Последний отчет HP об угрозах кибербезопасности показывает, что хакеры используют инструменты компьютерного зрения

Компания HP Inc. (NYSE: HPQ) выпустила свой последний глобальный отчет по анализу угроз, содержащий анализ реальных атак и уязвимостей кибербезопасности. Исследование показывает значительное увеличение частоты и изощренности киберпреступности, в том числе увеличение на 65% использования хакерских инструментов, загружаемых с подпольных форумов и веб-сайтов для обмена файлами со второй половины 2020 года по первую половину 2021 года.

Исследователи отметили, что широко распространенные хакерские инструменты на удивление способны. Например, один инструмент может решать задачи CAPTCHA, используя методы компьютерного зрения, а именно оптическое распознавание символов (OCR), чтобы выполнять атаки с заполнением учетных данных на веб-сайты. В более широком смысле, отчет показал, что киберпреступность стала более организованной, чем когда-либо, с подпольными форумами, обеспечивающими идеальную платформу для участников угроз для сотрудничества и обмена тактикой, методами и процедурами атак.

«Распространение пиратских хакерских инструментов и подпольных форумов позволяет ранее низкоуровневым субъектам создавать серьезные риски для безопасности предприятия», — говорит д-р Ян Пратт, глобальный руководитель службы безопасности, Personal Systems, HP Inc. «Одновременно пользователи продолжают падать. снова и снова становятся жертвами простых фишинговых атак. Решения по обеспечению безопасности, позволяющие ИТ-отделам опережать будущие угрозы, являются ключом к максимальной защите и устойчивости бизнеса».

Известные угрозы, выделенные HP Wolf Security, включали:

• Сотрудничество киберпреступников открывает двери для более серьезных атак на жертв: филиалы Dridex продают доступ к взломанным организациям другим участникам угроз, чтобы они могли распространять программы-вымогатели. Падение активности Emotet в первом квартале 2021 года привело к тому, что Dridex стал основным семейством вредоносных программ, выделенных HP Wolf Security.
• Кражи информации, доставляющие более опасные вредоносные программы: вредоносное ПО CryptBot, которое исторически использовалось в качестве инфостиллера для перекачивания учетных данных из кошельков криптовалюты и веб-браузеров, также используется для доставки DanaBot — банковского трояна, управляемого организованными преступными группировками.
• Кампания по загрузке VBS, нацеленная на руководителей компаний: многоэтапная кампания на Visual Basic Script (VBS) распространяет вредоносные вложения ZIP, названные в честь руководителей, на которые она нацелена. Он развертывает скрытый загрузчик VBS перед использованием законных инструментов SysAdmin, чтобы «жить за счет земли», сохраняя на устройствах и доставляя вредоносные программы.
• От приложения до проникновения. Вредоносная спам-кампания на тему резюме нацелена на судоходные, морские, логистические и связанные с ними компании в семи странах (Чили, Япония, Великобритания, Пакистан, США, Италия и Филиппины), используя уязвимость Microsoft Office для коммерческого развертывания -доступность Remcos RAT и получение доступа к зараженным компьютерам через черный ход.

Выводы основаны на данных HP Wolf Security, которая отслеживает вредоносные программы на изолированных микровиртуальных машинах, чтобы понять и зафиксировать всю цепочку заражения и помочь в смягчении угроз. Лучше понимая поведение вредоносных программ в реальных условиях, исследователи и инженеры HP Wolf Security могут усилить защиту конечных точек и общую устойчивость системы.

«Экосистема киберпреступности продолжает развиваться и трансформироваться, предоставляя мелким киберпреступникам больше возможностей для связи с более крупными игроками в рамках организованной преступности и загрузки передовых инструментов, которые могут обойти системы защиты и взлома», — отмечает Алекс Холланд, старший аналитик по вредоносному ПО, HP Inc. Мы видим, как хакеры адаптируют свои методы для повышения монетизации, продавая доступ организованным преступным группам, чтобы они могли проводить более изощренные атаки на организации. Штаммы вредоносных программ, такие как CryptBot, ранее представляли опасность для пользователей, которые используют свои ПК для хранения кошельков с криптовалютой, но теперь они также представляют угрозу для бизнеса. Мы видим, как инфостилеры распространяют вредоносное ПО, управляемое организованными преступными группировками, которые, как правило, предпочитают программы-вымогатели для монетизации своего доступа».

