Hackere udnytter adviseringer og analyser til at måle effektivitet

HP advarer om en stigning i ondsindede PDF-filer og Office-udnyttelser

15. februar 2024 Lars Bennetzen Business, Nyheder fra gl. site, Nyhedsbrev, Sikkerhed, Tophistorier
Foto: Jumpstory

Cyberkriminelle bliver stadig dygtigere til deres arbejde, og samtidig hjælper generativ AI dem til at lave endnu mere overbevisende indhold.

Cyberkriminelle er ved at blive dygtige til at forstå hvordan vi tænker og arbejder. F.eks. bliver designet af populære cloud-tjenester altid forfinet, så når en falsk fejlmeddelelse vises, vil den ikke nødvendigvis udløse en alarm, selvom brugeren ikke har set den før. Med GenAI, der genererer endnu mere overbevisende ondsindet indhold til små eller ingen omkostninger, bliver det kun sværere at skelne ægte fra falsk.

Alex Holland, Senior Malware Analyst i HP Wolf Security

Trusler identificeret af HP Wolf Security

  • DarkGate bruger Ad-tools til at forstærke angreb: Ondsindede PDF-filer, der udgiver sig for at være en OneDrive fejlmeddelelse, dirigerer brugere til sponsoreret indhold hostet på et populært annoncenetværk. Dette fører til DarkGate malware.
    • Ved at bruge annoncer, kan hackere analysere hvilke virkemidler, der genererer klik og inficere flest mulige – og hjælpe dem med at forfine scams til maksimal effekt.
    • Hackere kan bruge CAPTCHA redskaber til at forebygge sandboxes ved at scanne malware og stoppe angreb ved at sikre, at de kun får menneskelige klik.
    • DarkGate giver bagdørsadgang til cyberkriminelle netværk, der udsætter ofre for risici såsom datatyveri og løsepenge. 
  • Et skift fra makroer til Office-udnyttelse: I 4. kvartal forsøgte mindst 84% af angrebene på indtrængen via regneark, og 73% via Word-dokumenter. Udnyttelsen af sårbarheder i Office-applikationer stiger – mens udviklingen væk fra makroaktiverede Office-angreb også fortsætter. Dog har makroaktiverede angreb stadig deres plads, især for angreb der udnytter billig råvare-malware som Agent Tesla og XWorm. 
  • PDF-malware er stigende: 11% af de malware der er analyseret i 4. kvartal, brugte PDF-filer til at levere malware, sammenlignet med kun 4% i 1. og 2. kvartal 2023. Et bemærkelsesværdigt eksempel var en WikiLoader-kampagne, der brugte en falsk pakkeleverings-PDF til at narre brugere til at installere Ursnif malware.
  • Discord og TextBin bliver brugt til at hoste ondsindede filer: Hackere bruger legitime fil- og tekstdelingswebsteder til at hoste ondsindede filer. Disse websteder har ofte tillid fra organisationer, hvilket hjælper websteder med at undgå antimalware-scannere, hvilket øger hackernes chancer for at forblive skjulte. 

Ved at isolere trusler, der har unddraget sig registreringsværktøjer på pc’er – men stadig tillader malware at detonere sikkert – har HP Wolf Security specifik indsigt i de nyeste teknikker, der bruges af cyberkriminelle i det hurtigt skiftende cyberkriminelle landskab. Til dato har HP Wolf Security-kunder klikket på over 40 milliarder e-mail vedhæftede filer, websider og downloadet filer uden rapporterede brud. 

Rapporten tydeliggør hvordan cyberkriminelle fortsat diversificere angrebsmetoder for at omgå sikkerhedspolitikker og detektionsværktøjer. 

Andre relevante indsigter fra rapporten:

  • Archives var den mest populære malware-leveringstype i 7. kvartal i træk, brugt i 30% af malware analyseret af HP
  • Mindst 14% af e-mailtrusler identificeret af HP Sure Click omgik en eller flere e-mail gateway scannere.
  • De største trusselsvektorer i 4. kvartal var e-mail (75%), downloads fra browsere (13%) og andre midler som USB-drev (12%).

Cyberkriminelle anvender de samme værktøjer, som en virksomhed kan bruge til at administrere en marketingskampagne for at optimere deres malware-kampagne, hvilke øger sandsynligheden for, at brugeren falder i fælden. For at beskytte mod trusselsaktører med gode ressourcer skal organisationer følge zero trust principles, isolere og indeholde risikable aktiviteter som åbning af vedhæftede filer i e-mail, klik på links og browserdownloads.

Dr. Ian Pratt, Global Head of Security for Personal Systems i HP Inc.

Om data i undersøgelsen

Disse data blev indsamlet fra HP Wolf Security kundeenheder fra oktober-december 2023.

Tjek priser på bredbånd

Tech-Test har indgået et samarbejde med Samlino så du kan tjekke bredbåndspriser og ikke mindst muligheder for bredbånd på din adresse.

Det er helt gratis og Samlino skal ikke bruge andet end din adresse for at levere priser til dig.

Når du har indtastet adressen i feltet herunder, bliver du sendt til Samlino, hvor du får vist resultatet, og hvor du kan indsætte flere filtre, hvis du har bestemte behov for dit bredbånd.

