A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 januárjára vonatkozó Global Threat Index elemzését. A hónap során az Emotet hosszú idő után letaszította a Trickbotot a leggyakrabban előforduló kártékony programok listájának éléről. A Log4j továbbra is problémát jelent, világszerte a szervezetek 47,4%-ánál bukkant fel, miközben az oktatás/kutatás maradt a támadásoknak leginkább kitett terület.

 

Az Emotet mindössze két és fél hónappal a visszatérése után az élre tört. A hírhedt botnet leggyakrabban adathalász e-mailekkel terjed, melyek kártékony csatolmányokat vagy linkeket tartalmaznak. Gyors előretörését a Trickbotnak, mint katalizátornak a dominanciája is elősegítette, tekintve, hogy még nagyobb mértékben terjesztette a kártékony programot. Mindeközben a Dridex lekerült a top tízes listáról, helyét a Lokibot vette át, mely egy olyan adatok eltulajdonítására használt InfoStealer, mint az e-mail adatok, CryptoCoin tárca és FTP szerver jelszavak. 

 

„Nem meglepő az Emotet nagy lendületű visszatérése. Ez egy rendkívül alkalmazkodó kártékony program, melyet nehéz észrevenni, de az is hozzájárul folyamatos előretöréséhez, hogy változatos módokon képes megfertőzni a hálózatokat. Nem valószínű, hogy ez egy rövid ideig jelenlévő probléma lesz,” – mondta Maya Horowitz, a Check Point Software kutatási elnök-helyettese. „Ebben a hónapban a Dridex eltűnt a top tízes listáról, miközben a Lokibot újra felbukkant. Ez utóbbi az áldozatát annak leginkább elfoglalt pillanataiban használja ki, jól felismerhető adathalász e-mailekkel terjed. Ezen fenyegetések, valamint a Log4j sérülékenységgel szembeni, folytatódó csata, felhívja a figyelmet annak fontosságára, hogy a hálózatok, a felhő, a mobileszközök és a felhasználói végpontok teljes egészében a legmagasabb szintű biztonságra van szükség.”

 

A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás továbbra is az oktatási-kutatási szektor ellen történt, ezt követte a kormányzat/hadsereg és az ISP/MSP területe. Az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 47,4%-ánál jelent meg. Ezt követi a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 45%-ánál bukkant fel. Harmadik helyen maradt továbbra is a „HTTP Headers Remote Code Execution”, globális hatása 42%.

 

 

2022. január top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során az Emotet átvette a vezetést, világszerte a szervezetek 6%-ánál volt jelen, szorosan követte a Trickbot és a Formbook, előbbi a szervezetek 3%-ánál, utóbbi pedig a 3%-ánál jelent meg.

1.↑ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.

2.↓ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni. 

3.↔ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.

 

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kormányzat/hadsereg

3. ISP/MSP

 

2022. január top három sérülékenysége:

Ebben a hónapban az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 47,4%-ánál jelent meg. Ezt követi a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 45%-ánál bukkant fel. Harmadik helyen áll a „HTTP Headers Remote Code Execution”, globális hatása 42%.

1.↔ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.

2.↔ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és tetszőleges kódot futtathat az áldozat gépén.

 

2022. január top három rosszindulatú mobil családja:

Ebben a hónapban az xHelper a legelterjedtebb program, őt követte az AlienBot és a FluBot.

1. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.

2. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.

3. FluBot – Az Android alapú kártékony botnet, mely adathalász SMS üzenetekkel terjed, gyakran logisztikai brandeket megszemélyesítve. Ha a felhasználó ráklikkel az üzenetben foglalt linkre, a FluBot installálódik és hozzáfér a telefonon tárolt érzékeny információkhoz.

 

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

 

A kártékony programcsaládok teljes 2022. január Top 10 listája megtalálható a Check Point Blogon.