Atacurile care folosesc exploit-uri pentru Microsoft Office au crescut de patru ori în T1 2018

Principalele probleme cibernetice din T1 2018 au fost legate de exploit-uri – programe care profită de un bug sau o vulnerabilitate – Microsoft Office. În ansamblu, numărul de utilizatori atacați cu documente Office infectate a crescut de peste 4 ori comparativ cu T1 2017. În numai trei luni, procentul acestora din totalul de exploit-uri folosite în atacuri, a ajuns să fie aproape 50%, ceea ce reprezintă dublul mediei deținute de Microsoft Office pe parcursul anului 2017. Acestea sunt principalele concluzii ale raportului Kaspersky Lab pe T1 2018, despre evoluția amenințărilor IT.

Atacurile bazate pe exploit-uri sunt considerate foarte puternice, pentru că nu este nevoie de interacțiuni suplimentare cu utilizatorul și autorii pot să „livreze” discret codul periculos. Prin urmare, sunt foarte des folosite: atât de infractorii cibernetici în căutare de profit, cât și de atacatori complecși, sprijiniți de state.

În primul trimestru din 2018 s-a înregistrat un aflux masiv de astfel de exploit-uri care vizează programe Microsoft Office. Potrivit experților Kaspersky Lab, este posibil ca acesta să fie vârful unei tendințe pe termen lung, pentru că au fost identificate cel puțin 10 exploit-uri pentru Microsost Office folosite în perioada 2017-2018, comparativ cu două exploit-uri zero-day pentru Adobe Flash, în același interval.

Procentul acestuia din urmă, din exploit-urile folosite în atacuri, descrește, așa cum era de așteptat (reprezentând mai puțin de 3% în primul trimestru) – Adobe și Microsoft au făcut mari eforturi pentru ca Flash Player să nu mai fie așa de ușor de exploatat.

După ce infractorii află despre o vulnerabilitate, pregătesc un exploit. Apoi, de multe ori, folosesc phishing-ul ca vector de infectare, compromițând utilizatorii individuali și companiile prin intermediul unor e-mail-uri cu fișiere infectate. Mai mult, astfel de vectori de atac de phishing direcționat sunt discreți de obicei și folosiți adesea în atacuri direcționate complexe – au fost numeroase astfel de exemple în ultimele șase luni.

De exemplu, în toamna anului 2017, sistemele Kaspersky Lab de prevenție a exploit-urilor avansate au identificat un nou exploit Adobe Flash zero-day, folosit împotriva clienților noștri. Exploit-ul era trimis prin intermediul unui documente Microsoft Office, iar conținutul infectat era cea mai recentă versiune a malware-ului FinSpy. Analiza acestuia le-a permis cercetătorilor să lege atacul de un autor complex, cunoscut ca BlackOasis. În aceeași lună, experții Kaspersky Lab au publicat o analiză detaliată a СVE-2017-11826, o vulnerabilitate zero-day critică, folosită pentru a lansa atacuri direcționate asupra tuturor versiunilor de Microsoft Office. Exploit-ul pentru această vulnerabilitate este un document RTF conținând un document DOCX care folosește СVE-2017-11826 din Office Open XML. În fine, foarte recent, a fost publicată  informația despre un zero-day pentru Internet Explorer, CVE-2018-8174. Această vulnerabilitate a fost utilizată și în atacuri direcționate.

„Amenințările din primul trimestru ne arată, încă o dată, că insuficienta atenție față de patch-urile necesare este una dintre cele mai importante pericole din domeniul cibernetic”, spune Alexander Liskin, security expert la Kaspersky Lab. „Chiar dacă, de regulă, producătorii scot patch-uri pentru vulnerabilități, de multe ori utilizatorii nu își pot actualiza produsele la timp, ceea ce duce la valuri de atacuri discrete și foarte eficiente, din momentul în care vulnerabilitățile devin cunoscute comunității de infractori cibernetici.”

Alte statistici din raportul pe T1 2018 despre amenințările online:  

• Soluțiile Kaspersky Lab au detectat și respins 796.806.112 atacuri periculoase de pe resurse online localizate în 194 de țări din toată lumea.
• Componentele antivirusului web au recunoscut 282.807.433 de URL-uri unice infectate.
• Au fost înregistrate tentative de infectare cu malware care urmărește să fure bani accesând online conturile bancare, pe 204.448 de computere ale utilizatorilor.
• Fișierul antivirus Kaspersky Lab a detectat un total de 187.597.494 „obiecte” infectate unice și potențial nedorite.

Produsele Kaspersky Lab pentru securitatea dispozitivelor mobile au detectat, de asemenea:

• 1.322.578 pachete de instalare infectate.
• 18.912 troieni bancari pentru mobil (pachete de instalare).

Pentru a reduce riscurile, utilizatorii sunt sfătuiți:

• Să mențină programele instalate pe PC actualizate și să activeze funcția de update automat, dacă este disponibilă.
• De fiecare dacă când este posibil, să aleagă un furnizor de software care dovedește o abordare responsabilă față de orice vulnerabilitate. De asemenea, să verifice dacă furnizorul are un program propriu de bug bounty.
• Să folosească soluții de securitate  eficiente, care au funcții speciale de protecție împotriva exploit-urilor, cum este Automatic Exploit Prevention.
• Să facă periodic un scan al sistemului, pentru a verifica dacă există probleme.
• Companiile ar trebui să folosească o soluție de securitate care are componente de prevenție a vulnerabilităților și a exploit-urilor și un management al patch-urilor, cum este Kaspersky Endpoint Security for Business. Funcția de patch management elimină automat vulnerabilitățile și le rezolvă. Componenta de prevenție a exploit-urilor monitorizează acțiunile suspecte ale aplicațiilor și blochează fișierele infectate.

Raportul integral despre evoluția amenințărilor IT în T1 este disponibil pe Securelist.com.