Obtineti perspective despre reemergenta si evolutia amenintarilor vechi prin detectarea si raspunsul gestionate – Blog de informatii de securitate TrendLabs

de Erika Mendoza, Anjali Patil, Jay Yaneza si Jessie Prevost

Datele si observatiile retelei inteligente de protectie (SPN) si observatiile de la Managed Detection and Response (MDR) pentru regiunea nord-americana arata persistenta unor amenintari si tactici mai vechi: metodele de livrare, precum e-mailurile spam, continua sa fie puternice, in timp ce atacurile ransomware au cunoscut o vigoare reinnoita alaturi de amenintari mai noi, precum malware-ul de extragere a criptomonedelor in trimestrul al treilea din 2018

Cu toate acestea, prevalenta acestor amenintari mai vechi nu ar trebui sa fie interpretata gresit ca semn ca actorii amenintarii se sprijina pe lauri. De fapt, ar trebui luat ca dovada ca imbunatatesc in permanenta instrumente si tehnici dovedite pentru a merge mai departe in jocul interminabil de pisici si pisici intre cibernetici si furnizorii de securitate.

E-mailurile spam sunt metoda preferata pentru livrarea de malware

Figura 1. Primele 15 detectari de malware in America de Nord pentru al treilea trimestru din 2018

Pe baza datelor retelei noastre de protectie inteligenta (SPN), primele 15 programe malware din America de Nord pentru trimestru sunt o lista diversa: EMOTET a aparut ca malware cu cel mai mare numar de detectari, urmat de malware-ul COINHIVE pentru mineritul criptocurrency. POWLOAD-ul troian si aplicatia potential nedorita (PUA) cunoscuta sub numele de AMCleaner s-au situat pe locul al treilea si respectiv al patrulea.

Ceea ce leaga principalele amenintari este faptul ca majoritatea au fost livrate prin intermediul celei mai eficiente forme de inginerie sociala: e-mailuri spam frauduloase. Aceste e-mailuri sunt raspandite, deoarece rareori necesita instrumente sofisticate pentru a avea succes si sunt eficiente, deoarece un atacator trebuie sa inteleaga doar comportamentul uman si tendintele de a pacali utilizatorii nefiinciosi in a face clic pe link-uri sau a descarca atasamente rau intentionate.

Campaniile de spam mai notabile pe care le-am gasit in trimestrul al treilea demonstreaza modul in care actorii amenintarii perfectioneaza aceasta metoda de livrare a programelor malware. Cele trei exemple de mai jos arata cum un singur vector de atac poate fi utilizat in moduri diferite. Unul este o incercare clasica de phishing cu toate elementele care se gasesc in mod tipic in aceste tipuri de atacuri, in timp ce o alta foloseste malware vechi care s-a dovedit inca eficienta. Ultimul exemplu implica o tehnica noua, ingenioasa, care profita de deturnarea prin e-mail si de conversatiile existente pentru a ataca utilizatorii.

Campania de phishing in Canada foloseste fisierele PDF legate de impozite ca pe un ademenitor

 Asa cum este tipic pentru majoritatea atacurilor de tip phishing, e-mailul este vectorul principal de intrare utilizat in acest scenariu de atac. E-mailul provine din ceea ce pare o agentie guvernamentala legitima, „Agentia canadiana de venituri” (CRA) si are chiar si un document PDF atasat cu numele de fisier CRA-ACCESS-INFO.pdf. Acest e-mail contine un mesaj fals care informeaza destinatarul ca CRA le-a trimis un e-Transfer INTERAC cu care pot utiliza pentru a depune fonduri fie urmand instructiunile, fie facand clic pe linkul incorporat in PDF.

Figura 2. Atac de phishing deghizat in email de la CRA

Dupa cum se vede in imaginea de mai sus, corpul de mesaje PDF include o fila „Depuneti-va banii” care se leaga catre o adresa URL rau intentionata care redirectioneaza victima catre o pagina de phishing. Pagina de phishing verifica apoi locatia geo-IP a victimei. In cazul in care Geo-IP se potriveste cu cea a regiunii vizate (America de Nord in acest caz), va redirectiona catre o pagina in care utilizatorului i se cere sa introduca detalii personale si credente financiare, in caz contrar, le va redirectiona catre YouTube. Vedem un model foarte consistent in regiunea Americii de Nord cu acelasi e-mail si pdf atasat pentru toate cazurile.

