HP Wolf Security’s ferskeste trusselrapport viser en 27 prosent økning i antall cybertrusler.
HP Wolf Security sitt etterforskningsteam har oppdaget en 27 prosents økning av ondsinnede Emotet-angrep i første kvartal 2022, sammenlignet med fjerde kvartal 2021. Den globale HP Wolf Security Threat Insights Report stadfester at Emotet var den aller vanligste skadevarefamilien i første kvartal, og den beryktede skadevaren – som også kalles for Heodo – sto faktisk for 9 prosent av alle detekterte angrep i denne perioden.
Den store økningen skjedde like etter den vellykkede storaksjonen mot skadeviruset i fjor, som fjernet trusselen midlertidig. Men nå er kanskje verdens farlige skadevare, Emotet, tilbake for fullt.
– Våre data viser at dette er den største aktiviteten vi har sett av Emotet siden hackergruppen ble satt ut av spill i begynnelsen av 2021. Dette er et klart signal på at hackerne omgrupperer, bygger opp styrken og investerer i botnettet. CISA har tidligere beskrevet Emotet som en av de aller mest destruktive skadevarene, og gjenkomsten til Emotet er derfor dårlige nyheter for både privat og offentlig sektor, sier Alex Holland, Senior Malware Analyst i HP Wolf Security og legger til:
– Det ser imidlertid ut til at Emotet brukes mest til makroaktiverte-angrep. Dette var kanskje fordi hackerne ønsket å gjennomføre angrep før Microsoft endret innstillinger i april, eller fordi folk fortsatt har makroer aktivert og kan bli lurt til å trykke på feil ting, sier han.
Ved å isolere trusler som har unndratt deteksjonsverktøy og gjort det til brukerendepunkter, har HP Wolf Security fått spesifikk innsikt i de nyeste teknikkene som brukes av nettkriminelle. Dette inkluderer:
Alternativer til infiserte Microsoft Office-filer øker i omfang ettersom makroer fases ut: Etter at Microsoft har begynt å deaktivere makroer, har HP sett en økning i ikke-Office-baserte-formater, deriblant Java Archive-filer (+476%) og JavaScript-filer (+42%) sammenlignet med forrige kvartal. Slike angrep er ofte vanskelige for organisasjoner å forsvare seg mot fordi deteksjonsraten for disse filtypene er lav, noe som øker sjansen for sikkerhetsbrudd.
HTML-angrep øker i popularitet: Median filstørrelse på HTML-trusler vokste fra 3KB til 12KB, noe som tyder på en økning av HTML-smugling, en teknikk der nettkriminelle legger skadelig programvare direkte inn i HTML-filer for å unngå «e-post-gatewayer» og deteksjon. Nylig ble slike angrep rettet mot både latin-amerikanske og afrikanske banker.
«To for én»-skadevarekampanjer fører til flere RAT-infeksjoner: Et Visual Basic-skriptangrep ble brukt til å starte angrepskjeder som resulterte i et mangfold infeksjoner på samme enhet, og hackerne fikk varig tilgang til ofrenes systemer med VW0rm, NjRAT og AsyncRAT.
Funnene er basert på data fra millioner av endepunkter som kjører HP Wolf Security. HP Wolf Security sporer skadelig programvare gjennom å åpne risikable filer i isolerte, mikro-virtuelle maskiner (Micro-VMs) for å beskytte brukeren. I tillegg fanger programmet opp hele infeksjonskjeden, og reduserer trusler som ville sklidd forbi andre sikkerhetsverktøy. Til dags dato har HP-kunder klikket på over 18 milliarder e-postvedlegg, nettsider og nedlastninger uten rapporterte sikkerhetsbrudd. Samtidig gir denne dataen viktig innsikt i hvordan trusselaktører arbeider med skadevare.
Andre nøkkelfunn i rapporten inkluderer:
9 prosent av skadevaren ble ikke oppdaget før den var isolert, og 14 prosent av all e-post-skadevare omgikk minst én gateway-skanner før isolasjon.
45 prosent av all skadelig programvare som ble isolert av HP Wolf Security var Office-filformater.
Cyberkriminelle brukte 545 ulike skadevarefamilier for å infisere organisasjoner, med henholdsvis Emotet, AgentTesla og Nemucod som de tre mest brukte.
En svakhet i Microsoft Equation Editor (CVE-2017-11882) sto for 18 prosent av alle ondsinnede angrep som ble detektert.
69 prosent av all skadelig programvare kom via e-post, mens nedlastninger fra internett utgjorde 18 prosent.
De vanligste vedleggene som ble brukt til å levere skadelig programvare var regneark (33 %), kjørbare filer og skript (29 %), arkivfiler (22 %) og dokumenter (11 %).
De vanligste phishing-metodene var forretningstransaksjoner som «Bestillinger», «Betalinger», «Kjøp», «Forespørsler» og «Faktura».– Dette kvartalet så vi en 27 prosents økning i antall trusler fanget opp av HP Wolf Security. Vi ser også at nettkriminelle justerer tilnærmingen sin etter endringer i IT-landskapet, og at volumet av angrep fortsetter å øke. Det blir derfor vanskeligere for konvensjonelle verktøy å oppdage angrep, sier Dr. Ian Pratt, global sikkerhetssjef for personlige systemer i HP, og legger til:
– Det har vært et oppsving i bruk av alternative filtyper og teknikker som omgår deteksjon. Det er derfor viktig at organisasjoner bygger sikkerhetstiltak lagvis. Ved å benytte seg av prinsippet om det minste privilegium samt isolere de vanligste trusselvektorene, slik som e-post, nettlesere og nedlastbare-filer, blir skadelig programvare sendt gjennom disse vektorene fullstendig harmløst. Dette reduserer risikoen for cyberangrep betydelig, sier han.
