Podľa kvartálnej správy HP Wolf Security Threat Insight útočníci aktuálne zneužívajú najmä otvorené presmerovanie, falošné faktúry a útoky využívajúce nástroje, ktoré sú bežnou súčasťou systému. Cielenie na firmy s pomocou falošných faktúr je jedným z najstarších trikov, ale môže byť stále veľmi účinný. Zamestnanci finančných oddelení sú na prijímanie faktúr cez e-mail zvyknutí, takže je často pravdepodobné, že ich naozaj otvoria. Ak sú útočníci úspešní, môžu rýchlo speňažiť získaný prístup prostredníctvom predaja kybernetickým brokerom alebo nasadením ransomvéru.
Správa obsahuje analýzu skutočných kybernetických útokov. Na základe analýzy dát z miliónov zariadení výskumníci HP zozbierali nasledujúce zistenia:
• Útočníci využívajú otvorené presmerovanie používateľa, tzv. "Cat-Phishing": v pokročilej kampani WikiLoader útočníci na obchádzanie detekčných systémov využili zraniteľnosti v otvorenom presmerovaní na webových stránkach. Používatelia boli najprv nasmerovaní na dôveryhodné stránky, často prostredníctvom reklamných banerov, aby potom boli nepozorovane presmerovaní na škodlivé stránky – to používateľom takmer znemožňovalo odhaliť takúto zmeni.
• Život v „pozadí“: niekoľko kampaní zas zneužilo službu Windows Background Intelligent Transfer Service (BITS) – legitímny mechanizmus používaný programátormi a systémovými administrátormi pre sťahovanie alebo nahrávanie súborov na webové servery a zdieľané zložky. Technika "Living-off-the-Land" tak pomohla útočníkom zostať neodhalenými, keď službu BITS zneužili na stiahutie škodlivých súborov.
• Falošné faktúry vedúce k útokom pomocou HTML: HP identifikovalo aj útočníkov, ktorí svoj malvér maskovali vo vnútri HTML súborov vydávaných za faktúry od dodávateľov. Keď ich používateľ otvoril vo webovom prehliadači, spustili reťazec aktivít, pri ktorých bol nasadený open-source malware AsyncRAT. Zaujímavé je, že útočníci venovali len pomerne malú pozornosť dizajnu svojich falošných faktúr, čo naznačuje, že útok bol vytvorený len s minimálnou investíciou času a zdrojov.
Doteraz používatelia HP Wolf Security klikli na vyše 40 miliárd emailových príloh, webových stránok a stiahnutých súborov bez hlásených narušení. Správa podrobne popisuje, ako kyberzločinci naďalej diverzifikujú metódy útokov, aby obišli bezpečnostné politiky a nástroje na detekciu. Medzi ďalšie zistenia patria nasledujúce štatistiky:
• Najmenej 12 % mailových hrozieb identifikovaných nástrojom HP Sure Click obišlo jeden alebo viac skenerov na mailových bránach.
• Najčastejšími zdrojmi hrozieb boli v poslednom štvrťroku prílohy mailov (53 %), stiahnuté súbory z prehliadačov (25 %) a ďalšie vektory infekcie, ako sú vymeniteľné úložiská (napríklad USB flash disky) a zdieľané súbory (22 %).
• V tomto štvrťroku sa najmenej 65 % hrozieb spojených s dokumentmi spoliehalo na spustenie kódu, nie na makrá.