukazuje na čoraz častejšiu snahu o „vpašovanie“ škodlivého HTML kódu. Ide o techniku, pri ktorej kybernetickí zločinci vkladajú malvér priamo do súborov HTML, aby obišli mailové brány a vyhli sa detekcii, čím by mohli získať prístup k dôležitým finančným informáciám a zmocniť sa ich. Nedávno vedené útočné kampane sa zameriavali na latinskoamerické a africké banky.
  • Útočné kampane prostredníctvom malvéru „dva v jednom“ vedú k viacnásobným infekciám RAT: Zistilo sa, že útok pomocou skriptu Visual Basic bol použitý na inicializáciu útočného reťazca, ktorý spôsobuje viacnásobnú infekciu rovnakého zariadenia, čo útočníkom umožňuje získať trvalý prístup k infikovaným systémom pomocou nástrojov VW0rm, NjRAT a AsyncRAT.
Tieto zistenia vychádzajú  z miliónov koncových zariadení vybavených systémom HP Wolf Security (január až marec 2022).  Ďalšie kľúčové zistenia uvedené v správe:
  • Deväť percent hrozieb nebolo v čase ich izolácie známych ešte z minulosti, pričom 14 % izolovaného mailového malvéru obišlo aspoň jeden skenovací program emailovej brány.
  • V priemere trvalo viac ako 3 dni (79 hodín), než tento malvér rozpoznali podľa hasha ďalšie bezpečnostné nástroje.
  • Štyridsaťpäť percent škodlivého softvéru izolovaného nástrojom HP Wolf Security predstavovali súborové formáty Office.
  • Pri pokusoch o infikovanie organizácií použili útočníci 545 rôznych rodín malvéru, pričom na prvých troch miestach boli Emotet, AgentTesla a Nemucod.
  • Zneužitie Editora rovníc spoločnosti Microsoft (CVE-2017-11882) predstavovalo 18 % všetkých zachytených škodlivých vzoriek.
  • Šesťdesiatdeväť percent zisteného škodlivého softvéru bolo doručených emailom, 18 % pripadá na sťahovanie z webu. Najčastejšími prílohami používanými na doručenie malvéru boli textové dokumenty (29 %), archívy (28 %), spustiteľné súbory (21 %) a tabuľky (20 %).
  • Najčastejšie phishingové návnady sa objavovali v podobe obchodných transakcií, napr. pod titulmi „Objednávka“, „Platba“, „Nákup“, „Žiadosť“ a „Faktúra“.