Hackeren søger nye veje til din computer

En ny sikkerhedsrapport fra HP Wolf Security viser, at en kombination af komprimerede filer og såkaldt "HMTL-smugling" hjælper ondsindede aktører med at omgå sikkerhedsværktøjer

En ny sikkerhedsrapport fra HP viser, at pakkeformater, så som zip og rar, for første gang er den mest almindelige måde, de cyberkriminelle bruger til at skjule malware på. Det bliver så også første gang at Office-filtyperne ikke længere topper listen.

Rapporten har navnet HP Wolf Security Threat Insights Report, og er den årlige sikkerhedsrapport fra HP.

Sikkerhedsrapporten har til formål at give virksomheder et indblik i, hvad der sker inden for cybersikkerhed i verden lige nu. Den giver bl.a. indsigt i, hvilken slags værktøjer cyberkriminelle bruger til at omgå sikkerhedsværktøjer og brugere i et konstant skiftende sikkerhedslandskab.

Rapportens data kommer fra millioner af enheder, der er forbundet til HP Wolf Security. Her viste data, at 44% af malware var skjult i komprimeringsfiler – en stigning på 11% fra det foregående kvartal. Til sammenligning var 32% af malwaren skjult i en Office-fil som Word, Excel og PowerPoint.

Sikkerhedsværktøjer kan ikke følge med

Rapporten identificerede også flere kampagner, der brugte HTML-filer til at omdirigere brugere til falske online dokumentlæsere, der udgav sig for at være Adobe. Brugerne blev derefter bedt om at åbne en ZIP-fil og indtaste en adgangskode for at udpakke filen, hvorefter malware endte på deres pc.

Da malwaren i den originale HTML-fil var kodet og krypteret, var det meget svært for e-mail-gateways og andre sikkerhedsværktøjer at opdage angrebet. I stedet er angriberen afhængig af social manipulation ved at skabe en overbevisende og veldesignet hjemmeside med det formål at få ofre til selv at indlede angrebet ved at åbne en inficeret ZIP-fil. I oktober blev det opdaget, at de samme cyberkriminelle brugte falske Google Drev-sider i nye forsøg på at få ofrene til at åbne ZIP-filerne.

Det er meget nemt for cyberkriminelle at skjule malware i komprimerings- og arkivfiler. Dette giver dem mulighed for at omgå webproxyer, sandkasser eller e-mail-scannere, hvilket gør det svært at opdage – især i kombination med HTML-smuglingsteknikker. Det interessante ved OakBot- og IceID-kampagnerne var den store indsats, der blev lagt i at skabe de falske hjemmesider. Disse kampagner var mere overbevisende, end vi har set før, hvilket igen gør det meget svært for folk at vide, hvilke filer de kan stole på.

Flemming Pregaard, Chief Technologist hos HP Danmark

Cyberkriminelle ændrer taktik konstant

HP identificerede også en kompleks kampagne, der brugte en modulær infektionskæde. Dette kan potentielt ændre angrebsmål undervejs, såsom spyware, ransomware eller keyloggere – eller introducere nye funktioner såsom geofencing. Ved ikke at have malware direkte i den vedhæftede fil sendt til angrebsmålet, blev det også sværere for e-mail-gateways at opdage denne type angreb.

Vi ser, at cyberkriminelle hele tiden ændrer deres teknikker, hvilket gør det meget svært for sikkerhedsværktøjer at opdage dem. Ved at følge Zero Trust-principperne kan virksomheder bruge mikrovirtualisering til at sikre, at potentielt ondsindede processer – såsom at klikke på links eller åbne vedhæftede filer – udføres i en virtuel maskine, der er isoleret fra resten af ​​systemet. Denne proces vil ikke være synlig for brugeren og fanger malwaren i den virtuelle maskine. Det betyder, at angriberne ikke får adgang til følsomme data og forhindrer dem i at komme ind og bevæge sig rundt i systemerne.

Flemming Pregaard, Chief Technologist hos HP Danmark

HP Wolf Security udfører risikable opgaver såsom at åbne vedhæftede filer i e-mail, downloade filer og klikke på links gennem isolerede virtuelle maskiner for at beskytte brugeren og opdage forsøg på brud. HP’s softwareisoleringsteknologi forhindrer trusler, der ellers kunne komme forbi andre sikkerhedsværktøjer, og giver en unik indsigt i nye angrebsteknikker, og hvordan cyberkriminelle opererer. Ved at isolere trusler på pc’er, der er kommet forbi sikkerhedsværktøjer, har HP Wolf Security specifik indsigt i de nyeste teknikker, der bruges af disse aktører. Til dato har HP-kunder klikket på over 18 milliarder e-mail-vedhæftede filer, websider og downloadede filer uden rapporterede brud.

Om undersøgelsen

Data er indsamlet anonymt gennem HP Wolf Security-kunders virtuelle maskiner fra juli til september 2022.

About Lars Bennetzen 3889 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.