HP:n uusimmassa Threat Insights -raportissa kerrotaan, kuinka uhkatoimijat hyödyntävät haittaohjelmapaketteja ja generatiivista tekoälyä (GenAI) tehostaakseen hyökkäyksiään. Tällaiset työkalut tekevät hyökkäysvälineiden luomisesta helpompaa ja nopeampaa. Hyökkääjät voivat keskittyä kiertämään havaitsemismenetelmiä ja huijata uhreja tartuttamaan päätelaitteitaan esimerkiksi upottamalla haitallista koodia kuvatiedostoihin.
Raportti tarjoaa analyysin todellisista kyberhyökkäyksistä ja auttaa organisaatioita pysymään ajan tasalla verkkorikollisten käyttämistä uusimmista tekniikoista nopeasti muuttuvassa kyberuhkien ympäristössä. Raportti perustuu miljoonien HP Wolf Securityä käyttävien päätelaitteiden dataan. HP:n tutkijat tunnistivat seuraavat merkittävät uhat:
- Haittaohjelmapaketit: HP:n tutkijat havaitsivat laajoja kampanjoita, joissa levitettiin VIP Keylogger– ja 0bj3ctivityStealer-haittaohjelmia samoja tekniikoita ja latausohjelmia hyödyntäen. Molemmissa tapauksissa hyökkääjät piilottivat saman haitallisen koodin kuvatiedostoihin verkkopalveluissa kuten archive.org ja käyttivät samaa latausohjelmaa haitallisen sisällön asentamiseen. Tällaiset tekniikat auttavat kiertämään havaitsemisjärjestelmät, sillä kuvatiedostot vaikuttavat harmittomilta, kun ne ladataan tunnetuilta sivustoilta. Ne ohittavat esimerkiksi maineeseen perustuvat verkkosuodattimet.
- GenAI auttaa haitallisten HTML-dokumenttien luomisessa: Tutkijat havaitsivat XWorm Remote Access Trojan (RAT) -kampanjan, joka hyödynsi HTML smuggling -tekniikkaa. Haitallinen HTML-sivu sisälsi koodia, joka latasi ja suoritti haittaohjelman. Samoin kuin aiemmassa AsyncRAT-kampanjassa, latausohjelmassa oli merkkejä siitä, että se on saatettu kirjoittaa GenAI:n avulla. Tähän viittasivat esimerkiksi HTML-sivun rivikohtainen kuvaus ja ulkoasu.
- Pelaajien huijausohjelmat vaarassa: Hyökkääjät ovat ottaneet haltuunsa videopelien huijaustyökaluja ja muokkausarkistoja GitHubissa lisäämällä suoritettavia tiedostoja, jotka sisältävät Lumma Stealer -haittaohjelman. Tämä tietovaras kaappaa uhrien salasanat, kryptolompakot ja selaintiedot. Käyttäjät kytkevät usein suojaustyökalut pois päältä ladatessaan ja käyttäessään huijausohjelmia, mikä kasvattaa tartuntariskiä ilman eristystekniikkaa.
Alex Holland, HP Security Labin johtava uhkatutkija kommentoi:
”Analysoimamme kampanjat vahvistavat edelleen käsitystämme kyberrikollisuuden kaupallistumisesta. Kun haittaohjelmapaketit ovat entistä helpommin saatavilla sekä edullisia ja helppokäyttöisiä, myös aloittelijat voivat rakentaa tehokkaan tartuntaketjun rajallisinkin tiedoin ja taidoin. Kun generatiivista tekoälyä hyödynnetään skriptien laatimisessa, kynnys hyökkäysten toteuttamiseen madaltuu entisestään. Tämä antaa rikollisryhmille mahdollisuuden keskittyä uhriensa huijaamiseen ja tilanteeseen sopivimman haittaohjelman valitsemiseen.”
HP Wolf Security eristää uhat, jotka ovat onnistuneet ohittamaan havaitsemistyökalut, ja suorittaa haittaohjelmat turvallisessa ympäristössä, jossa ne eivät voi vahingoittaa järjestelmää. Tämä mahdollistaa uhkien turvallisen analysoinnin ja tehokkaamman suojautumisen. Samalla saadaan ainutlaatuinen näkymä kyberrikollisten uusimpiin tekniikoihin. HP Wolf Security -asiakkaat ovat tähän mennessä klikanneet yli 65 miljardia sähköpostiliitettä, verkkosivua ja ladattua tiedostoa ilman raportoitua tietomurtoa.
Vuoden 2024 kolmannelta vuosineljännekseltä koottu raportti paljastaa, kuinka rikolliset laajentavat hyökkäystapojaan kiertääkseen suojaustyökaluja:
- Vähintään 11 % HP Sure Clickin havaitsemista sähköpostiuhkista ohitti yhden tai useamman sähköpostisuodattimen.
- Suoritustiedostot olivat yleisin haittaohjelmien toimitustapa (40 %), ja niitä seurasivat arkistotiedostot (34 %).
- .lzh-tiedostojen määrä kasvoi merkittävästi; ne muodostivat 11 % analysoiduista arkistoista, ja suurin osa kohdistui japaninkielisiin käyttäjiin.
Dr. Ian Pratt, HP Inc.:n tietoturvajohtaja toteaa:
”Kyberrikolliset kasvattavat nopeasti hyökkäystensä monimuotoisuutta, määrää ja nopeutta. Jos haitallinen Excel-tiedosto estetään, seuraava hyökkäys voi käyttää arkistotiedostoa. Sen sijaan, että yritettäisiin havaita nopeasti vaihtuvia tartuntamenetelmiä, organisaatioiden tulisi keskittyä hyökkäysmahdollisuuksien vähentämiseen. Tämä tarkoittaa riskialttiiden toimintojen, kuten sähköpostiliitteiden avaamisen, linkkien napsauttamisen ja tiedostojen lataamisen eristämistä ja hallintaa murtojen ehkäisemiseksi.”
HP Wolf Security suorittaa riskialttiit tehtävät päätelaitteella eristetyissä, laitteistopohjaisesti suojatuissa virtuaalikoneissa. Tämä suojaa käyttäjiä ilman, että tuottavuus kärsii. Se myös tallentaa yksityiskohtaisia jälkiä järjestelmien saastutusyrityksistä. HP:n sovellusten eristysteknologia torjuu uhkia, jotka voivat ohittaa muut suojaustyökalut, ja tarjoaa ainutlaatuista tietoa tunkeutumistekniikoista ja uhkatoimijoiden käyttäytymisestä.
