A Check Point Software Technologies Ltd. havi rendszerességgel megjelenő, a szervezetek működésére legveszélyesebb rosszindulatú programokat vizsgáló felmérésének (Global Threat Impact Index) májusra vonatkozó kiadása szerint a Fireball és a WannaCry támadások világszerte négyből egy szervezetre voltak hatással.
A világszerte működő szervezeteket célba vevő, három vezető rosszindulatú programcsalád mindegyike úgy nevezett nulladik napi („zero-day”), korábban nem tapasztalt támadásokat indított. A Fireball ötből egy szervezetre volt hatással, a második helyezett RoughTed a szervezetek 16%-ára, míg a harmadik helyre került WannaCry közel 8%-ára. A Fireball és a WannaCry variánsok különösen nagy sebességgel terjedtek világszerte a hónap során.
A leggyakoribb rosszindulatú programok felhívják a figyelmet arra, hogy a cyber-bűnözők által használt támadási vektorok és célpontok köre igencsak széles, a fertőzési lánc minden egyes lépésére hatással vannak. A Fireball átveszi az irányítást a célba vett böngészők fölött és zombikká változtatja azokat, ezt követően a legkülönbözőbb dolgokra tudja használni, például további rosszindulatú programok elhelyezésére vagy értékes identitásadatok eltulajdonítására. Ezzel szemben a RoughTed egy nagyarányú, rosszindulatú kódot tartalmazó reklám, míg a WannaCry az EternalBlue nevű Windows SMB visszaélést kihasználva burjánzik el a hálózatokon belül és azok között. A WannaCry különösen jelentős volt, világszerte számtalan hálózatot állított le.
A három vezető programon kívül, több új variáns is megjelent az első tíz között, köztük a Jaff (8-dik helyek) zsarolóprogram, mely felhívja a figyelmet arra, hogy ez a bizonyos támadási vektor mily mértékben bizonyult profitábilisnak a rosszindulatú felek számára.
2017 májusának legveszélyesebb rosszindulatú programjai:
1. Fireball – Böngésző-eltérítő, mely teljes körűen működő rosszindulatú letöltő-programmá alakítható. Bármilyen kód futtatására képes az áldozat gépén, és a legkülönbözőbb dolgokat tudja végrehajtani az identitás-adatok eltulajdonításától kezdve a rosszindulatú programok elhelyezéséig.
2. RoughTed – nagyarányú, rosszindulatú kódot tartalmazó reklám, melyet különböző rosszindulatú weboldalak és csomagok, mint például scamek, hirdetési programok (adware), exploit kitek és zsarolóprogramok elhelyezésére használnak. Bármilyen platform és operációs rendszer támadására alkalmas, annak érdekében, hogy a legrelevánsabb támadást tudja indítani, megkerüli a hirdetés blokkolókat és az azonosító rendszereket.
3. WannaCry – 2017 májusában egy széleskörű támadásban elterjedt rosszindulatú program, mely az EternalBlue nevű Windows SMB visszaélést kihasználva burjánzik el a hálózatokon belül és azok között.
A mobil eszközöket támadó rosszindulatú programok között a Hummingbad visszatért a lista tetejére, közvetlenül követi a Hiddad és a Triada.
A három legveszélyesebb, mobil eszközöket támadó rosszindulatú program:
1. Hummingbad – Rosszindulatú Android program, mely perzisztens toolkitet helyez el az eszközön, csalásra irányuló alkalmazásokat telepít, és kisebb módosításokkal további rosszindulatú tevékenységeket tehet lehetővé, mint például egy key-logger telepítése, személyi azonosítók eltulajdonítása, vagy a nagyvállalatok által használt, titkosított, dedikált email konténereken való átjutás.
2. Hiddad – Android eszközöket támadó, rosszindulatú program, mely újracsomagolja a legitim alkalmazásokat, majd kiadja őket egy harmadik félnek. Legfontosabb funkciója a hirdetések megjelenítése, ugyanakkor képes hozzáférést szerezni az operációs rendszerbe beépített, kulcsfontosságú biztonsági részletekhez, így lehetővé téve, hogy a támadó érzékeny felhasználói adatokhoz férjen hozzá.
3. Triada – Androidos eszközöket támadó moduláris backdoor (hátsó ajtó), mely kiemelt felhasználói jogosultságokat ad a letöltött rosszindulatú programnak, azáltal, hogy segíti beágyazódását a rendszerfolyamatokba. A tapasztalatok szerint, a Triada a böngészőben letöltött URLeket is be tudja csapni.
„Látva ebben a hónapban a sok, teljesen új rosszindulatú programcsalád megjelenését a világ leggyakoribb cyber-támadásai között, felhívja a figyelmet arra, hogy milyen innovatívak tudnak lenni a cyber-bűnözők, és mutatja, hogy milyen veszélyes lehet az, ha a szervezetek önelégülté válnak.” - mondta Maya Horowitz, a Check Point Threat Intelligence csoportjának vezetője. „A szervezeteknek nem szabad elfelejteniük, hogy a cyber-támadások pénzügyi hatása jóval túllép az első incidensen. A kulcsfontosságú szolgáltatások és a reputációban okozott károk helyreállítása nagyon hosszú és költséges folyamat lehet. Minden ipari szektor szervezetei fontos, hogy több-rétegű megközelítésre alapozzák a cyber-biztonságukat. Például, a SandBlast Zero-Day Protection and Mobile Threat Prevention megoldásunk a folyamatosan felbukkanó támadás típusok legszélesebb köre ellen nyújt védelmet, miközben megvéd a nulladik napi rosszindulatú program variánsokkal szemben is.”
A Check Point ThreatCloud Map alapja a Check Point’s ThreatCloud intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis több mint 250 millió címet (melyeket botok beazonosítása céljából elemez), 11 milliónál is több rosszindulatú aláírást és 5,5 millió feletti fertőzött weboldalt tartalmaz, illetve napi szinten több millió rosszindulatú programtípust azonosít be.
A tíz, május hónap során legelterjedtebb rosszindulatú programcsalád teljes listája megtalálható a Check Point blogján: http://blog.checkpoint.com/2017/06/20/mays-wanted-malware-fireball-wannacry-impact-1-4-organizations-globally/
A Check Point fenyegetésekkel szembeni védelmi forrásainak elérhetősége: http://www.checkpoint.com/threat-prevention-resources/index.html