Πώς οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται τα «παράθυρα ευπάθειας»

Πώς οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται τα «παράθυρα ευπάθειας»
© Παρέχεται από: Money Review

«Καμπανάκι» για την ταχύτητα με την οποία κινητοποιούνται οι εγκληματίες του κυβερνοχώρου, για να αξιοποιήσουν νέες ευπάθειες «ημέρας μηδέν» —προτού προλάβουν οι επιχειρήσεις να ενημερώσουν τα συστήματά τους— κρούει η ερευνητική ομάδα απειλών του HP Wolf Security, στο πλαίσιο της δημοσιοποίησης της παγκόσμιας έκθεσης “HP Wolf Security Threat Insights”.

Όπως αναφέρεται σε σχετική ανακοίνωση:

«οι επιθέσεις με στόχο το “zero-day CVE-2021-40444” —μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα, που επιτρέπει την κακόβουλη χρήση της μηχανής περιήγησης “MSHTML” χρησιμοποιώντας έγγραφα του “Microsoft Office”— καταγράφηκαν για πρώτη φορά από την HP στις 8 Σεπτεμβρίου, μια εβδομάδα πριν από την έκδοση της ενημέρωσης κώδικα στις 14 Σεπτεμβρίου.

Μέχρι τις 10 Σεπτεμβρίου —τρεις ημέρες μετά τη δημοσίευση των τεχνικών λεπτομερειών της απειλής— η ερευνητική ομάδα απειλών της HP εντόπισε “scripts” δημοσιευμένα στο “GitHub”, που σχεδιάστηκαν για να επιτίθενται αυτόματα στην αδυναμία! Εφόσον το σύστημα δεν έχει ενημερωθεί, η ευπάθεια επιτρέπει στους εισβολείς να το παραβιάσουν με ελάχιστες ενέργειες από τον χρήστη! Για την μεταφορά του το κακόβουλο λογισμικό χρησιμοποιεί ένα συμπιεσμένο αρχείο και εγκαθίσταται μέσω ενός εγγράφου του “Office”. Οι χρήστες δεν χρειάζεται να ανοίξουν το αρχείο, ή να ενεργοποιήσουν τις μακροεντολές· η εμφάνιση του απλά στο παράθυρο προεπισκόπησης του “File Explorer” αρκεί για να ξεκινήσει η επίθεση, την οποία συχνά ο χρήστης δεν αντιλαμβάνεται! Μόλις η συσκευή παραβιαστεί, οι εισβολείς μπορούν να ανοίξουν “backdoors” στο εταιρικό δίκτυο και στην συνέχεια να πουλήσουν τα στοιχεία πρόσβασης σε ομάδες “ransomware”».

Άλλες αξιοσημείωτες απειλές, που απομονώθηκαν από την ομάδα πληροφοριών απειλών του “HP Wolf Security”, περιλαμβάνουν:

  • Αύξηση των εγκληματιών του κυβερνοχώρου, που χρησιμοποιούν επώνυμους παρόχους “Cloud” και ιστοσελίδων για την φιλοξενία κακόβουλου λογισμικού.
  • Κακόβουλο λογισμικό “JavaScript”, που διαφεύγει από προηγούμενα εργαλεία ανίχνευσης.
  • Στοχευμένη καμπάνια βρέθηκε να παριστάνει το ταμείο Εθνικής Κοινωνικής Ασφάλισης της Ουγκάντα.
  • Η αλλαγή σε αρχεία “HTA” επιτρέπει την διάδοση κακόβουλου λογισμικού με ένα μόνο “κλικ”.

«Ο μέσος χρόνος για μια επιχείρηση να εφαρμόσει, να δοκιμάσει και να αναπτύξει πλήρως τις ενημερώσεις κώδικα με τους κατάλληλους ελέγχους είναι 97 μέρες, δίνοντας στους εγκληματίες του κυβερνοχώρου την ευκαιρία να εκμεταλλευτούν αυτό το ‘παράθυρο ευπάθειας’»,

εξηγεί ο Alex Holland, Senior Malware Analyst της ερευνητικής ομάδας απειλών του “HP Wolf Security”, της HP Inc.

Όπως σημειώνει ο ίδιος:

«ενώ αρχικά μόνο οι εξαιρετικά ικανοί χάκερ θα μπορούσαν να το εκμεταλλευτούν, τα αυτοματοποιημένα “scripts” έχουν μειώσει τον πήχη δυσκολίας, καθιστώντας αυτόν τον τύπο επίθεσης προσιτό σε παράγοντες απειλών με λιγότερες γνώσεις και πόρους! Αυτό αυξάνει σημαντικά τον κίνδυνο για τις επιχειρήσεις, καθώς, οι ευπάθειες ‘ημέρας μηδέν’ εμπορευματοποιούνται και διατίθενται στην μαζική αγορά σε χώρους όπως υπόγεια φόρουμ!».

