Проучване показва, че през миналата година е имало ясно изразено увеличение на броя на отделните кампании за зловреден софтуер, които са доставяли един и същ полезен товар, което предполага, че хакерите все по-често се снабдяват с инструменти от платформи за зловреден софтуер като услуга.
Моделът „зловреден софтуер като услуга“ се превръща в доминиращ начин на кибератаки, тъй като пространството на киберпрестъпленията продължава да се превръща в доходоносна екосистема за хакери под наем.
Ново проучване на Darktrace установи, че моделът „зловреден софтуер като услуга“ (MaaS) е отговорен за 57% от всички киберзаплахи, открити през втората половина на 2024 г., което е със 17% повече в сравнение с първата половина на годината.
Докладът на WatchGuard също предупреждава, че през третото тримесечие на 2024 г. е наблюдаван „астрономически скок“ в общия брой на заплахите от зловреден софтуер, който е надхвърлил 420 000.
Общият брой на заплахите от зловреден софтуер се отнася до броя на уникалните опити, открити на защитени от WatchGuard крайни точки с всякакви дубликати – тези с един и същ хеш не се броят.
WatchGuard отбеляза, че това представлява 300% увеличение спрямо данните за предходното тримесечие, което е най-голямото тримесечно увеличение, наблюдавано някога.
В доклада се посочва, че може да се заключи, че този скок се дължи на общо увеличение на новите заплахи, но WatchGuard установи, че всъщност има „нехарактерен спад на новите заплахи“.
WatchGuard отбеляза, че резултатите от нейната телеметрия показват, че е имало „наводнение от хомогенен зловреден софтуер, подобен на спам, който пристига в крайните точки, вероятно отделни кампании за зловреден софтуер с един и същ полезен товар“.
В доклада се посочва още, че често от тримесечие на тримесечие има множество дублиращи се семейства зловреден софтуер, но този път е имало само едно: Glupteba.
WatchGuard описва Glupteba като многостранен зловреден софтуер с различни възможности, като например да действа като ботнет, да краде информация, да добива криптовалута и да зарежда друг зловреден софтуер в системата.
Възход на зловредния софтуер като услуга, подкрепен от фишинг атаки
Фишингът остава доминиращият първоначален вектор за достъп, използван при тези атаки, като Darktrace регистрира над 30,4 млн. фишинг имейла, насочени към нейните клиенти между декември 2023 г. и 2024 г.
Малко под две пети (38%) от тези имейли са били насочени към фишинг атаки, предназначени за „високопоставени лица“.
Darktrace отбеляза, че 32% от откритите фишинг имейли съдържат текст, генериран от изкуствен интелект, който показва някаква форма на „езикова сложност“, като например увеличен обем на текста, пунктуация и дължина на изречението.
В доклада се допълва, че сложността на тези техники е нараснала, като се посочва, че 70 % от електронните писма, съдържащи фишинг съдържание с изкуствен интелект, са преминали популярната система за удостоверяване DMARC, която се използва за проверка на легитимността на входящите електронни писма.
Освен това 55 % от всички имейли са преминали успешно през всички съществуващи слоеве на целевата организация, преди да бъдат открити.
Атаките, използващи QR кодове, или qishing, се превърнаха в нарастваща тенденция в днешния пейзаж на заплахите, използвайки често по-слабата сигурност на мобилните устройства, а Darktrace откри малко под един милион (940 000) злонамерени QR кодове в анализираните от нея имейли.
Друг основен фокус са атаките през легитимните услуги.
В доклада се отбелязва също, че заплахите често злоупотребяват с легитимни услуги, за да придадат автентичност на своите измами. Изследователите са наблюдавали хакери, които използват редица надеждни услуги като Microsoft Sharepoint, Zoom Docs, QuickBooks, HelloSign и Adobe, за да прикрият адреса на подателя.
Освен това доверени доставчици на услуги също са били присвоявани като части от инфраструктурата за атаки на заплахите, отбелязват от Darktrace.
„Често се наблюдаваше, че участниците в заплахите използват пренасочвания чрез легитимни услуги като Google, за да доставят зловреден полезен товар, като по този начин ефективно избягват откриването“, се казва в доклада.
„Освен това Darktrace отбеляза случаи, в които нападателите превземат имейл акаунти, включително акаунти на Amazon Simple Email Service (SES), принадлежащи на легитимни трети страни, като например бизнес партньори и доверени доставчици.“
ITPro научи, че атаките от типа „living off trusted services“ (LoTS) стават все по-важна част от арсенала на заплахите, тъй като общата осведоменост за сигурността сред техните цели нараства.
В неотдавнашен доклад на фирмата за сигурност Mimecast се обяснява, че макар тази тактика често да прави атаките им по-сложни, тя помага на нападателите да заобиколят засилените проверки за автентификация на корпоративни акаунти.
В него се допълва, че основните доставчици на облачни услуги, чиито услуги често се използват в тези атаки, а именно Google и Microsoft, са започнали да предприемат стъпки за изкореняване на злонамереното използване на техните платформи в подобни атаки.
В резултат на това се наблюдава миграция на участниците в заплахите към малко по-малки доверени доставчици на услуги, които те могат да използват, за да придадат автентичност на своите атаки.