Другие ключевые выводы отчета включают:

• 75% обнаруженных вредоносных программ было доставлено по электронной почте, а оставшиеся 25% приходились на загрузку из Интернета. Угрозы, загружаемые с помощью веб-браузеров, выросли на 24%, частично из-за того, что пользователи загружали инструменты для взлома и программное обеспечение для майнинга криптовалют.
• Самыми распространенными фишинговыми приманками для электронной почты были счета-фактуры и бизнес-транзакции (49%), а 15% — ответы на перехваченные цепочки писем. Фишинговые приманки с упоминанием COVID-19 составили менее 1%, снизившись на 77% со второго полугодия 2020 года по первое полугодие 2021 года.
• Наиболее распространенными типами вредоносных вложений были архивные файлы (29%), электронные таблицы (23%), документы (19%) и исполняемые файлы (19%). Необычные типы архивных файлов, такие как JAR (файлы архива Java), используются для того, чтобы избежать использования инструментов обнаружения и сканирования, а также установить вредоносное ПО, которое легко найти на подпольных торговых площадках.
• Отчет показал, что 34% захваченного вредоносного ПО были ранее неизвестными ¹ , что на 4% меньше, чем во втором полугодии 2020 года.
• На 24% увеличилось количество вредоносных программ, использующих CVE-2017-11882, уязвимость, приводящую к повреждению памяти, обычно используемую для использования Microsoft Office или Microsoft WordPad и проведения бесфайловых атак.

«Киберпреступники с легкостью обходят средства обнаружения, просто настраивая свои методы. Мы наблюдали рост числа вредоносных программ, распространяемых через необычные типы файлов, такие как файлы JAR, которые, вероятно, используются для снижения шансов быть обнаруженными сканерами защиты от вредоносных программ », — комментирует Холланд. «Те же старые уловки фишинга навязывают жертвам с приманками на тему транзакций, убеждая пользователей нажимать на вредоносные вложения, ссылки и веб-страницы». 

«По мере того, как киберпреступность становится более организованной, а более мелкие игроки могут легко получать эффективные инструменты и монетизировать атаки, продавая при доступе, не существует такой вещи, как незначительное нарушение», — заключает Пратт. «Конечная точка продолжает оставаться в центре внимания киберпреступников. Их методы становятся все более изощренными, поэтому как никогда важно иметь комплексную и устойчивую инфраструктуру конечных точек и киберзащиту. Это означает использование таких функций, как сдерживание угроз для защиты от современных злоумышленников, минимизация поверхности атаки за счет устранения угроз из наиболее распространенных векторов атак — электронной почты, браузеров и загрузок ».

О данных
Эти данные были собраны на виртуальных машинах клиентов HP Wolf Security с января по июнь 2021 года . 

О HP
HP Inc. создает технологии, которые делают жизнь лучше для всех и везде. Благодаря нашему портфелю продуктов и услуг, включающему персональные системы, принтеры и решения для 3D-печати, мы создаем впечатляющие впечатления. Дополнительную информацию о HP Inc. можно найти на  сайте http://www.hp.com . 

О HP Wolf Security
От производителя самых безопасных в мире компьютеров ² и принтеров ³, HP Wolf Security — это новое поколение средств защиты конечных точек. Портфель аппаратных средств безопасности HP и услуг безопасности, ориентированных на конечные точки, разработан, чтобы помочь организациям защитить ПК, принтеры и людей от окружающих кибер-хищников. HP Wolf Security обеспечивает комплексную защиту конечных точек и отказоустойчивость, которая начинается на уровне оборудования и распространяется на программное обеспечение и услуги. ⁴