Wyspecjalizowany łowca-zabójca złośliwe oprogramowanie który jest w stanie zidentyfikować i wyłączyć kluczowe narzędzia bezpieczeństwa cybernetycznego, takie jak zapory ogniowe nowej generacji, oprogramowanie antywirusowe oraz rozwiązania do wykrywania i reagowania na punkty końcowe (EDR), odnotował czterokrotny wzrost wolumenu w 2023 r., co świadczy o dramatycznej zmianie zdolności podmiotów zagrażających do neutralizowania obrony przedsiębiorstw.
Tak wynika z najnowszego raportu Picus Security coroczny Raport Picus Redw ramach którego przeanalizowano ponad 600 000 próbek szkodliwego oprogramowania zaobserwowanych w tym okresie i przypisano średnio 11 technik na złośliwe oprogramowanie na ponad siedem milionów Mitra ATT&CK techniki.
„Jesteśmy świadkami wzrostu liczby ultrawymykających się, wysoce agresywnych szkodliwych programów, które mają cechy łodzi podwodnych-zabójców” – powiedział Suleyman Ozarslan, współzałożyciel Picus Security i wiceprezes jednostki badawczej Picus Labs firmy, która przygotowała raport dane.
„Tak jak te łodzie podwodne płyną cicho po głębokich wodach i przeprowadzają niszczycielskie ataki, aby pokonać obronę swoich celów, tak nowe złośliwe oprogramowanie ma nie tylko omijać narzędzia bezpieczeństwa, ale także aktywnie je niszczyć. Uważamy, że cyberprzestępcy zmieniają taktykę w odpowiedzi na znaczną poprawę bezpieczeństwa przeciętnych firm i powszechnie stosowane narzędzia oferujące znacznie bardziej zaawansowane możliwości wykrywania zagrożeń.
„Rok temu przeciwnicy wyłączali kontrole bezpieczeństwa stosunkowo rzadko. Obecnie takie zachowanie widać w jednej czwartej próbek złośliwego oprogramowania i jest wykorzystywane przez praktycznie każdą grupę zajmującą się oprogramowaniem ransomware oraz grupę APT” – powiedział Ozarslan.
„Jesteśmy świadkami wzrostu liczby ultrawymykających się, wysoce agresywnych szkodliwych programów, które mają cechy łodzi podwodnych myśliwych i zabójców”
Suleyman Ozarslan, ochrona Picus
Wykorzystywanie złośliwego oprogramowania typu „hunter-killer” stanowi technikę Mitre ATT&CK oznaczoną jako T1562 Impair Defence, a dramatyczny wzrost jej wykorzystania sprawił, że stała się ona trzecią najczęściej obserwowaną techniką Mitre w 2023 r.
Reklama
Picus stwierdził, że wzrost ten został dodatkowo zniuansowany przez zmianę przeznaczenia narzędzi zapewniających bezpieczeństwo cybernetyczne na złośliwe narzędzia. Na przykład w 2023 roku ekipa oprogramowania ransomware LockBit zamieniła narzędzie antyrootkitowe TDSSKiller firmy Kaspersky w broń aby zabić oprogramowanie zabezpieczające punkt końcowy – w tym Microsoft Defender.
Gwałtowny wzrost liczby szkodliwego oprogramowania typu „myśli” wpisuje się w szerszy trend, zgodnie z którym ugrupowania cyberprzestępcze optymalizują swoje szanse na pomyślne ataki, omijając cyberobronę swoich ofiar – 70% złośliwego oprogramowania przeanalizowanego na potrzeby raportu wykorzystuje obecnie techniki ukrywania się, aby uniknąć wykrycia oraz ustanowić i utrzymać trwałość . Picus zaobserwował podwojenie wykorzystania zaciemnionych plików lub informacji, których celem jest utrudnianie skuteczności narzędzi bezpieczeństwa oraz unikanie wykrycia, reakcji na incydenty i późniejszej analizy kryminalistycznej.
„Wykrycie, czy atak spowodował wyłączenie lub zmianę konfiguracji narzędzi bezpieczeństwa, może być niezwykle trudne, ponieważ może się wydawać, że nadal działają zgodnie z oczekiwaniami” – powiedział Huseyin Can Yuceel, kierownik ds. badań nad bezpieczeństwem w Picus Security.
