Nowe metody cyberataków: Cyberprzestępcy wykorzystują luki w UEFI i pliki w formacie Microsoft do hakowania

Sytuacja w zakresie cyberbezpieczeństwa pozostaje nadal napięta.

Liczba udaremnionych cyberataków przez cały czas utrzymuje się na wysokim poziomie. Potwierdza to aktualny raport o cyberzagrożeniach opracowany przez G DATA CyberDefense. Istnieje wiele luk w zabezpieczeniach, które cyberprzestępcy bez skrupułów wykorzystują. Bootkity UEFI wyłączają funkcje bezpieczeństwa i narażają systemy informatyczne na cyberataki. Innym sposobem oszustwa stosowanym przez hakerów są zmanipulowane pliki OneNote lub Publisher zawierające złośliwe oprogramowanie.

Aktualny raport o zagrożeniach opracowany przez G DATA CyberDefense pokazuje, że hakerzy szybko reagują na zmienioną sytuację. Po usunięciu jednej luki w zabezpieczeniach przez dostawców oprogramowania, hakerzy natychmiast znajdują i wykorzystują inną. Najnowszym przykładem są luki w interfejsie pomiędzy systemem operacyjnym, oprogramowaniem sprzętowym i modułami komputera (ang. Unified Extensible Firmware Interface – „UEFI”). Ważną funkcją tego interfejsu jest uruchamianie w trybie bezpiecznym „Secure-Boot”. Cyberprzestępcy wykorzystują istniejące luki w zabezpieczeniach i wprowadzają bootkity, które omijają zabezpieczenia platformy. Daje to hakerom pełną kontrolę nad procesem uruchamiania systemu operacyjnego i umożliwia  wyłączenie różnych zabezpieczeń jeszcze przed załadowaniem systemu operacyjnego. W ten sposób hakerzy nie tylko mogą działać w sposób niezauważalny, ale także poruszać się w systemie z wysokimi uprawnieniami.  

Ryzyko cyberataków dla firm i osób prywatnych nadal pozostaje wysokie. — mówi Tim Berghoff, specjalista cyberbezpieczeństwa w G DATA CyberDefense AG. – Aktualne analizy pokazują, że cyberprzestępcy wykorzystują każdą lukę, aby spenetrować sieć i wciąż znajdują nowe sposoby atakowania systemów za pomocą złośliwego oprogramowania. W tym kontekście luki w UEFI SecureBoot są obecnie poważnym problemem, ponieważ często pozostają nieusunięte przez producenta zabezpieczeń przez długi czas.

Nadal wysokie ryzyko cyberzagrożeń

Raport o zagrożeniach przygotowany przez G DATA pokazuje: liczba odpartych cyberataków nieznacznie wzrosła o 2% w porównaniu z IV kwartałem ubiegłego roku i I kwartałem 2023 roku. Tym samym, jak widać, nie doszło do przewidywanego sezonowego spadku aktywności cyberprzestępców. Tradycyjnie hakerzy wykorzystują sezonowe okazje, aby złapać łatwowiernych klientów w pułapkę. Widoczna jest następująca tendencja: o ile liczba zablokowanych cyberataków na firmy spadła o ponad 8%, to  na użytkowników prywatnych – wzrosła o 3,9 %.

Porównanie I kw. 2022 z I kw. 2023 pokazuje masowy wzrost liczby cyberataków w początkowym okresie wojny na Ukrainie: w porównaniu z pierwszym kwartałem 2022 roku, w tym samym okresie 2023 roku liczba odpartych cyberataków na firmy spadła o ponad 50 %. W przypadku osób prywatnych spadek w tym samym okresie wyniósł zaledwie 6,7%.

Phishing: Nowe metody działań hakerów

Również hakerzy stosujący phishing wykorzystują nowe możliwości. W ostatnim kwartale często wykorzystują do phishingu szkodliwe pliki OneNote lub PUB, które korzystają z luk w zabezpieczeniach Microsoft i obchodzą funkcje ochrony w zarządzaniu makrami pakietu Office w programie Microsoft Publisher i odblokowują podejrzane lub złośliwe pliki. Hakerzy wykorzystują tę możliwość do zainfekowania systemu docelowego.

Mimo że Microsoft już zlikwidował tę lukę — mówi Tim Berghoff. — to jednak użytkownicy, którzy wyłączyli automatyczne aktualizacje, nadal są zagrożeni. Dlatego należy działać natychmiast i ręcznie wykonać aktualizację.
Nowością jest również użycie – jako początkowego wektora infekcji – plików programu OneNote będących substytutem makr pakietu Office, których użycie jest coraz bardziej ograniczane przez firmę Microsoft (Microsoft domyślnie ograniczył wykonywanie makr w plikach takich jak dokumenty Word lub arkusze kalkulacyjne Excel). Ostatnio złośliwe oprogramowanie podszywa się pod notatki programu OneNote. Ofiara otrzymuje załącznik do wiadomości e-mail z dokumentem programu OneNote. Po otworzeniu tego pliku pojawia się wezwanie do dwukrotnego kliknięcia w celu otwarcia dokumentu tylko do odczytu. Każdy, kto zastosuje się do tej instrukcji, uruchamia wbudowane złośliwe oprogramowanie i instaluje m.in. narzędzie do robienia zrzutów ekranu (Screenshotter) lub do kradzieży informacji (Information Stealer), które umożliwiają hakerom uzyskanie danych osobowych, takich jak np. dane logowania.

Aktualny raport o zagrożeniach przygotowany przez G DATA CyberDefense ujawnia: cyberprzestępcy wykazują wyjątkową elastyczność w coraz skuteczniejszym docieraniu do potencjalnych ofiar. Dla firm oznacza to, że muszą przez cały czas monitorować swoje cyberbezpieczeństwo. W związku z tym coraz więcej firm rozważa skorzystanie z zarządzanych rozwiązań cyberbezpieczeństwa („Managed Security”), ponieważ zabezpieczanie sieci nie jest czymś zakończonym raz i na zawsze lecz ciągle trwającym procesem.

www.GDATA.pl

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

You may use these <abbr title="HyperText Markup Language">HTML</abbr> tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*