A Check Point Software Technologies Ltd. 2016 második félévét feldolgozó Global Threat Intelligence Trends elemzése szerint a zsarolóprogramok támadásai megkétszereződtek a kérdéses időszakban. A világszerte ismert rosszindulatú programokkal kapcsolatos eseteknek 10,5%-a zsarolóprogramokhoz volt köthető 2016 júliusa és decembere között, míg az ezt megelőző időszakban 5,5% volt az arányuk.
A jelentés összefoglalja a cyber bűnözők legfontosabb, a vállalatok támadásakor alkalmazott taktikáit, és részletes áttekintést ad a vezető rosszindulatú program kategóriákról – zsarolóprogramok, bank és mobil. Alapjául a Check Point ThreatCloud World Cyber Threat Map (fenyegetéseket áttekintő térkép) 2016 július és december közti adatai szolgáltak.
A legfontosabb trendek
- A zsarolóprogramok piacának monopóliuma – 2016 során több ezer zsarolóprogram variánst azonosítottak be, ugyanakkor az utóbbi hónapokban változásokat tapasztaltunk: egyre inkább centralizáltabbá válik a terület, valójában néhány rosszindulatú programcsalád uralja a piacot és támadja meg a legkülönbözőbb méretű szervezteket.
- DDoS támadások az IoT eszközökön – 2016 augusztusában fedezték fel a hírhedt Mirai Botnetet, az első Internet-of-Things botnetet, mely sérülékeny, Internet kapcsolattal rendelkező videófelvevőket (DVR) és megfigyelő kamerákat (CCTV) támad meg. Botokká változtatja őket és több, nagymérvű elosztott szolgáltatásmegtagadással járó támadásra (Distributed Denial of Service – DDoS) használja őket. Mostanra egyértelművé vált, hogy szinte minden otthonban használnak IoT eszközöket, így az ezeken alapuló DdoS támadások folytatódni fognak.
- Új file kiterjesztés a spam kampányokban – a rosszindulatú spam kampányokban 2016 második felében leggyakrabban használt fertőzési vektor a Windows Script motoron (Wscript) alapuló letöltő programok voltak. A Javascriptben (JS) és VBScriptben (VBS) írt letöltő programok uralták a rosszindulatú spamek világát, más hasonló, ám kevésbé ismert formátumokkal együtt mint a JSE, a WSF és a VBE.
2016 második félévének leggyakoribb rosszindulatú programjai
- Conficker (14.5%) – Féregprogram, mely a távoli műveletek végrehajtását és rosszindulatú letöltéseket tesz lehetővé. A fertőzött gép irányítását egy Command & Control szerverhez kapcsolódó, és onnan utasításokat fogadó botnet veszi át.
- Sality (6.1%) – Vírus, mely lehetővé teszi operátora számára a távoli műveletek végrehajtását és további rosszindulatú programok letöltését a fertőzött rendszereken. Legfőbb célja megmaradni egy rendszerben és ott biztosítani a távoli műveletek végrehajtásának, illetve a további rosszindulatú programok telepítésének lehetőségét.
- Cutwail (4.6%) – Elsősorban spam emailek küldésére, illetve bizonyos DDoS támadások során használt botnet. Telepítést követően, a botok közvetlenül kapcsolódnak a Command & Control szerverhez és utasításokat kapnak a küldendő emailekről. Miután elvégezték feladatukat, a botok a tevékenységükkel kapcsolatos pontos statisztikákat tartalmazó jelentést küldenek a spammernek.
- JBossjmx (4.5%) – Féregprogram, mely olyan rendszereket vesz célba, ahol a JBoss Application Server egy sérülékenyebb verziója van telepítve. A rosszindulatú program létrehoz egy JSP oldalt, a sérülékeny rendszereken, mely önkényes parancsokat hajt végre. Mi több, egy másik backdoort (hátsó ajtót) is létrehoz, mely egy távoli IRC szervertől kapja az utasításokat.
- Locky (4.3%) – Zsarolóprogram, mely 2016 februárjában kezdett elterjedni, és elsősorban Word vagy Zip file csatolmánynak álcázott letöltéskezelő spam emaileken keresztül terjed, mely a file-okat titkosító, rosszindulatú programot tölt le és installál.
