A Check Point Software Technologies Ltd. kiadta legújabb Threat Index jelentését, melyben összegyűjtötték a 2016 áprilisában a szervezetek hálózatai és mobil eszközei elleni támadások során világszerte leggyakrabban használt rosszindulatú programcsaládokat.
A Check Point 2000 különböző rosszindulatú programcsaládot azonosított be április hónapban, és ez több, mint 50 százalékos növekedést jelent az elöző hónaphoz képest. A jelentés a szervezetek hálózatai elleni fenyegetések széles körét azonosítja be, illetve bemutatja azon kihívások léptékét, melyeket a biztonsági csapatoknak figyelembe kell venniük az üzleti szempontból kritikus információikra irányuló támadások elleni védelem kapcsán.
A legfontosabb megállapítások:
- A kutatók szerint az XcodeGhost, az Xcode iOS fejlesztői platform kompromittált verziója továbbra is fenyegetést jelent a nagyvállalati mobil eszközök számára, még annak ellenére is, hogy 2015 szeptemberében kivonták az Apple AppStore-ból. Általánosságban, az iOS eszközöket célzó támadások első alkalommal kerültek a három leggyakoribb mobil eszközök elleni rosszindulatú programok közé.
- A HummingBad névre hallgató rosszindulatú Android program továbbra is világszerte a 10 leggyakoribb rosszindulatú támadás között szerepelt a vizsgált időszakban. Annak ellenére, hogy a Check Point kutatói csak februárban fedezték fel, gyorsan vált széles körben használttá, ami azt mutatja, hogy a hackerek az Android mobil eszközöket a nagyvállalati biztonsági rendszerek gyengeségének és potenciálisan kifizetődő célpontoknak tekintik.
„A szervezetek mobilitástól való függősége folyamatosan nő; a jelentés világosan megmutatja, hogy a cyber bűnözők kihasználják ezen eszközöket, tekintve, hogy a nagyvállalatok informatika biztonsági rendszerei leggyengébb láncszemének bizonyulnak,” mondta Michael Shaulov, a Check Point mobiltermék-menedzsment vezetője. „Ezek az adatok azt is megerősítik, hogy a vállalatoknak nem csak a hálózatokon van szükségük fejlett fenyegetések elleni védelemre vonatkozó stratégiára, hanem valamennyi végponton és a mobil eszközökön is: így tudják leghatékonyabban megállítani a rosszindulatú programokat már a fertőzés előtti szakaszban.”
Április egészét tekintve, a Conficker volt a leggyakoribb rosszindulatú programcsalád: a beazonosított támadások 17 százalékáért volt felelős; a Salty 12 százalékért, míg a Zeroaccess 6 százalékért. A 10 leggyakoribb programcsaládhoz a beazonosított támadások több, mint fele volt köthető:
- Conficker – Egy féreg, mely lehetővé teszi távoli műveletek és rosszindulatú programok letöltését. A fertőzött gép irányítását egy Command & Control szerverhez kapcsolódó, és onnan utasításokat fogadó botnet veszi át.
- Sality – Egy vírus, melynek segítségével annak operátora távoli műveleteket és további rosszindulatú letöltéseket hajthat végre a fertőzött rendszereken. Legfőbb célja, hogy folyamatosan jelen legyen a rendszerben, és ott biztosítsa a távoli hozzáférést, illetve a további rosszindulatú programok installálását.
- Zeroaccess – Windows platformokat megcélzó féreg, mely távoli műveleteket és rosszindulatú letöltéseket tesz lehetővé. Peer-to-peer (P2P) protokollt alkalmazva tölt le vagy frissít további rosszindulatú programelemeket távoli helyekről.
A három vezető rosszindulatú programcsoport április hónapban:
- HummingBad – Rosszindulatú Android program, mely perzisztens toolkitet helyez el az eszközön, csalásra irányuló alkalmazásokat telepít, és kisebb módosításokkal további rosszindulatú tevékenységeket tehet lehetővé, mint például egy key-logger telepítése, személyi azonosítók eltulajdonítása, vagy a nagyvállalatok által használt, titkosított, dedikált email konténereken való átjutás.
- Iop – Rosszindulatú Android program, mely a mobil eszközhöz való rendszergazdai jogosultságon keresztül alkalmazásokat installál és hirdetéseket jelenít meg. A hirdetések mennyisége és az installált alkalmazások megnehezítik az eszköz használatát.
- XcodeGhost – Az Xcode iOS fejlesztői platform kompromittált verziója. Az Xcode nem hivatalos verzióját alakították át oly módon, hogy a felhasználásával fejlesztett appokba rosszindulatú kódot tudjon bejuttatni; a kód infokat küld egy C&C szerverre, lehetővé téve, hogy a fertőzőtt app olvasni tudja az eszköz clipboardját.
A Check Point Threat Index
Alapja a ThreatCloud World Cyber Threat Mapről szerzett adatok, melyek valós időben követik nyomon, hogy világszerte hol és miként jelentkeznek a cybertámadások. A Threat Mapet a Check Point’s ThreatCloudTM intelligence, a cyberbűnőzés elleni legnagyobb, kollaboráción alapuló hálózat látja el a fenyegetéseket érzékelő rendszerek globális hálózatából származó, fenyegetésekkel kapcsolatos adatokkal és támadási trendekre vonatkozó információkkal. A ThreatCloud adatbázis 250 milliónál is több címet tartalmaz, 11 milliónál több rosszindulatú aláírást és 5,5 milliónál több fertőzött weboldalt, miközben napi szinten több millió rosszindulatú elemet azonosít be.
A Check Point Threat Prevention Resources elérhető: http://www.checkpoint.com/threat-prevention-resources/index.html.