Η μέθοδος malware Hunter-Killer συνεχίζει να αναπτύσσεται

Μια μέθοδος malware με την ονομασία “Hunter-Killer” αναπτύσσεται, βασιζόμενη σε ανάλυση περισσότερων από 600.000 δειγμάτων κακόβουλου λογισμικού. Αυτή η προσέγγιση μπορεί να γίνει ο κανόνας για προηγμένες επιθέσεις.

Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware

Η μέθοδος malware που ονομάζεται “Hunter-Killer” έχει παρουσιάσει ιδιαίτερη αύξηση τον τελευταίο καιρό. Το όνομα προέρχεται από τον σύγχρονο υποβρύχιο πόλεμο: τα υποβρύχια παραμένουν κρυμμένα μέχρι να χτυπήσουν. Η χρήση της μεθόδου Hunter-Killer αυξήθηκε το 2023 και αναμένεται να συνεχίσει να αυξάνεται. Τα συμπεράσματα που προκύπτουν από την έκθεση “The Rise of Hunter-Killer Malware” προέρχονται από μια ανάλυση των δέκα πιο ευρέως διαδεδομένων τεχνικών MITRE ATT&CK.

Επιπλέον, κατά τη διάρκεια του 2023, η Picus ανέλυσε 600.000 δείγματα κακόβουλου λογισμικού (και ανέδειξε μια μέση τιμή 13 κακόβουλων δραστηριοτήτων ανά δείγμα στο πλαίσιο ATT@CK), ωστόσο, επισημαίνει ότι αυτό αποτελεί μόνο ένα υποσύνολο του συνολικού τοπίου των κακόβουλων λογισμικών. “Αυτός ο περιορισμός μπορεί να εισάγει προκατάληψη στην ορατότητα των τύπων και των συμπεριφορών των κακόβουλων λογισμικών“, προειδοποιούν οι ερευνητές.

SecNewsTV

24.7K subscribers

Περισσότερα... Subscribe!

Παρά ταύτα, τα συμπεράσματα της εταιρείας είναι ξεκάθαρα και κατηγορηματικά. Οι τέσσερις πιο συχνά χρησιμοποιούμενες μέθοδοι malware είναι όλες πτυχές της μεθόδου Hunter-Killer — και η χρήση κάθε μίας αυξήθηκε δραματικά κατά τη διάρκεια του 2023. Οι τέσσερις κορυφαίες απειλές είναι οι εξής: T1055 (process injection), T1059 (command and scripting interpreter), T1562 ((impair defenses) και T1082 (system information discovery). Στην πέμπτη θέση, έρχεται το «Vanguard», με το T1486 (data encrypted for impact) και στην έβδομη θέση, το T1071 (application layer protocol).

Υπάρχει αυξημένη χρήση αποφυγής και εμποδίων στην άμυνα πριν από την παράδοση του κακόβουλου λογισμικού.

T1055. Το Process injection είναι ένα καίριο στοιχείο της τεχνικής για την εισαγωγή κακόβουλου κώδικα σε μια νόμιμη διαδικασία. Η κύρια χρήση για τον επιτιθέμενο είναι η αποφυγή ανίχνευσης και η αύξηση των προνομίων. Βρέθηκε σε 32% (195.044) των δειγμάτων κακόβουλου λογισμικού, αυξημένο από το 22% το 2022 (αύξηση 45%).

T1059. Η μέθοδος malware Hunter-Killer command and scripting interpreter παρέχει έναν παρόμοιο αποτέλεσμα. Επιτρέπει στον επιτιθέμενο να μεταμφιέσει κακόβουλες δραστηριότητες χρησιμοποιώντας φυσικά εργαλεία (όπως PowerShell, VBScript, Unix Shell, AppleScript και άλλα) και να αποφύγει τις παραδοσιακές αμύνες. Βρέθηκε σε 174.118 (28%) από τα 600.000 δείγματα.

Δείτε ακόμα: Νέα Python παραλλαγή του Chaes Malware στοχεύει τραπεζικές και logistic βιομηχανίες

T1562. Η τεχνική “impair defenses” χρησιμοποιείται για να διαταράξει τις αμυντικές μεθόδους – αποτελεί ουσιαστικά την πιο επιθετική πλευρά της αποφυγής. Η τεχνική αποφυγής των αμυντικών ATT@CK εντοπίστηκε σε 158.661 δείγματα κακόβουλου λογισμικού (26%). Παρατηρείται αύξηση κατά 333% σε σχέση με το προηγούμενο έτος. Σύμφωνα με τους ερευνητές, αυτό σημαίνει μια σημαντική αλλαγή στις στρατηγικές κυβερνοεπιθέσεων.

