A COVID-19 járványhoz kapcsolódó adathalász és kártevő programokon alapuló támadások száma drámaian megnövekedett február óta, amikor heti 5.000 alatt volt még a számuk – ez április végére heti 200.000-re nőtt. Május és június során, amikor az országok enyhíteni kezdték a karantén-intézkedéseket, a támadásokat indítók növelni kezdték a COVID-19-hez nem köthető támadásaikat, aminek eredményeképp június végére világszerte 34%-kal nőtt az összes cyber-támadás száma (március-áprilishoz képest).

 

A jelentés legfontosabb megállapításai:

• Egyre kiterjedtebb a cyber-hadviselés: mind intenzitás, mind súlyosság tekintetében nőttek a nacionalista államok cyber-támadásai, párhuzamosan azzal, hogy az országok keresték a titkos információk begyűjtésének vagy riválisaik járvány-kezelési intézkedései megzavarásának módjait. Ez kiterjedt olyan egészségügyi és humanitárius szervezetekre is mint a WHO, mely 500%-kal több támadásról tett jelentést.
• Duplán zsaroló támadások: 2020 során egy újfajta rosszindulatú támadás vált széleskörben alkalmazottá. Ennek során a támadók óriási mennyiségű adatot szereznek meg mielőtt titkosítanák azokat. Az áldozatokat, akik nem hajlandóak váltságdíjat fizetni, azzal fenyegetik meg, hogy adataikat kiszivárogtatják, ezzel még nagyobb nyomást gyakorolva rájuk annak érdekében, hogy teljesítsék a bűnözők követeléseit. 
• Mobil visszaélések: a fenyegetéseket indítók új mobil fertőzési vektorokat kerestek, fejlesztendő a biztonsági védelmi vonalakon való átjutásukkal és a rosszindulatú app-oknak a hivatalos alkalmazás áruházakban való elhelyezésével kapcsolatos technikájukat. Egy innovatív támadás során egy nagy, nemzetközi vállalat mobil eszköz menedzsment (MDM) rendszerét használták arra, hogy a menedzselt mobil eszközök több mint 75%-ára juttassák el a rosszindulatú programot.
• Felhőkkel kapcsolatos kockázatok: A járványhelyzetben való gyors átállás a nyilvános felhők használatára megnövelte az érzékeny felhő-alapú munkafolyamatok és adatok ellen irányuló támadásokat. Ugyanakkor a fenyegetéseket indítók szintén felhő-infrastruktúrát használnak a támadások során használt rosszindulatú kódjaik tárolására. Januárban az iparágban első alkalommal találtak a Check Point kutatói kritikus sérülékenységet a Microsoft Azure-ban, ami felhívta a figyelmet arra, hogy a nyilvános felhők nem eredendően biztonságosak. 

 

„A világjárványra adott globális válaszok az első félévben átalakították és magasabb sebességre kapcsolták a fenyegetéseket indító szereplők megszokott üzleti modelljeit, és kihasználták a COVID-19 világjárvánnyal kapcsolatos félelmeket a tevékenységük fedezése során. Tanúi voltunk a lejelentősebb, új sérülékenységek és támadási vektorok felbukkanásának, melyek valamennyi szektor szervezeteinek biztonságát fenyegették,” - mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója. „Annak érdekében, hogy szervezeteik biztosan a lehető legjobb színvonalú védelemmel bírjanak 2020 hátralevő részében, a biztonsági szakembereknek ismerniük kell ezeket a gyorsan erősödő fenyegetéseket.”

 

 

2020 első félévének leggyakoribb rosszindulatú program variánsai a következők voltak:

2020 első félévének top három rosszindulatú programja.

1. Emotet (világszerte a szervezetek 9%-ánál jelent meg) – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.

2. XMRig (8%) – Nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak. A fenyegetéseket indítók gyakran használják ezt a nyílt forráskódú software-t arra, hogy a kártevő programba integrálva illegális bányászatot végezzenek áldozataik eszközein. 

