Původně bezpečný software se nově ukazuje jako škodlivý

Tradiční metody detekce škodlivého softwaru jsou překonány. Složitost kybernetických útoků vzrostla za pouhých šest měsíců o 127 procent. Navíc u každého čtrnáctého souboru, který byl původně považován klasickými kyberbezpečnostními systémy za bezpečný, se nakonec ukázalo, že je škodlivý. Vyplývá to z analýzy OPSWAT zveřejněné českou společností ComSource.

„Kybernetičtí útočníci dnes inovují rychleji, než tradiční statické obranné mechanismy dokáží reagovat. Škodlivý software je navržen tak, aby se vyhýbal detekci, nikoli aby zahlcoval systémy objemem útoků. Proto je analýza chování škodlivého softwaru s pokročilými technologiemi proti obcházení detekce klíčová pro účinnou kybernetickou obranu,“ říká Jaroslav Cihelka, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.

Studie založená na telemetrii z platformy Filescan.io odhalila několik zásadních trendů, které mění podobu současného kybernetického prostředí. Útočníci se stále více orientují na skryté útoky místo masových náletů. Malware se přitom skrývá v běžně vypadajících formátech, které se tváří neškodně, jako jsou bitmapy .NET, obrázky se skrytými daty a dokonce i služby Google zneužité pro skryté řízení a kontrolu.

Znepokojivé je zjištění, že 7,3 % souborů, které nebyly rozpoznány veřejnými OSINT zdroji jako škodlivé, bylo překlasifikováno pomocí pokročilé emulační analýzy jako malware průměrně o 24 hodin dříve. To ukazuje na rostoucí nedostatečnost tradičních bezpečnostních nástrojů proti zero-day hrozbám a fileless útokům běžícím přímo v paměti zařízení.

Nové techniky sociálního inženýrství získávají na síle

Mezi nejnovější techniky patří takzvané ClickFix útoky, které využívají manipulaci se schránkou k oklamání uživatelů. Tato technika sociálního inženýrství rychle získává na popularitě. Studie také potvrzuje pokračující dominanci phishingu jako hlavního způsobu doručování malwaru, přičemž útočníci stále častěji zneužívají archivní soubory, PDF dokumenty a HTML soubory pro distribuci škodlivých kódů.

„Moderní phishingové kampaně představují často pouze první fázi útoku. Druhá vlna obvykle obsahuje fileless malware, tedy škodlivý software, který se spouští přímo v paměti systému. Tyto útoky se tak vyhýbají ukládání souborů na disk, čímž obcházejí klasické antivirové nástroje. Jejich dramatický nárůst je v posledních měsících dobře viditelný. Tyto sofistikované techniky činí tradiční bezpečnostní nástroje prakticky neúčinnými,“ dodává Jaroslav Cihelka. „Pro všechny firmy a instituce je to problém. Je nezbytné přejít od reaktivních kontrolních mechanismů a zastaralých obranných systémů k adaptivním detekčním strategiím založeným na behaviorální analýze a vícevrstvých řešeních.“

Společnost ComSource se v oblasti kybernetické bezpečnosti a síťové infrastruktury pohybuje od roku 2010, od roku 2023 se soustředí i na oblast datové analytiky. Ve vlastní laboratoři ComSource vyvinul a dále rozvíjí i vlastní řešení a služby. Nejvýraznější z nich je systém FlowGuard chránící před DDoS útoky. ComSource má CSIRT tým, je aktivním členem AFCEA a projektu FENIX.