«Αυτά τα πρωτοποριακά εργαλεία επιθέσεων τείνουν να είναι αποτελεσματικά στην αποφυγή εργαλείων ανίχνευσης, καθώς οι υπογραφές εντοπισμού μπορεί να είναι ελλιπείς και να ξεπερνούνται γρήγορα, λόγω των μεταβολών στο εύρος λειτουργικότητας τους. Αναμένουμε από τους φορείς απειλών να υιοθετήσουν το “CVE-2021-40444”, ως μέρος του οπλοστασίου τους, και ενδεχομένως να αντικαταστήσουν ακόμη και κοινά εργαλεία που χρησιμοποιούνται για την απόκτηση αρχικής πρόσβασης σε συστήματα σήμερα· όπως για παράδειγμα αυτά που στοχεύουν το “Equation Editor”»,

επισημαίνει ο Alex Holland.

Τα ευρήματα βασίζονται σε δεδομένα από εκατομμύρια τερματικά σημεία που εκτελούν το “HP Wolf Security”. Το “HP Wolf Security” παρακολουθεί τα κακόβουλα λογισμικά —εκτελώντας επικίνδυνες εργασίες σε μεμονωμένες, μικρο-εικονικές μηχανές (micro VMs), για να κατανοήσει και να καταγράψει την πλήρη αλυσίδα μόλυνσης— συμβάλλοντας στην απομόνωση των απειλών που διαφεύγουν από άλλα εργαλεία ασφαλείας. Αυτό επέτρεψε στους πελάτες να κάνουν “κλικ” σε πάνω από 10 δισεκατομμύρια συνημμένα “email”, ιστοσελίδες και λήψεις, χωρίς αναφερόμενες παραβιάσεις. Κατανοώντας καλύτερα την συμπεριφορά του κακόβουλου λογισμικού στην πράξη, οι ερευνητές και οι μηχανικοί του “HP Wolf Security” μπορούν να ενισχύσουν την προστασία της ασφάλειας των τελικών σημείων και την συνολική ανθεκτικότητα των συστημάτων.

Τα βασικά ευρήματα της έκθεσης περιλαμβάνουν:

  • Το 12% του κακόβουλου λογισμικού “email” που απομονώθηκε είχε παρακάμψει τουλάχιστον έναν σαρωτή πύλης εισόδου.
  • Το 89% του εντοπισμένου κακόβουλου λογισμικού παραδόθηκε μέσω ηλεκτρονικού ταχυδρομείου, ενώ οι λήψεις ιστού ήταν υπεύθυνες για το 11%, και άλλα μέσα, όπως αφαιρούμενες συσκευές αποθήκευσης, για λιγότερο από 1%.
  • Τα πιο κοινά συνημμένα που χρησιμοποιήθηκαν για την παράδοση κακόβουλου λογισμικού ήταν συμπιεσμένα αρχεία (38% από 17,26% του προηγούμενου τριμήνου), έγγραφα Word (23%), υπολογιστικά φύλλα (17%) και εκτελέσιμα αρχεία (16%).
  • Οι κορυφαίες πέντε πιο κοινές παγίδες “phishing” σχετίζονταν με επιχειρηματικές συναλλαγές, όπως «παραγγελίες», «πληρωμές», «νέα», «προσφορές» και «αιτήματα».
  • Η αναφορά διαπίστωσε ότι το 12% του κακόβουλου λογισμικού που καταγράφηκε ήταν προηγουμένως άγνωστο.

«Δεν μπορούμε να συνεχίσουμε να βασιζόμαστε μόνο στην ανίχνευση. Το τοπίο των απειλών είναι πολύ δυναμικό και, όπως μπορούμε να δούμε από την ανάλυση των απειλών που καταγράφονται στα VM μας, οι εισβολείς γίνονται ολοένα και πιο ικανοί στο να αποφεύγουν τον εντοπισμό!»,

σχολιάζει ο Dr. Ian Pratt, Global Head of Security for Personal Systems, της HP Inc.

«Οι οργανισμοί πρέπει να ακολουθήσουν μια προσέγγιση πολλών επιπέδων για την ασφάλεια των τελικών σημείων, ακολουθώντας τις αρχές μηδενικής εμπιστοσύνης, ώστε να περιορίσουν και να απομονώσουν τους πιο κοινούς φορείς επίθεσης, όπως “email”, προγράμματα περιήγησης και λήψεις. Αυτό θα εκμηδενίσει την επιφάνεια επίθεσης για ολόκληρες κατηγορίες απειλών, ενώ θα δώσει στους οργανισμούς τον απαραίτητο χώρο  για τον ασφαλή συντονισμό των κύκλων ενημερώσεων του λογισμικού τους χωρίς διακοπή των υπηρεσιών τους»,

τονίζει.

Πηγή:

Money Review

(Συνολικές Επισκέψεις: / Total Visits: 9)

(Σημερινές Επισκέψεις: / Today's Visits: 1)
Σας αρέσει το άρθρο; / Do you like this post?
+1
2
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.