T1082. Το System information discovery χρησιμοποιείται για τη συλλογή πληροφοριών σχετικά με το δίκτυο, συμπεριλαμβανομένων του υλικού, του λογισμικού και των διαμορφώσεων του δικτύου. Μπορεί να χρησιμοποιηθεί για τον εντοπισμό συστημάτων γνωστών για την εκμετάλλευση τους, ή μπορεί να χρησιμοποιηθεί για τον εντοπισμό λογισμικού κατάλληλου για πιο μόνιμη, αθόρυβη παρουσία.

Η πέμπτη και έβδομη κυρίαρχη μέθοδος malware Hunter-Killer, βοηθάει να εξηγηθεί η αύξηση στις πρώτες τέσσερις. Η πρώτη από αυτές αποτελεί αναπόσπαστο μέρος του ransomware, επομένως η διάδοσή της δεν προκαλεί έκπληξη. Ο αριθμός των περιπτώσεων των wipers (κρυπτογράφηση χωρίς δυνατότητα αποκρυπτογράφησης) αυξήθηκε επίσης τα τελευταία δύο χρόνια, συνδεόμενος με τον πόλεμο Ρωσίας / Ουκρανίας.

H δεύτερη είναι η T1071, που χρησιμοποιείται για την εξαγωγή δεδομένων. Η Picus συνδέει τη διαρροή δεδομένων και την κρυπτογράφηση με την αυξανόμενη επιδημία των επιθέσεων ransomware με διπλό εκβιασμό, αναφέροντας το BlackCat/AlphV εναντίον της NCR και της Henry Schein, το Cl0p που επιτίθεται στο Υπουργείο Ενέργειας των ΗΠΑ, το Royal στην πόλη του Ντάλας, οι επιθέσεις του LockBit κατά της Boeing, της CDW και της MCNA, και το Scattered Spider που διεισδύει στα MGM Resorts και Caesars Entertainment ως παραδείγματα.

Δείτε επίσης: Οι εφαρμογές πληρωμών κινδυνεύουν από Malware επιθέσεις!

Είναι δύσκολο να καταλήξει κανείς σε οποιοδήποτε άλλο συμπέρασμα εκτός από το ότι οι επιτιθέμενοι γίνονται όλο και πιο εξελιγμένοι στις επιθέσεις τους, χρησιμοποιώντας μεθόδους malware Hunter-Killer για να αποφύγουν την ανίχνευση και να αποδυναμώσουν τις αμυντικές μέθοδους πριν μεταβούν στον πραγματικό σκοπό του καταδικασμού πληρώματος Vanguard.

Πώς μπορεί να αντιμετωπιστεί το Hunter-Killer Malware;

• Η αντιμετώπιση του Hunter-Killer Malware απαιτεί μια σειρά από στρατηγικές. Πρώτον, είναι απαραίτητη η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας που μπορεί να ανιχνεύσει και να απομακρύνει το malware.
• Δεύτερον, οι χρήστες πρέπει να είναι προσεκτικοί με τα emails και τα συνημμένα που λαμβάνουν, καθώς το Hunter-Killer Malware μπορεί να διαδοθεί μέσω φαινομενικά αθώων μηνυμάτων.
• Τρίτον, είναι σημαντικό να διατηρούνται τα συστήματα και τα λογισμικά ενημερωμένα, καθώς οι παλαιότερες εκδόσεις μπορεί να περιέχουν ευπάθειες που μπορεί να εκμεταλλευτεί το malware.
• Τέταρτον, η χρήση ενός ιδιωτικού εικονικού δικτύου (VPN) μπορεί να βοηθήσει στην προστασία των δεδομένων του χρήστη από την παρακολούθηση του malware.
• Τέλος, η περιοδική δημιουργία αντιγράφων ασφαλείας των σημαντικών δεδομένων μπορεί να βοηθήσει στην αποκατάσταση των απωλειών σε περίπτωση που το σύστημα προσβληθεί από το Hunter-Killer Malware.

Πηγή: securityweek