התקפות הממנפות כלי פריצה ל-Microsoft Office צמחו פי 4 מתחילת 2018

התקפות הממנפות כלי פריצה ל-Microsoft Office צמחו פי 4 מתחילת 2018
מאת: מערכת Telecom News, 17.5.18, 14:11

בעוד הספקים מנפיקים בד"כ עדכונים עבור פרצות, המשתמשים בד"כ לא יכולים לעדכן את המוצרים שלהם בזמן, דבר המוביל לגלים של התקפות חשאיות ויעילות ברגע שהפרצה נחשפה בקרב קהילת עברייני הסייבר הרחבה. מה לעשות כדי להפחית את הסיכון להדבקה?
 
כלי פריצה (Exploits) ל-Microsoft Office זינקו ברבעון הראשון של 2018 לרשימת כאבי הראש הגדולים של הסייבר. סך המשתמשים, שהותקפו ע"י מסמכי אופיס זדוניים, גדל כמעט פי 4 בהשוואה לרבעון הראשון של 2017. ב-3 חודשים בלבד, נתח הפעילות של כלי פריצה אלה מבין כלל כלי הפריצה גדל בכמעט 50%. מדובר בנתח שוק גדול כמעט פי 2 בהשוואה ל-2017. אלה הם הממצאים המרכזיים בדו"ח איומי ה-IT של מעבדת קספרסקי לרבעון הראשון. 

כלי פריצה הם סוג של תוכנות המנצלות באגים או פרצות בתוכנות. התקפות המבוססות על כלי פריצה נחשבות לעוצמתיות מאוד, מאחר שהן אינן דורשות אינטראקציה עם המשתמש ומסוגלות להחדיר את הקוד המסוכן שלהם באופן חשאי. זו הסיבה, שהן נמצאות בשימוש נרחב  גם ע"י עברייני סייבר המחפשים לייצר רווחים וגם ע"י שחקנים הפועלים בגיבוי מדינה.

ברבעון הראשון של 2018 הייתה כניסה מאסיבית של כלי פריצה אלה הממוקדים בתוכנת Microsoft Office הנפוצה. על פי מומחי החברה, נראה, שמדובר בשיא של מגמה מתמשכת. במהלך 2017-2018 זוהו לפחות 10 כלי פריצה הפעילים בשטח בהשוואה ל-2כלי פריצה יום אפס, שהיו פעילים עבור הנגן של Adobe Flash. נתח פעילות כלי הפריצה של אדובי נמצא בירידה (מעט פחות מ- 3% ברבעון הראשון) אחרי שאדובי ומיקרוסופט השקיעו מאמצים רבים כדי להקשות על ניצול נגן הפלאש.
לאחר שעברייני סייבר מגלים פרצה בתוכנה, הם בונים כלי פריצה מוכן להפעלה. לאחר מכן הם משתמשים בדרך כלל בפישינג ממוקד כערוץ התקיפה, ופוגעים במשתמשים וחברות דרך הודעות דוא"ל עם קבצים זדוניים מצורפים. העובדה, שערוצי תקיפה דרך פישינג ממוקד הם בדרך כלל חשאים, הופכת אותם למבוקשים מאוד במסגרת התקפות מתוחכמות. היו הרבה דוגמאות לכך ב-6 החודשים האחרונים.

לדוגמא, בסתיו 2017, מערכת ההגנה מפני כלי פריצה של החברה זיהתה כלי פריצה יום אפס חדש עבור אדובי פלאש, שתקף את לקוחותיה. הפיצה נוצלה באמצעות מסמך של Microsoft Office והמטען הסופי היה הגרסה האחרונה של הקוד הזדוני FinSpy. ניתוח של המטען אפשר לחוקרים לקשר, ברמת ביטחון גבוהה, את ההתקפה לגורם האיום המתוחכם המוכר כ"BlackOasis".

באותו החודש, מומחי החברה פרסמו ניתוח מפורט של СVE-2017-11826, פרצת יום אפס קריטית, שנוצלה במסגרת התקפות ממוקדות על כל הגרסאות של אופיס. כלי הפריצה התבסס על מסמך RTF, שהמכיל מסמך DOCX המנצל את הפרצה ב-Office Open XML parser. לבסוף, רק לפני מספר ימים, פורסם מידע אודות פרצת יום אפסCVE-2018-8174  באינטרנט אקספלורר. פרצה זו כבר נמצאת בשימוש בהתקפות ממוקדות.

ממצאים נוספים מדו"ח האיומים לרבעון הראשון של 2018:

• פתרונות החברה זיהו והדפו 796,806,112 התקפות זדוניות המגיעות ממשאבים מקוונים הממוקמים ב-194 מדינות ברחבי העולם.
• 282,807,433  כתובות URL ייחודיות זוהו על ידי רכיבי האנטי וירוס כזדוניות.
• ניסיונות להזרקות של קוד זדוני, שנועדו לגנוב כסף דרך גישה מקוונת לחשבונות בנק, נרשמו במחשבים של 204,448 משתמשים.
• אנטי וירוס של החברה זיהה בס"ה 187,597,494 אובייקטים זדוניים ובלתי רצויים.

מוצרי החברה לניידים זיהו:

• 1,322,578 חבילות התקנה זדוניות.
• 18,912 טרויאנים לבנקאות ניידת (חבילות התקנה).

כדי להפחית את הסיכון להדבקה, מומלץ למשתמשים:

• לשמור על תוכנות מעודכנות, ולהפעיל מאפיינים של עדכון אוטומטי במידת האפשר.
• כאשר מתאפשר, לבחור בספק תוכנה המציג גישה אחראית לבעיות אבטחה. לבדוק אם לספק יש תוכנית bounty bug.
• להשתמש בפתרון אבטחה חזק, בעל מאפיינים מיוחדים להגנה מפני כלי פריצה.
• להריץ סריקה קבועה של המערכת כדי לאתר הדבקות אפשריות ולהבטיח כי כל התוכנות מעודכנות.
• עסקים צריכים להשתמש בפתרון אבטחה המספק רכיבים לניהול עדכונים ומניעת כלי פריצה, כזה המפעיל עדכונים רלוונטיים מבעוד מועד. רכיב מניעת כלי הפריצה מנטר פעולות חשודות של אפליקציות, וחוסם הפעלה של קבצים זדוניים.  

 
אלכסנדר ליסקין, חוקר אבטחה במעבדת קספרסקי: "אופק האיומים לרבעון הראשון של השנה מראה, שחוסר בתשומת לב לעדכוני תוכנה מהווה את אחד מסיכוני הסייבר הגדולים ביותר. בעוד הספקים מנפיקים בד"כ עדכונים עבור פרצות, המשתמשים בד"כ לא יכולים לעדכן את המוצרים שלהם בזמן, דבר המוביל לגלים של התקפות חשאיות ויעילות מאד ברגע שהפרצה נחשפה בקרב קהילת עברייני הסייבר הרחבה".
 
מידע ונתונים נוספים מתוך Q1 IT threat evolution report - כאן.