2021. május legveszélyesebb kártékony programjai

forrás: Prím Online, 2021. június 26. 13:47

A Check Point Software Technologies Ltd. kutatórészlege, a Check Point Research kiadta legújabb, 2021 májusára vonatkozó Global Threat Index elemzését. A kutatók jelentése szerint a Trickbot, mely elsőként 2019 áprilisában jelent meg a listán, az élre került, míg az elmúlt hónapok egyik leggyakoribb kártékony programja, a Dridex teljesen eltűnt róla, miközben világszerte megugrott a zsaroló programok jelenléte. Nem ismert ugyan, hogy a Dridex miért került le a listáról, de a közelmúlt beszámolói szerint a Dridex terjesztéséről ismert Evil Corp gang átalakult annak érdekében, hogy elkerülje az USA pénzügyminisztériumának szankcióit. 

A pénzügyi és folyószámla adatok, valamint személyi azonosító információk eltulajdonítására képes, illetve hálózatokon terjedő és azokon zsaroló programot (főként Ryuk-ot) elhelyező botnet és banki trójai program, a Trickbot került a lista első helyére. Folyamatosan új képességekkel, jellemzőkkel és disztribúciós vektorokkal frissítik, aminek köszönhetően rugalmas és testre szabható kártékony programként terjeszthető többcélú kampányok részeként. A Trickbot az Emotet botnet elleni januári akció nyomán vált népszerűvé, majd került az elmúlt hetekben a címoldalakra, amikor az USA igazságügy-minisztériuma a Trickbot kártékony program létrehozásával és alkalmazásával vádolt meg egy lett nőt. 

 

2021 eleje óta a CPR jelentős növekedést tapasztalt a nagyvállalatok elleni cyber-támadások volumenében: 2020 májusával összehasonlítva, Amerikában a számuk 70%-kal nőtt, míg az EMEA-ban 97%-kal, az ázsiai-csendes-óceáni térségben pedig döbbenetes mértékben, 168%-kal. 

 

„Sok szó esik a zsaroló programokhoz köthető támadásoknak az utóbbi időben tapasztalt megugrásáról, azonban általában a cyber-támadások terén óriási növekedést tapasztalunk. Ez egy jelentős és zavaró trend,” - mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója. „Biztató jel, hogy vádemelések történtek az utóbbi hónap legelterjedtebb kártékony programja, a Trickbot elleni harc keretében, azonban egyértelmű, még nagy utat kell megtennünk. A szervezeteknek ismerniük kell a veszélyeket és gondoskodniuk kell a megfelelő megoldásokról, ugyanakkor nem szabad elfeledniük: a támadásokat nem elég beazonosítani, meg is kell előzni őket, köztük a nulladik-napi támadásokat és az ismeretlen kártékony programokat. A megfelelő technológiával, a támadások többsége, még a legfejlettebbek is, kivédhetők az üzleti folyamatok megzavarása nélkül.”

 

A Check Point Research arra is felhívta a figyelmet, hogy a „Web Server Exposed Git Repository Information Disclosure” továbbra is a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 48%-ánál jelent meg. Ezt követi a „HTTP Headers Remote Code Execution (CVE-2020-13756)”, mely a szervezetek 47,5%-ánál bukkant fel. Harmadik helyen áll a „MVPower DVR Remote Code Execution”, globális hatása 46%.

 

2021. május top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során a Trickbot tartotta első helyét, világszerte a szervezetek 8%-ánál volt jelen, ezt követi az XMRig és a Formbook, mindkettő a szervezetek 3%-ánál jelent meg.

1. ↑ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni.

2. ↑ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak.

3. ↑ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.

 

2021. május top három sérülékenysége:

Ebben a hónapban a „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 48%-ánál jelent meg. Ezt követi a „HTTP Headers Remote Code Execution (CVE-2020-13756)”, mely a szervezetek 47,5%-ánál bukkant fel. Harmadik helyen áll a „MVPower DVR Remote Code Execution”, globális hatása 46%.

1. ↔ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

2. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.

3. ↔ MVPower DVR Remote Code Execution – Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.

 

2021. május top három rosszindulatú mobil családja:

Ebben a hónapban az xHelper a legelterjedtebb program, őt követte a Triada és a Hiddad. 

1. xHelper. A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.

2. Triada. Moduláris backdoor (hátsó ajtó) az Android eszközök számára, mely kiemelt felhasználói jogosultságokat ad a letöltött rosszindulatú programnak. 

3. Hiddad. Az Android alapú kártevő program újracsomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.