Corporatia Interac gasita in e-mail este o retea interbancara legala canadiana care leaga institutiile financiare si alte intreprinderi in scopul schimbului de tranzactii financiare electronice. Interac serveste ca sistemul canadian de carduri de debit, cu acceptare, fiabilitate, securitate si eficienta bazate pe larg. Organizatia este una dintre cele mai importante marci de plata din Canada si a folosit in medie de 16 milioane de ori pe zi pentru a plati si schimba bani. Utilizarea unei astfel de institutii financiare majore adauga aparenta „legitimitate” a e-mailului de tip phishing.

Spam e-mailuri cu sarcini utile EMOTET

 EMOTET este un exemplu perfect de un malware care a evoluat de-a lungul timpului, nu numai in ceea ce priveste caracteristicile, ci si in modul de utilizare. Descoperita pentru prima data in 2014, EMOTET a inceput ca un troian bancar, dar de atunci a fost repurizat ca distribuitor de amenintari pentru alte malware, cum ar fi DRIDEX. Recent, am gasit un numar mare de campanii de spam EMOTET, folosind diferite metode de inginerie sociala pentru a-i atrage pe utilizatori sa descarce si sa lanseze sarcina sa rau intentionata, de obicei sub forma unui document MS Word sau PDF rauvoitor.

Combinatia dintre polimorfism si capabilitati asemanatoare viermului ii permite sa se raspandeasca rapid in retea fara alte interactiuni cu utilizatorii. Comportamentul tenace al malware-ului face dificila abordarea tuturor, cu exceptia celor mai sigure organizatii, in special atunci cand se ia in considerare impactul pe care il poate avea asupra unei organizatii. Dincolo de furtul de informatii, EMOTET poate provoca, de asemenea, ravagii in infrastructura de retea si poate declansa blocarea contului, lasand companiile sa indure atat pierderea monetara cat si reputatia.

E-mailuri deturnate utilizate pentru livrarea URSNIF

URSNIF este un troian bancar care fura materialele sensibile si colecteaza date despre gazda afectata, inclusiv acreditarile prin e-mail, certificate, cookie-urile browserului si informatii financiare de pe site-urile web. Recent, am detectat o noua campanie care foloseste e-mailuri legitime deturnate pentru a livra URSNIF (discutat in profunzime in aceasta intrare pe blog). Un aspect notabil al acestei noi serii de atacuri este faptul ca e-mail-ul spam-ul rau intentionat este trimis ca parte a unei conversatii in desfasurare, ceea ce ingreuneaza detectarea utilizatorului vizat. Aceasta campanie impartaseste unele asemanari cu Compromisul de e-mail de afaceri (BEC), dar fara frauda de transferuri prin cablu.

Ransomware-ul persista

Figura 3. Tendinte de ransomware nord-americane pentru al treilea trimestru 2018

GANDCRAB, care a aparut ca cel mai inalt ransomware detectat pentru cel de-al treilea trimestru al anului 2018, a cunoscut un rafinament in rutinele sale de criptare si decriptare, precum si persistenta acestuia in sistem. Actualizarile si imbunatatirile aduse codului ransomware-ului au facut dificila detectarea. Contributia la eficacitatea GANDCRAB este marea sa varietate de vectori de intrare, care includ email-uri de phishing EMOTET, kituri de exploatare, aplicatii false si instrumente de acces la distanta.

In afara de GANDCRAB, am gasit si alte nume cunoscute in primele cinci, inclusiv BLOCKER, NEMUCOD, LOCKY si WCRY. Numarul total al ransomware-ului in America de Nord este in crestere fata de trimestrul al doilea din 2018.

Malware-ul Cryptocurrency Mining ramane puternic

Figura 4. Topul malware-minerit pentru criptocurrency pentru al treilea trimestru din 2018, care este dominat de COINHIVE

Malware-ul de extragere a criptomonedelor, cunoscut sub denumirea de criptomini, a aparut ca o amenintare de top in 2018, asa cum se vede in proeminenta sa din primul si al doilea trimestru al anului. Al treilea trimestru considera ca aceasta tendinta continua, intrucat usurinta in utilizare si valoarea crescuta a criptomonedelor o fac atractiva pentru actorii amenintatori.

Criptomonedele incarca codul de exploatare a criptelor pe computerul unei victime, de obicei efectuate utilizand e-mailuri de tip phishing cu aspect legitim sau injectand codul rau intentionat pe site-uri si browsere. Odata infectat, calculatorul incetineste drastic si prezinta probleme de performanta, ceea ce duce la scaderea productivitatii si a fiabilitatii hardware-ului.

