Na základe analýzy údajov z miliónov koncových zariadení chránených systémom HP Wolf Security 2 výskumníci dospeli k nasledujúcim zisteniam:
● Kyberzločinci zostavujú svoje útoky, ako keby sa hrali s detskou stavebnicou: Reťazec vedenia útoku často pozostáva z osvedčených, dobre prešliapaných ciest, ktorými sa dostanú k cieľu útoku. V kreatívnych kampaniach QakBot však útočníci použili rôzne stavebné prvky, z ktorých sa takéto útoky skladajú, na vytvorenie jedinečných útočných reťazcov. Striedaním rôznych typov súborov a techník dokázali obísť detekčné nástroje a bezpečnostné politiky. 32 % útočných reťazcov QakBot, ktoré spoločnosť HP analyzovala v druhom štvrťroku, bolo jedinečných.
● Poznajte rozdiel - blogger alebo keylogger: útočníci, ktorí stoja za nedávnymi kampaňami Aggah, infikovali populárnu blogovaciu platformu Blogspot škodlivým kódom. Keďže kód je skrytý v legitímnom zdroji, pre bezpečnostných expertov je ťažšie určiť, či používateľ číta blog alebo vykonáva útok. Útočníci potom využijú svoje znalosti systémov Windows na deaktiváciu určitých antimalvérových funkcií v počítači používateľa a spustia červa XWorm alebo trójskeho koňa AgentTesla Remote Access (RAT), aby sa zmocnili citlivých informácií.
● V rozpore s protokolom spoločnosť HP identifikovala aj ďalšie útoky Aggah, ktoré na infikovanie počítača škodlivým softvérom AgentTesla RAT využívali dotaz na záznam TXT DNS - textový záznam, ktorý sa zvyčajne používa na prístup k základným informáciám o názve domény. Pôvodcovia hrozby vedia, že protokol DNS často nie je monitorovaný alebo chránený bezpečnostnými tímami, čo veľmi sťažuje odhalenie takéhoto útoku.
● Viacjazyčný malvér: Útočníci v poslednom čase používajú viacero programovacích jazykov, aby sa vyhli odhaleniu. Najprv zašifrujú svoj škodlivý kód pomocou šifrovacieho programu napísaného v jazyku Go, čím znemožnia antivírusovému programu jeho skenovanie a inú detekciu. Útok potom pokračuje v jazyku C++, ktorý mu umožňuje komunikovať s operačným systémom obete a vykonávať škodlivý softvér napísaný v jazyku .NET v pamäti - pričom v počítači zanecháva minimálne stopy.
Správa podrobne opisuje, ako skupiny páchajúce počítačovú kriminalitu diverzifikujú metódy útokov s cieľom obísť bezpečnostné politiky a detekčné nástroje. Medzi hlavné zistenia patria:
● Už piaty štvrťrok po sebe boli archívy najobľúbenejším typom súboru na doručenie škodlivého softvéru, čo predstavuje 44 % prípadov analyzovaných spoločnosťou HP.
● V 2. štvrťroku došlo v porovnaní s 1. štvrťrokom k 23 % nárastu počtu hrozieb HTML, ktoré spoločnosť HP Wolf Security odstránila.
● Medzi 1. a 2. štvrťrokom sa počet hrozieb v podobe spustiteľných súborov zvýšil o 4 % zo 14 % na 18 %, najmä v dôsledku používania súboru PDFpower.exe, ktorý obsahoval škodlivý softvér na zneužitie zraniteľností prehliadača.
● V prípade škodlivého softvéru v súboroch Excel zaznamenala spoločnosť HP v 1. štvrťroku pokles o 6 percentuálnych bodov v porovnaní so 4. štvrťrokom (z 19 % na 13 %), keďže útočníci prestávajú používať súbory balíka Office, v ktorých sa makrá spúšťajú ťažšie.
● Jeden alebo viac skenerov mailových brán obišlo v 2. štvrťroku aspoň 12 % mailových hrozieb identifikovaných programom HP Sure Click.
● V 2. štvrťroku boli najčastejším zdrojom hrozieb maily (79 %) a stiahnuté súbory z prehliadača (12 %).