Relaterede Artikler

Nyheder fra gl. site

Danske virksomheder rammes af Emotets genfødsel

16. december 2021 Lars Bennetzen Nyheder fra gl. site, Nyhedsbrev, Sikkerhed, Tophistorier
Check Point Software Technologies kunne for nylig fortælle, at det berygtede botnet Emotet er genopstået. Nu viser den seneste Global Threat Index-rapport fra Check Point Research, at Emotet er strøget direkte ind på listen som den femte største cybertrussel mod danske virksomheder. Emotet-malware har således ramt 3 pct. at alle danske virksomheder i november. På verdensplan er det blot 1,7 pct., der er blevet ramt af Emotet. Ifølge Check Point Software Technologies bliver Emotet lige nu spredt via phishing e-mails, som lokker medarbejderne til at åbne inficerede filer, der udgiver sig for at være legitime word-, excel- og Zip-filer.   Emotet er et af de største botnets nogensinde og er til dels skyld i den eksplosion af ransomwareangreb, vi har set de sidste par år. Derfor er det også dybt bekymrende, at Emotet er tilbage med så voldsom styrke, at de går direkte ind som den femte største cybertrussel mod danske virksomheder. Vi ved, at Emotets malware bliver spredt via vedhæftninger i phishing e-mails, men senest har vi set, at det også spredes via installationsfiler, der udgiver sig for at være software fra Adobe. Derfor er det vigtigt, at virksomheder er på forkant med cybertruslerne, og ikke mindst uddanner deres medarbejdere i at spotte ondsindede mails og filer. Niels Zimmer Pousen, Head of Security Engineering hos Check Point Software Technologies i Danmark Den største cybertrussel mod danske virksomheder er, ifølge Check Point Research, Formbook, der i november ramte 4,36 pct. af alle danske virksomheder.
Nyheder fra gl. site

LightNeuron overtager din mail

7. maj 2019 Lars Bennetzen Nyheder fra gl. site, Nyhedsbrev, Tophistorier
Har du Microsoft Exchange? Så er det måske værd at kigge nærmere efter om din sikkerhed er helt opdateret. Forskere fra sikkerhedsfirmaet ESET, har fundet en malware/sårbarhed med navn LightNeuron, som rammer Microsoft Exchange, og som i bund og grund giver fuld kontrol over din mailboks. Hvis LightNeuron rammer din server, så bliver den styret via emails med pdf- og jpg-filer der har kode skjult via steganografi (koden gemt i kildekoden til billeder eller pdf-dokumenter). LightNeuron har angrebet Microsoft Exchange mailservere så langt tilbage som 2014, og ESET fortæller at deres forskere har fundet tre forskellige organisationer der er blevet ramt af LightNeuron, blandt andet et udenrigsministerium i et land i Østeuropa, og en diplomatisk organisation i Mellemøsten – og nej ESET vil ikke oplyse hvilke. ESET har indsamlet informationer der viser, at LightNeuron er i arsenalet hos den berygtede spionagegruppe, Turla, der også går undernavnet Snake. LightNeuron er for resten den første kendte malware der udnytter Microsoft Exchange Transpoert Agent-mekanismen, hvilket gør at den får fuld kontrol over mailserverens funktionalitet. Det at LightNeuron kan styre emailkommunikation gør den til det perfekte værktøj til at hive informationer ud af virksomheder og organisationer uden at nogen lægger mærke til det. Og fordi den bruger mails med steganografi-kode til at styre operationen, er den meget svær at stoppe og finde. ESET oplyser at LightNeuron er svær at fjerne fra netværket, hvis den først er inde. At fjerne inficerede filer vil nemlig ødelægge mailserveren.
No Picture
Business

Berygtet malware stjæler informationer fra personer og virksomheder

9. oktober 2020 Lars Bennetzen Business, Nyheder fra gl. site, Nyhedsbrev, Sikkerhed, Tophistorier
Analytikere hos Check Point Research, der er en del af Check Point Software Technologies, har opdaget flere nye varianter af den berygtede Valak-malware. Det viser deres seneste Global Threat Index for september, som netop er blevet offentliggjort. Valak-malwaren er en sofistikeret malware-loader, der første gang så dagens lys i slutningen af 2019. Gennem de seneste måneder har Check Point opdaget, at nye varianter af malwaren giver hackere mulighed for at stjæle informationer fra både personer og virksomheder. I september blev Valak-malwaren spredt via malspam-kampagner i så høj grad, at malwaren landede på en niende plads over de største globale cybertrusler. Check Points Global Threat Index viser desuden, at næsten 10% af danske virksomheder er blevet ramt af Emotet-botnettet i september. Det betyder, at Agent Tesla-malwaren ikke længere er den største cybertrussel mod danske virksomheder, som den ellers har været i hele tre måneder i træk. Efter sommeren har vi oplevet, at Danmark i stigende grad bliver ramt af Emotet-botnettet, hvilket betyder, at den nu er den største cybertrussel mod virksomhederne. Vi har før set, at netop Emotet-botnettet forsvinder fra radaren for en periode, blot for at returnere med fuld kraft. Derfor er det også vigtigt, at alle virksomheder er opmærksomme på de aktuelle cybertrusler. Niels Zimmer Poulsen, Head of Security Engineering hos Check Point i Danmark Emotet-botnettet har siden juli været den største globale cybertrussel, og den indtager forsat førstepladsen på listen i september, hvor den har ramt hele 14% af virksomhederne verden over.