Банди програм-вимагачів відмовляються від використання макросів Microsoft Office

Не змогли відвідати Transform 2022? Перегляньте всі сесії саміту в нашій бібліотеці за запитом! Подивіться сюди.

Атаки Remote Code Execution (RCE) є однією з найбільш серйозних загроз, з якими стикається бізнес. Просте натискання посилання на вкладення Office у фішинговому електронному листі може спровокувати взлом, що ставить під загрозу особисті дані компанії.

Однак, коли в жовтні минулого року Microsoft оголосила, що вимкне макроси Office за замовчуванням, спільнота безпеки була в захваті від ідеї зниження ефективності спроб RCE за допомогою файлів Office.

Нове дослідження, опубліковане сьогодні постачальником безпеки MDR Expel, показує, що вимкнення макросів різко змінило ландшафт загроз.

Квартальний звіт про загрози від Expel показує, що документ Microsoft Word із підтримкою макросів (макрос VBA) або макрос Excel 4.0 був початковим вектором атаки в 55% інцидентів до програм-вимагачів у першому кварталі цього року, але в другому кварталі цей показник впав до 9%, падіння на 46% після рішення Microsoft блокувати макроси за замовчуванням.

Замість того, щоб використовувати макроси Office для доступу до середовищ, зловмисники тепер використовують файли образу диска (ISO), ярлика (LNK) і файли додатків HTML (HTA) для доступу до комп’ютерних мереж і розгортання шкідливого вмісту.

Це означає, що в майбутньому компаніям потрібно буде переконатися, що користувачі слідкують за такими типами вкладень у своїй папці "Вхідні".

Вимкнення макросів Office змінило правила гри

За словами Джонатана Хенчінскі, віце-президента з питань безпеки в Expel, «оголошення Microsoft про блокування макросів за замовчуванням у програмах Microsoft Office, здається, кардинально змінить правила гри для зловмисників».

Хоча Хенчінскі зазначає, що хакери, які використовують файли ISO, LNK і HTA, є застарілими методами, він зазначає, що вони ефективні, і рекомендує компаніям налаштовувати JavaScript (.js, .jse), файли сценаріїв Windows (.wsf, .wsh) і HTML для файлів програми (.hta), які відкриваються за допомогою Блокнота, щоб усунути звичайні точки входу для кіберзлочинців.

Він також рекомендує скасувати реєстрацію розширень файлів ISO у Провіднику Windows, щоб Windows не розпізнавала файли ISO, а також запобігти випадковому запуску зловмисного програмного забезпечення, якщо вони двічі клацнуть шкідливий файл.

Зважаючи на те, що спроби фішингу є одним із найпоширеніших способів обману співробітників завантажувати шкідливі файли, також доцільно розгорнути захищений шлюз електронної пошти (SEG) для моніторингу вхідних і вихідних електронних листів на наявність ознак атаки.

SEGs як рішення для фішингу

Фішингові електронні листи є одним із основних інструментів, які використовують кіберзлочинці, щоб обманом змусити співробітників завантажити зловмисне програмне забезпечення. Насправді дослідження показують, що кількість фішингових атак минулого року зросла на 29% з 873,9 мільйонами атак.

SEG мають потенціал для фільтрації цих зловмисних електронних листів, надаючи організаціям рішення, розгорнуте на рівні поштового сервера або SMTP-шлюзу для аналізу та фільтрації спаму та шкідливого вмісту, щоб співробітники не наражалися на будь-що, що може поставити мережу ризик порушення даних.

Важливо зазначити, що SEG і рішення безпеки електронної пошти не можуть повністю усунути всі спроби фішингу. Тому співробітники завжди будуть вашою найкращою зброєю проти них, але вони, незважаючи на це, є цінним інструментом для зниження рівня загроз, які надсилаються електронною поштою.

Одним із провідних постачальників SEG на ринку є Proofpoint, який пропонує рішення безпеки електронної пошти для автентифікації користувачів, блокування зловмисного програмного забезпечення та шахрайських електронних листів за допомогою технології машинного навчання під назвою NexuSAI.

Ще один ключовий постачальник на ринку безпеки електронної пошти