Compararea ransomware-ului cu malware-ul minier de criptocurrency

Figura 5. Comparatie lunara 2018 intre malware-ul ransomware si mineritul criptocurrency. Retineti reaparitia ransomware-ului in august 2018

In ultima noastra intrare, am discutat despre modul in care ransomware-ul a scazut in comparatie cu alte amenintari, in special mineritul de criptomonede si programul de furt al informatiilor. Am observat o scadere usoara, dar constanta, a malware-ului de extragere a criptomonedelor in al treilea trimestru al anului 2018, in timp ce ransomware-ul a inregistrat o reaparitie, in special in august, unde a avut detectari mai mari decat criptomonedele.

Evolutia anumitor ransomware, in special GANDCRAB, ar putea explica aspectul ransomware-ului de-a lungul perioadei. Un exemplu este utilizarea kitului de exploatare Fallout, care ofera metode de distributie suplimentare si o acoperire extinsa a ransomware-ului.

Vulnerabilitati fisiere: EternalBlue si MS Office exploateaza deasupra

 Vulnerabilitatile grave prezinta probleme semnificative pentru organizatii – nu numai ca lasa masinile deschise atacurilor ascunse, problema masinilor de detectare si actualizare adesea impartesc resursele de securitate limitate si impartesc atentia administratorilor IT.

Pe baza datelor noastre, primele 10 vulnerabilitati ale fisierelor pentru 2018 sunt urmatoarele:

Figura 6. Principalele vulnerabilitati detectate pentru 2018

Majoritatea vulnerabilitatilor, care cuprinde mai mult de jumatate observate in 2018, implica CVE-2017-0147, vulnerabilitatea legata de exploatarea EternalBlue si a ajuns in prim-plan in timpul aparitiei ransomware-ului WannaCry. Alte doua exploatari relativ noi, defectul de coruptie al memoriei vechi de 17 ani CVE-2017-11882 si o zi anterioara zero, CVE-2017-0199 au fost, de asemenea, printre cele mai importante vulnerabilitati detectate. Ambele vulnerabilitati sunt utilizate pentru a exploata produsele MS Office si implica, de obicei, e-mailuri spam.

Nu este surprinzator, Microsoft Windows este aplicatia cea mai vizata datorita CVE-2017-0147, care abuzeaza de vulnerabilitatile SMB in diferite versiuni Windows.

porno teen rusian http://www.hirek.hu/click.php?link=https://adult69.ro/
porno italian clasic http://www.thecoaststarlight.biz/__media__/js/netsoltrademark.php?d=adult69.ro/
porno sex anal http://www.menicka-online.cz/banner.php?link=https://adult69.ro/
mature porno gratis http://go.dlbartar.com/index.php?url=https://adult69.ro/filme-porno/amatori
filme porno gratis 2018 http://firstrepublicreal-estate-loan.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/anal
porno skinny http://www.findingyoudeals007.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/asiatice
porno for her http://www.cannonbeachcabin.net/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/beeg
porno brunete http://heartland-housecalls.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/blonde
lindic porno http://www.careerstarts.net/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/brazzers
sex porno gratis http://www.bowmandistribution.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/brunete
porno cu turcoaice http://southbeachtanningco.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/chaturbate
filme porno cu grasi http://seism.com/__media__/js/netsoltrademark.php?d=adult69.ro/sexul-hentai-e-cel-mai-excitant
porno misto http://dangdut-koplo.com/__media__/js/netsoltrademark.php?d=adult69.ro/ii-rupe-jurnalul-si-dupa-o-penetreaza
brazer porno http://parks.org/__media__/js/netsoltrademark.php?d=adult69.ro/bunicul-ei-o-fute-in-timp-ce-curata-podeaua
video porno gay http://www.racketbracket.net/__media__/js/netsoltrademark.php?d=adult69.ro/asa-mama-buna-mai-rar
porno pe centura http://www.govtube.com/__media__/js/netsoltrademark.php?d=adult69.ro/tatic-obrzanic-isi-face-fata-sa-planga
mortal kombat porno http://www.esciences.org/__media__/js/netsoltrademark.php?d=adult69.ro/mama-vitrega-indragostita-de-fiul-ei
porno espana http://hitfilmindirizle.org/__media__/js/netsoltrademark.php?d=adult69.ro/secretara-fortata-de-sef-pentru-ca-a-intarziat
porno sua http://isur.gstcorp.com/__media__/js/netsoltrademark.php?d=adult69.ro/o-invata-cum-sa-si-pedepseasca-prietenele-lezbiene
porno gumball http://goldencorralrest.com/__media__/js/netsoltrademark.php?d=adult69.ro/doica-devine-interesata-de-pula-tanarului

Microsoft Office este al doilea, care se potriveste cu a doua si a treia vulnerabilitati cele mai raspandite.

