Kwartalny raport Fortinet: wzmożona aktywność cyberprzestępców

Nowe standardy unikania wykrycia

Wiele nowoczesnych narzędzi typu malware zawiera funkcje unikania interakcji z oprogramowaniem ochronnym i innymi środkami wykrywania zagrożeń. Cyberprzestępcy dążą jednak do jeszcze skuteczniejszych sposobów unikania detekcji, korzystając z technik tzw. zaciemniania kodu i antyanalizy.

Za przykład wykorzystywania tych praktyk może służyć kampania spamu w Japonii. W jej trakcie do e-maili phishingowych dodawany był załącznik z uzbrojonym plikiem Excel zawierającym złośliwe makra. Zaprojektowano je w taki sposób, aby wyłączało narzędzia zabezpieczające, wykonywało dowolne komendy, wywoływało problemy z pamięcią urządzenia i działało tylko na japońskich systemach.

Kolejny przykład to jedna z wersji trojana bankowego Dridex, który przy każdym logowaniu użytkownika zmieniał nazwy i hashe plików, utrudniając odnalezienie złośliwego oprogramowania w zainfekowanym systemie. – Coraz powszechniejsze wykorzystywanie antyanalizy i praktyk unikania detekcji przypomina o potrzebie korzystania z ochrony wielowarstwowej i behawioralnego wykrywania zagrożeń – mówi Jolanta Malak, dyrektor polskiego oddziału firmy Fortinet.

Długoterminowa strategia ukrytych ataków

Złośliwe oprogramowanie Zegost było zastosowane w kampanii spearphishingowej, która wykorzystywała kilka ciekawych technik. Tak jak w przypadku innych rodzajów oprogramowania typu infostealer, głównym celem Zegosta jest zbieranie i potajemne wydobywanie informacji o urządzeniu ofiary. Wyróżnia go jednak unikalna konfiguracja, która ma chronić przed wykryciem. Zegost wyposażony jest np. w funkcję czyszczenia zapisów zdarzeń, co nie jest zazwyczaj charakterystyczną cechą złośliwego oprogramowania. Kolejną ciekawą funkcją wyróżniającą Zegosta jest komenda, która utrzymywała go w uśpieniu przed 14 lutego 2019. Dopiero po tej dacie rozpoczął się cykl infekowania.

Osoby odpowiedzialne za rozpowszechnianie Zegosta wykorzystują cały arsenał eksploitów, a więc luk w zabezpieczeniach, aby nawiązać i utrzymać połączenie z ofiarą. Dlatego jest to o wiele bardziej długoterminowe zagrożenie w porównaniu z innymi odpowiednikami tego oprogramowania.

Ukierunkowane ataki ransomware

Popularność ransomware’u nie zanika – oprogramowanie to stanowi poważne zagrożenie, czego dowodzą liczne ataki na infrastruktury miejskie czy lokalne jednostki samorządowe. Przestępcy korzystający z ransomware odchodzą od strategii szeroko zakrojonych kampanii celujących w przypadkowe ofiary, a skupiają się na ukierunkowanych atakach na ofiary mające możliwości lub powody, aby zapłacić okup. W niektórych przypadkach cyberprzestępcy przeprowadzali dokładny rekonesans przed skierowaniem ransomware’u na starannie dobrane systemy, aby zwiększyć szansę powodzenia ataku.