O relatório apresenta uma análise de ciberataques reais, ajudando as organizações a manterem-se a par das mais recentes técnicas que os cibercriminosos utilizam para evitar a deteção e violar os PC num cenário do cibercrime em rápida mudança.
Com base em dados de milhões de endpoints com o HP Wolf Security, entre as campanhas identificadas pelos investigadores de ameaças da HP, destaque para:
- Os atacantes utilizam open redirects para ‘Cat-Phish’: Numa campanha avançada do WikiLoader, os atacantes exploraram vulnerabilidades de open redirects em sites para contornar a deteção. Os utilizadores eram direcionados para sites de confiança, muitas vezes através de vulnerabilidades de redireccionamento abertas em anúncios incorporados. Eram depois redirecionados para sites maliciosos, tornando quase impossível aos utilizadores detetarem a mudança.
- Living-off-the-BITS: Várias campanhas abusaram do Windows Background Intelligent Transfer Service (BITS) do Windows – um mecanismo legítimo utilizado por programadores e administradores de sistemas para descarregar ou carregar ficheiros para servidores Web e partilhas de ficheiros. Esta técnica LotL ajudou os atacantes a não serem detetados, utilizando o BITS para descarregar os ficheiros maliciosos.
- Faturas falsas que conduzem a ataques de contrabando de HTML: A HP identificou agentes de ameaças que escondem malware dentro de ficheiros HTML que se fazem passar por faturas que, uma vez abertas no navegador da Web, desencadeiam uma cadeia de eventos que implantam malware de código aberto, AsyncRAT. Curiosamente, os atacantes prestaram pouca atenção ao design das faturas, sugerindo que o ataque foi criado com apenas um pequeno investimento de tempo e recursos.
Para Patrick Schläpfer, Investigador Principal de Ameaças na equipa de investigação de ameaças da HP Wolf Security, “visar empresas com faturas falsas é um dos truques mais antigos, mas ainda pode ser muito eficaz e, por conseguinte, lucrativo. Os colaboradores que trabalham nos departamentos financeiros estão habituados a receber faturas por correio eletrónico, pelo que é mais provável que as abram. Se forem bem sucedidos, os atacantes podem rapidamente rentabilizar o seu acesso, vendendo-o a corretores cibercriminosos ou implementando ransomware“.
Ao isolar as ameaças que escaparam às ferramentas baseadas na deteção, mas permitindo que o malware actue em segurança fechada – a HP Wolf Security tem uma visão específica das técnicas mais recentes utilizadas pelos cibercriminosos. Até à data, os clientes da HP Wolf Security clicaram em mais de 40 mil milhões de anexos de e-mail anexos de correio eletrónico, páginas Web e ficheiros descarregados sem qualquer violação registada.
O relatório descreve em pormenor a forma como os cibercriminosos continuam a diversificar os métodos de ataque para contornar as políticas de segurança e as ferramentas de deteção. Outras conclusões incluem:
- Pelo menos 12% das ameaças de correio eletrónico identificadas pelo HP Sure Click * contornaram um ou mais scanners de gateway de correio eletrónico.
- Os principais vetores de ameaça no primeiro trimestre foram os anexos de correio eletrónico (53%), as transferências a partir de browsers (25%) e outros vetores de infeção, como armazenamento amovível – como USB – e partilha de ficheiros (22%).
- Neste trimestre, pelo menos 65% das ameaças a documentos basearam-se numa exploração para executar código, em vez de macros.
Ian Pratt, Diretor Global de Segurança para Sistemas Pessoais da HP, explica: “As técnicas “Living-off-the-Land” expõem as falhas fundamentais de se confiar apenas na deteção. Como os atacantes estão a utilizar ferramentas legítimas, é difícil detetar ameaças sem muitos falsos positivos. A contenção de ameaças fornece proteção mesmo quando a deteção falha, impedindo que o malware infiltre ou destrua dados ou credenciais do utilizador, e impede a persistência do atacante. É por esta razão que as organizações devem adotar uma abordagem de segurança “defesa em profundidade”, isolando e protegendo atividades de alto risco para reduzir a sua superfície de ataque”.
O HP Wolf Security executa tarefas de risco em máquinas virtuais descartáveis isoladas e reforçadas por hardware executadas no endpoint para proteger os utilizadores, sem afetar a sua produtividade. Também capta vestígios detalhados de tentativas de infeção. A tecnologia de isolamento de aplicações da HP atenua as ameaças que passam despercebidas a outras ferramentas de segurança e fornece informações únicas sobre técnicas de intrusão e comportamento de agentes de ameaças.