Figura 7. Industriile cele mai afectate de vulnerabilitati. In afara de primele sase, alte industrii includ materiale, F&B, telecomunicatii si imobiliare, printre altele

Pe baza datelor noastre, cele mai afectate industrii din primele 3 trimestre ale anului 2018 sunt asistenta medicala, fabricatia si tehnologia. Numarul a fost deosebit de mare in primul trimestru, dar a scazut de la al doilea trimestru inainte. In timp ce asistenta medicala a fost deasupra listei in lunile initiale in ceea ce priveste detectarea vulnerabilitatii, aceasta a scazut semnificativ in al doilea trimestru si a revenit usor in timpul celui de-al treilea.

Desi majoritatea vulnerabilitatilor au fost din ultimii patru ani, putem observa, de asemenea, vulnerabilitati mai vechi care dateaza din 2003. Acest lucru evidentiaza necesitatea de a privi dincolo de vulnerabilitatile recente si de a lua in considerare exploatarile chiar mai vechi.

Modul in care detectia si raspunsul gestionate pot ajuta la combaterea atat a amenintarilor vechi, cat si a celor noi

Pentru a atinge cel mai inalt nivel de protectie, organizatiile si echipele lor de securitate trebuie sa isi asigure intotdeauna in mod proactiv reteaua si obiectivele, nu numai de la noi amenintari, ci si de amenintarile imbunatatite mai vechi care folosesc metode inovatoare de distributie.

Acest lucru se poate dovedi problematic pentru intreprinderile cu echipe de securitate mai mici, care ar putea sa nu aiba cunostinte pentru a trata amenintarile mai avansate. Adesea, departamentul IT intern serveste, de asemenea, ca echipa de securitate de facto a organizatiei, ceea ce inseamna o munca suplimentara la nivelul sarcinilor lor zilnice. Acest lucru se poate dovedi a fi coplesitor, mai ales cand se ia in considerare numarul de alerte care depasesc linia dintre a fi legitim si rau de natura.

O optiune pentru organizatii sa ia in considerare este utilizarea unui serviciu de securitate externalizat, cum ar fi MDR. Alcatuit din profesionisti in domeniul securitatii cu ani de experienta sub curele, MDR poate oferi abilitatile de specialitate necesare pentru a ramane in fruntea amenintarilor vechi si noi, precum si expertiza necesara pentru a opera cele mai avansate instrumente de detectie si raspuns (endpoint). MDR permite organizatiilor sa detecteze amenintari inainte ca acestea sa poata afecta o organizatie, prevenind potentialele pierderi si daune ale reputatiei.

Trend Micro Solutions

Solutiile de tip Trend Micro, precum solutiile de protectie inteligenta si solutiile de securitate a afacerilor fara griji, pot proteja utilizatorii si afacerile impotriva amenintarilor prin detectarea fisierelor si mesajelor daunatoare, precum si blocarea tuturor adreselor URL rau intentionate. Solutia Trend Micro ™ Deep Discovery ™ are un strat de inspectie prin e-mail care poate proteja intreprinderile prin detectarea de atasamente si URL-uri daunatoare.

Securitatea Trend Micro XGen ™ ofera o combinatie intre generatii de tehnici de aparare impotriva amenintarilor pentru a proteja sistemele de toate tipurile de amenintari, inclusiv malware-ul ransomware si mineritul criptocurrency. Dispune de invatare de inalta fidelitate a masinilor pe portaluri si puncte finale si protejeaza sarcinile fizice, virtuale si de cloud. Cu functii precum filtrarea web / URL, analiza comportamentala si sandboxing-ul personalizat, securitatea XGen protejeaza impotriva amenintarilor actuale care ocoleste controalele traditionale; exploata vulnerabilitati cunoscute, necunoscute sau nedezvaluite; fie furati sau criptati datele de identificare personala; sau sa efectueze minerit de criptomonede. Puteri de securitate inteligente, optimizate si conectate, XGen Suita de solutii de securitate Trend Micro: securitate hibrida cloud, protectie pentru utilizatori si aparare retea.

Sustinut de 30 de ani de experienta in cercetarea amenintarilor, serviciul de detectie si raspuns gestionat de Trend Micro ofera acces expertilor priceputi cu raspunsul in direct si sunt familiarizati cu produse care pot oferi semnificatie incidentelor de securitate care se intampla organizatiilor si industriilor lor. Expertii nostri au instrumentele si tehnologiile necesare pentru a analiza amenintarile si pentru a ajuta organizatiile in mentinerea unei posturi bune de securitate.