2016 második félévének leggyakoribb zsarolóprogramjai
A világszerte ismert rosszindulatú programokkal kapcsolatos eseteknek 10,5%-a zsarolóprogramokhoz volt köthető 2016 második félévében, míg az ezt megelöző időszakban 5,5% volt az arányuk. A leggyakoribb variánsok a következők voltak:
- Locky (41%) – Az első félévben a harmadik leggyakoribb rosszindulatú program volt, és a második félében drámaian nőtt a jelenléte.
- Cryptowall (27%) – Eredetileg Cryptolocker doppelgängerként indult zsarolóprogram. A Cryptolocker eltávolítása után, a Cryptowall lett az egyik legjelentősebb rosszindulatú program. Az AES titkosításról és a Tor anonim hálózaton keresztül zajló C&C kommunikációról vált ismerté. Széles körben terjesztik exploit kiteken, rosszindulatú reklámokon és phising kampányokon keresztül.
- Cerber (23%) – A világ egyik legnagyobb aktív zsaroló programja (ransomware-as-a-service). A Cerber egy franchise séma, melynek fejlesztője tagokat toboroz, akik a profitból való részesedérét cserébe terjesztik a rosszindulatú programot.
2016 második félévének leggyakoribb, mobil eszközöket támadó rosszindulatú programjai
- Hummingbad (60%) – A Check Point kutatócsoportja által felfedezett, rosszindulatú Android program, mely perzisztens toolkitet helyez el az eszközön, csalásra irányuló alkalmazásokat telepít, és kisebb módosításokkal további rosszindulatú tevékenységeket tehet lehetővé, mint például egy key-logger telepítése, személyi azonosítók eltulajdonítása, vagy a nagyvállalatok által használt, titkosított, dedikált email konténereken való átjutás.
- Triada (9%) – Androidos eszközöket támadó moduláris backdoor (hátsó ajtó), mely kiemelt felhasználói jogosultságokat ad a letöltött rosszindulatú programnak, azáltal, hogy segíti beágyazódását a rendszerfolyamatokba. A tapasztalatok szerint, a Triada a böngészőben letöltött URLeket is be tudja csapni.
- Ztorg (7%) – Trójai program, mely a felhasználó tudta nélkül, a mobiltelefonra forrásjogosultságot használva tőlt le, és installál alkalmazásokat.
A banki területen leggyakoribb rosszindulatú programok
- Zeus (33%) – Windows platfromokat megtámadó trójai program, melyet gyakran használnak banki információk lopására közbeékelt (man-in-the-browser – MitB) billentyűzet-leütés naplózással és adatlap lopással.
- Tinba (21%) – Az áldozat igazolványait ellopó trójai program; web-injecteket használ (azaz weben keresztül próbál káros tartalmat eljuttatni a felhasználókhoz), melyek akkor aktíválódnak, amikor a felhasználó megpróbál belépni a bankja weboldalára.
- Ramnit (16%) – Banki adatokat, FTP jelszavakat, ügymenet sütiket és személyes adatokat eltulajdonító trójai program.
Maya Horowitz, a Check Point Threat Intelligence Group menedzsere a következőket tette hozzá: „A jelentés tükrözi napjaink cyber környezetének természetét, azt, hogy egyre nő a rosszindulatú programokon alapuló támadások száma. Ennek egyszerűen az az oka, hogy működnek, és jelentős bevételeket hoznak a támadóknak. A szervezetek küzdenek, hogy hatékonyan reagáljanak a fenyegetésekre: sokaknak viszont nincsenek meg a megfelelő védekezési módszerei, vagy nem rendelkeznek megfelelően képzett szakembergárdával, akik képesek felfedezni a lehetséges rosszindulatú program támadás jeleit a bejövő emailek között.”
„Ráadásul adataink alapján a programcsaládoknak csupán egy kis csoportja felelős a támadások többségéért, miközben a rosszindulatú programcsaládok ezreit alig érzékeljük,” folytatta Horowitz. „A legtöbb cyber támadás globális vagy régiókon átívelő, azonban az Ázsia Csendes-óceáni térség kilóg a sorból, mivel a náluk vezető rosszindulatú programcsaládok között 5 olyan is szerepel, mely egyetlen más regionális táblázatban sem jelenik meg.”
A Check Point jelentésének statisztikái a ThreatCloud World Cyber Threat Mapből származó adatokon alapulnak. A Check Point ThreatCloud a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis több mint 250 millió címet (melyeket botok beazonosítása céljából elemez), 11 milliónál is több rosszindulatú aláírást és 5,5 millió feletti fertőzött weboldalt tartalmaz, illetve napi szinten több millió rosszindulatú programtípust azonosít be.