„Zapobieganie atakom, które w innym przypadku byłyby niezauważone, wymaga stosowania wielu środków kontroli bezpieczeństwa w ramach podejścia polegającego na dogłębnej obronie. Walidacja bezpieczeństwa musi być dla organizacji punktem wyjścia do lepszego zrozumienia swojej gotowości i zidentyfikowania luk.
„Chyba że organizacja aktywnie symuluje ataki, aby ocenić reakcję swoich ataków EDR, XDR [extended detection and response], SIEM [security information and event management]i inne systemy obronne, które mogą zostać osłabione lub wyeliminowane przez złośliwe oprogramowanie zabójcze, nie zorientują się, że nie działają, dopóki nie będzie za późno” – powiedział Yuceel.
10 najczęściej obserwowanych taktyk, technik i procedur Mitre ATT&CK (TTP) widocznych w danych Picus to:
Wstrzykiwanie procesu T1055 — wykorzystywane w celu zwiększenia zdolności ugrupowania zagrażającego do pozostania niewykrytym i potencjalnego podniesienia jego uprawnień poprzez wstrzyknięcie złośliwego kodu do legalnego procesu, maskując w ten sposób to, co się naprawdę dzieje.
Interpreter poleceń i skryptów T1059 – używany do wykonywania poleceń, skryptów i plików binarnych w systemie ofiary, umożliwiając cyberprzestępcom interakcję z zaatakowanym systemem, pobieranie większej liczby ładunków i narzędzi lub ominięcie środków obronnych.
T1082 Wykrywanie informacji o systemie – służy do gromadzenia danych o zaatakowanym systemie, takich jak wersja systemu operacyjnego, identyfikator jądra i potencjalne luki w zabezpieczeniach, poprzez wykorzystanie wbudowanych narzędzi.
T1486 Data Encrypted for Impact – używany przez szafki ransomware i narzędzia do usuwania danych.
T1003 OS Credential Dumping – używany do uzyskiwania loginów do kont i danych uwierzytelniających w celu uzyskania dostępu do innych zasobów i systemów w środowisku ofiary.
Protokół warstwy aplikacji T1071 – używany do manipulowania standardowymi protokołami sieciowymi, co umożliwia atakującym infiltrację systemów i kradzież danych poprzez wmieszanie się w normalny ruch sieciowy.
T1547 Boot or Logon Autostart Execution – służy do konfigurowania ustawień systemowych w celu automatycznego uruchamiania programów podczas uruchamiania systemu lub logowania użytkowników, w celu utrzymania kontroli lub eskalacji uprawnień.
T1047 Instrumentacja zarządzania Windows (WMI) – używana do wykonywania złośliwych poleceń i ładunków na zaatakowanych hostach z systemem Windows poprzez wykorzystanie narzędzia do zarządzania danymi i operacjami WMI.
T1027 Zaciemniane pliki lub informacje – używane do ukrywania zawartości złośliwego pliku lub pliku wykonywalnego podczas przesyłania poprzez jego szyfrowanie, kodowanie lub kompresję.
Ozarslan stwierdził, że aby zwalczać złośliwe oprogramowanie zabójcze dla łowców i nie wyprzedzić niektórych innych TTP, które mają być nadal dobrze wykorzystywane w 2024 r., organizacje muszą zrobić więcej, aby zweryfikować swoje zabezpieczenia przed strukturą Mitre ATT&CK i przyjąć w razie potrzeby wykorzystanie uczenia maszynowego jako asystenta.
Można przygotować pełny raport, zawierający wiele szczegółów na temat najczęściej obserwowanych technik Mitre ATT&CK pobrany z Picus Security tutaj.
Pracownicy sztucznej inteligencji (AI) w Kenii uruchomili Stowarzyszenie danych etykietnych danych (DLA) Walczyć o uczciwe wynagrodzenie, wsparcie zdrowia psychicznego...
Każdego tygodnia na Polygon dopełniamy najbardziej znaczące nowe wydania strumieniowe i VOD, podkreślając największe i najlepsze nowe filmy, które można oglądać w domu.W...
Rada Dyrektorów Openai odpowiedział na Elon Musk ma na celu zakup firmy. W Oświadczenie o xPrzewodniczący Openai, Bret Taylor, powiedział: „Openai nie jest...
Ziemska Aegis to trudna mapa do wyśledzenia Notoryczny'S Szmaragdowe schody region. Jest schowany w trudnym do znalezienia dom, a znalezienie samego skarbu wiąże...
