Evoluția amenințărilor malware în anul 2017

Tendinte (de , April 16, 2018)

Malwareul rămâne în continuare una dintre cele mai importante amenințări cibernetice și care înregistrează o permanentă evoluție ascendentă în ceea ce privește nivelul de sofisticare tehnologică, complexitate și diversitate, după cum reiese și din graficul de mai jos.

 

 

 

 

Evoluția numărului de noi versiuni de malware în ultimii ani

(Sursa: McAfee Labs Threat Report, December 2017)

Anul 2017 a adus câteva evoluții și tendințe interesante ale acestei amenințări, unele dintre acestea regăsindu-se în rândurile următoare.

Fileless Malware

Atacatorii preferă tot mai mult utilizarea de malware care nu lasă urmă pe discurile de stocare ale sistemelor infectate. Acest tip de malware este dificil de investigat prin metodologiile și cu uneltele clasice. Practic, malware-ul rezidă doar în memoria RAM, componentele acestuia devenind astfel foarte volatile.

Pentru contracararea acestui tip de malware organizațiile au nevoie de unelte și proceduri adecvate, care să permită monitorizarea infrastructurii IT în timp real, detecția rapidă a anomaliilor și acționarea în timp real pentru prevenirea, stoparea sau ameliorarea incidentelor.

Pe scurt, câmpul de luptă dintre atacatori și cei care protejează infrastructurile IT migrează în memoria volatilă (RAM), punând astfel presiune pe organizații și producătorii de tehnologie să investească în găsirea unor soluții adecvate de contracarare și investigare (Memory Forensics) a acestor amenințări.

Living of The Land

Tot mai multe atacuri utilizează malware rezultat prin combinarea unor unelte software pre-instalate în sistemele țintă, precum: PowerShell, PSExec, WMI etc. Astfel, atacurile devin mai greu de detectat deoarece respectivele unelte sunt destinate în mod normal pentru derularea unor activități legitime de administrare a sistemelor informatice. Campania NotPetya  din vara anului 2017 este un exemplu relevant în acest sens.

Utilizarea uneltelor preinstalate reprezintă de fapt o tehnică de evitare a detecției de către diferite produse antivirus/antimalware, având în vedere că de cele mai multe ori uneltele preinstalate se află într-un soi de „whitelist” (listă de încredere).

Spre exemplu, s-au înregistrat cazuri în care atacatorii au reușit să pătrundă de la distanță în anumite sisteme Windows sau Linux și au criptat manual datele de pe respectivele sisteme, utilizând uneltele disponibile sau unelte legitime instalate ulterior (PGP, VeraCrypt, TrueCrypt, BitLocker etc.).

Click Less Malware

Datorită creșterii eforturilor în direcția conștientizării riscurilor cibernetice în rândul utilizatorilor, atacatorii încep să se orienteze către mecanisme de infectare a sistemelor informatice fără a fi nevoie de vreo acțiune din partea utilizatorilor. Astfel, au fost identificate tot mai multe cazuri de infecții datorate simplei vizitări a unui site web, sau prin răspândirea automată în rețea (capabilități de tip „worm”). Campania WannaCry  este un exemplu relevant de malware care nu vreo acțiune din partea utilizatorilor pentru răspândire.

În ultimii ani au fost identificate destule campanii ransomware care se răspândeau prin intermediul unor reclame web inserate în cadrul unor siteuri web care se bucură de popularitate crescută, precum cele de știri spre exemplu. În unele cazuri era suficientă simpla vizitare a site-ului pentru ca un cod malițios (exploit) să încerce să ruleze în browser și să exploateze astfel sistemul.

Malware pentru MAC

Contrar percepției generale conform căreia sistemele de operare de tip Linux/Unix nu sunt afectate de malware, în ultimii ani au fost identificate din ce în ce mai multe variante de malware special create pentru MAC OS X. Mai mult, în anul 2017 rapoartele  arată aproape o dublare a acestui tip de malware, ceea ce arată o tendință evidentă a atacatorilor de a ținti și aceste sisteme, mai ales în contextul în care și cota de piață a acestor sisteme este în continuă creștere.

Evoluția numărului de versiuni de malware pentru MAC în ultimii ani

(Sursa: McAfee Labs Threat Report, December 2017)

Supply Chain Attacks

Atacatorii au observat că uneori, în vederea atacării unor ținte anume sau a cât mai multor utilizatori și companii, este mult mai eficient să se compromită anumite mecanisme de producție, aprovizionare sau distribuire de hardware și software. Spre exemplu, inserarea de malware într-o unealtă software utilizată la scară largă este o metodă foarte eficientă de infectare în masă. Unul dintre cele mai relevante cazuri de anul trecut a fost compromiterea Cleaner . Alte campanii au vizat mecanismul de actualizare al unor unelte software (precum în cazul M.E.Doc ), sau malware la nivel de firmware  (BIOS, UEFI).


Tags: , , ,

Trackbacks

Leave a Trackback