Panda Security

5 trender 2017: maxat med mediebevakade cyberhot

Nyhet   •   Jan 02, 2018 08:48 CET

2017: Året då dataläckor fick både starkt genomslag och ett ökat medialt utrymme. Läckor tror branschkännare kommer öka än mer tydligt under nästa år, då framför allt ny lagstiftning gör att det finns extra stora påtryckningar för att hantera och skydda känslig data korrekt, vilket alltså annars innebär stora straffavgifter. Det utgör därför ett incitament för hackers att utföra attacker som kommer åt just denna känsliga information som det blir dyrt för företag och organisationer att inte ha tillräcklig kontroll över och skydd för. Vi på Panda Security följer naturligtvis utvecklingen noga, då vi därtill har skydd så att dataläckan inte ens behöver hända.

Vad är det som sker för att det ska kunna hända? Vi har här listat fem trender som varit allra tydligast bland de attacker som fått störst verkan under 2017:

Trend 1: Office-dokument är för hackern ett utmärkt sätt att genomföra sin attack på. Många nya och innovativa sätt har setts under 2017. De flesta involverar makron, alltså att attacken kommer i en synbart pålitlig Office-fil, där makrot sätter igång skadlig kod. Office-filer råder inte traditionellt skydd på och när användaren kör filen har det traditionella skyddet slutat skydda från vad som sker. Ett annat vanligt sätt inom denna attackväg är att använda Dynamic Data Exchange (DDE) för att låta skadlig kod sättas igång på enheten utan att blanda in makron.

Hur skyddar Panda Adaptive Defense?

Tack vare den 100-procentiga verifieringsdelen i Panda Adaptive Defense kan endast redan kontrollerade pålitliga körbara filer köras. Filer som vill sättas igång och som är okända, får inte köras förrän de är granskade av Panda Securitys tekniker. Detta är det enda effektiva sättet för att bekämpa det dagliga ökande antalet attacker där traditionellt skydd inte räcker till.

Så här uttrycker sig en av Pandas kunder: ”Det största värdet vi får av Adaptive Defense 360 innefattar för oss att vi helt kan sluta oroa oss.”https://www.gartner.com/reviews/review/view/352990?reviewRating=5

Trend 2: Ransomwareattacker, såsom WannaCry och NotPetya, attackerar på några timmar hela världen. “Worms” (maskar) som attacktyp har setts öka under året och har hjälpt ransomeware att spridas snabbare och mer massivt. WannaCry räknas som den största ransomwareattacken genom tiderna.

Hur bekämpas den här typen av attack?
Den innovativa applikationskontrollen i Panda Adaptive Defense är ett mycket effektivt skydd för att blockera mot alla filbaserade typer av attacker såsom zero-day-malware; det spelar ingen roll om det är ett ransomware, en trojan eller en mask, alla körbara filer måste "få godkännande" för att köras då organisationen har Panda Adaptive Defense installerat på den attackerade enheten. Det är en kollektiv klassificerad applikationskontroll. 

Vi kryddar även här med en kommentar från en av våra kunder: "Det här är verkligen en riktigt bra produkt; innan vi köpte den vi hade problem med cryptolocker. Vi har inte haft några problem med alla dessa ransomware efter att vi implementerat PAD360. Den här produkten har sparat oss mycket tid, alltså tiden vi annars hade behövt använda på att jaga viruskällor och återskapa filer. Den är enkel att hantera från en webbkonsol.”https://www.gartner.com/reviews/review/view/361950

Trend 3: HackCCleaner är ett exempel på då skadlig kod injicerats i tillförlitlig säkerhetsprogramvara. Den officiella nedladdningen av gratisversionerna av CCleaner innehöll skadlig kod. Det betyder att en hacker kunde infiltrera någonstans i utvecklingsprocessen för att där installera skadlig kod som sedan kunde stjäla information om användarna.

Hur kan en organisation skydda sig mot att bli drabbad?

Att 100% av alla filer verifieras baseras på en molnbaserad maskininlärning som bestämmer processernas karaktär, varje gång det finns ett nytt beteende från skyddade endpoints. Den nya informationen gör om en synbart tillförlitlig applikation till en skadlig. Detta byte kommer att utlösa en detektion vid samtliga berörda endpoints för alla som har skyddet installerat (i organisationen, samt därmed även skydda övriga kunder i andra organisationer som har Pandas skydd) inom några sekunder.

Trend 4: "Malwareless hacking attacks": mängden attacker som inte kräver skadliga program för att utföra sina attacker ökar. Mer än hälften av attackerna har ekonomiska mål, medan spionage representerar attackernas andra huvudorsak.

Skadlig kod körs även utan att någon användare klickar (s.k. ”clickless”). Här slinker attacken förbli traditionellt skydd på grund av att den startas med fjärrstyrning såsom med Eternalblue/DoublePulsar och RDP (Remote Desktop Protocol).

Hur fungerar dessa så kallade RDP-attacker?

De utförs av organisationer som helt ägnar sig åt att skanna Internet efter datorer och servrar där administratören lämnat RDP-tjänsten öppen och därmed utsatt för angrepp. Anfallarna söker efter dessa maskiner, lanserar sedan en inventering av dem och beroende på egenskaperna på vad de hittar för information, så sätts detta ut till försäljning på den svarta marknaden. Dessa datorer hamnar sedan i händerna på andra cyberskurkar. De attackeras igen och slutar, i de flesta fall, i en ransomwareutpressning.

Hur fungerar skydd mot detta?

Flera tekniker arbetar tillsammans för att stoppa attacken i en eller flera faser i den s.k. cyber kill-kedjan.

- I de flesta fall upptäcker Adaptive Defense hotet innan den skadliga koden släpps in. Kunden blir meddelad och vägleds i de nödvändiga stegen för att avvärja attacken och för att undvika nya attacker i framtiden.

- Om inte redan upptäckt, så detekteras attacken genom beteendeanalysen och IoAs detekteringsteknik lokalt

- Och slutligen, om dessa tekniker inte skulle vara tillräckliga så kommer 100%-verifieringstjänsten att blockera körningen av ransomware.

Så här uttrycker sig en annan Pandakund om Adaptive Defense fungerar: ”Tillfredsställande. Produkten har många funktioner, varav en är förmågan att stödja användare på distans. Det här är en cool funktion som vi tycker är riktigt bra. Användarens problem kan lösas enkelt genom tjänsten. Panda Endpoint Protection, (som ingår i 360-versionen) är också lätt (orsakar inte att systemet saktar ner eller använder hög CPU). Mycket effektivt skydd mot skadlig kod och virus. Helt enkelt utmärkt.”https://www.gartner.com/reviews/review/view/336799?reviewRating=5

Trend 5: Dolda attacker som rör sig i sidled i nätverket är ett slags attacker som blir all mer vanliga. Normalt utförs dessa attacker utan skadlig kod, de använder bara administrativa verktyg. Genom att göra så är angriparna osynliga för traditionella skydd och kräver inte interaktion från de attackerade.

Ett mycket vanligt användningsfall vid denna typ av attacker är användningen av administrativ programvara såsom powershell, som angriparen flyttar mellan endpoints med sidoförflyttningar. Dessa stjäl inloggningsuppgifter för att komma åt ännu mer och ladda ner skadliga program som försöker utföras på datorerna.

Hur kan man skydda sig mot detta?

Dessa typer av attacker upptäcks med beteendeanalys och lokala IoA-detekteringstekniker. Den 100-procentiga verifieringstjänsten kommer att blockera alla försök att sätta igång ett opålitligt program. Hotet kan identifieras, samt dess sidoförflyttningar och eskalering av privilegier.