3. Agent Tesla (7%) – A 2014 óta aktív távoli hozzáférés trójai (RAT) billentyűzet-leütés naplózással és adatlap lopással figyeli és gyűjti be az áldozat billentyűzetén bevitt vagy a vágólapra helyezett adatokat, képernyőképeket és a legkülönbözőbb, az áldozat gépére telepített software-ekhez (köztük Google Chrome, Mozilla Firefox és Microsoft Outlook email kliens) tartozó meghatalmazásokat. Az Agent Tesla-t különböző online piacokon és hacker fórumokon értékesítik. 

 

2020 első félévének top három crypto-bányász programja.

1. XMRig (világszerte a szervezetek 46%-ánál jelent meg) – Nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak; először 2017 májusában jelent meg. A fenyegetéseket indítók gyakran használják ezt a nyílt forráskódú software-t arra, hogy a kártevő programba integrálva illegális bányászatot végezzenek áldozataik eszközein. 

2. Jsecoin (28%) – Web-alapú crypto-bányász, melyet a Monero crypto-valuta online bányászatára terveztek. A beágyazott JavaScript különösen sok végfelhasználói gépet és számítógépes erőforrást használ bányászatra, így rontva a rendszer teljesítményét. A JSEcoin 2020 áprilisában abbahagyta tevékenységét.

3. Wannamine (6%) – Kifinomult Monero crypto-bányász féreg, mely az EternalBlue-t terjeszti. A Windows Management Instrumentation (WMI) állandó esemény előfizetések kihasználásával implementál egy terjesztő mechanizmust és biztosítja eltávolíthatatlanságát.

 

2020 első félévének top három kártevő programja.

1. xHelper (világszerte a szervezetek 24%-ánál jelent meg) – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is ha törlik. Az először 2019 márciusában felfedezett xHelper több mint 45.000 eszközt fertőzött meg.

2. PreAMo (19%) – Az androidos eszközöket támadó ’clicker’ kártevő, melyet első alkalommal 2019 áprilisában azonosítottak be. A PreAMo utánozza a felhasználót és hirdetésekre klikkel rá annak tudta nélkül. A Google Play-en felfedezett kártevőt több mint 90 millió alkalommal töltötték le hat különböző mobil alkalmazásra. 

3. Necro (14%) – Android alapú trójai hordozó. Más rosszindulatú programokat tud letölteni, tolakodó hirdetéseket mutat és előfizetésekkel lop pénzt. 

 

2020 első félévének top három bank területeket támadó kártevő programja.

1. Dridex (világszerte a szervezetek 27%-ánál jelent meg) – Windows PC-ket támadó banki trójai. Spam kampányokkal és Exploit Kit-ekkel terjed, WebInject-ek (olyan káros konfigurációs beállítások, melyek hamisított adatokat fecskendeznek be az adott baki webes felületre, hogy ezek segítségével bizalmas adatokat tulajdoníthassanak el) segítségével fertőz és a banki adatokat egy, a támadó által irányított szerverre irányítja át. A Dridex kapcsolatba lép egy távoli szerverrel, ahova információkat küld a fertőzött rendszerről, de további modulokat is le tud tölteni és működtetni tud a távoli irányításhoz. 

2. Trickbot (20%) – Moduláris banki trójai, mely a Windows platformot célozza meg, általában spam kampányokkal vagy már kártevő családokkal, például Emotettel terjed. 

3. Ramnit (15%) – Az először 2010-ben beazonosított banki trójai webes folyamatok során használt információkat lop el, ezzel lehetővé téve, hogy működtetői az áldozat által használt valamennyi szolgáltatáshoz kapcsolódó felhasználói fiók – bankszámla, vállalati és közösségi hálózatok –adatait megszerezzék. 

 

A Cyber Támadások Trendjei: 2020 féléves jelentés című anyag részletes áttekintést ad a cyber-fenyegetések aktuális helyzetéről. A jelentés eredményei a Check Point ThreatCloud rendszeréből 2020 január és június között lehívott adatokon alapulnak, és felhívják a figyelmet a cyber-bűnözők által a vállalatok támadása során használt legfontosabb taktikákra.