A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat nyilvánosságra hozta a Cyber Támadások Trendjei: 2020 féléves jelentés című anyagot, ami azt mutatja be, hogy a bűnözők, a politikai és nacionalista állami fenyegetéseket indító szereplők miként használták kis a COVID-19 járványt és az ahhoz kapcsolódó témákat a legkülönbözőbb szektorokban, köztük a kormányzat, a gyártás, az egészségügy területén működő szervezetek, a szolgáltók, a kiemelten fontos infrastruktúrák üzemeltetői és a magánszemélyek megtámadására.
A COVID-19 járványhoz kapcsolódó adathalász és kártevő programokon alapuló támadások száma drámaian megnövekedett február óta, amikor heti 5.000 alatt volt még a számuk – ez április végére heti 200.000-re nőtt. Május és június során, amikor az országok enyhíteni kezdték a karantén-intézkedéseket, a támadásokat indítók növelni kezdték a COVID-19-hez nem köthető támadásaikat, aminek eredményeképp június végére világszerte 34%-kal nőtt az összes cyber-támadás száma (március-áprilishoz képest).
A jelentés legfontosabb megállapításai:
„A világjárványra adott globális válaszok az első félévben átalakították és magasabb sebességre kapcsolták a fenyegetéseket indító szereplők megszokott üzleti modelljeit, és kihasználták a COVID-19 világjárvánnyal kapcsolatos félelmeket a tevékenységük fedezése során. Tanúi voltunk a lejelentősebb, új sérülékenységek és támadási vektorok felbukkanásának, melyek valamennyi szektor szervezeteinek biztonságát fenyegették,” - mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója. „Annak érdekében, hogy szervezeteik biztosan a lehető legjobb színvonalú védelemmel bírjanak 2020 hátralevő részében, a biztonsági szakembereknek ismerniük kell ezeket a gyorsan erősödő fenyegetéseket.”
2020 első félévének leggyakoribb rosszindulatú program variánsai a következők voltak:
2020 első félévének top három rosszindulatú programja.
1. Emotet (világszerte a szervezetek 9%-ánál jelent meg) – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.
2. XMRig (8%) – Nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak. A fenyegetéseket indítók gyakran használják ezt a nyílt forráskódú software-t arra, hogy a kártevő programba integrálva illegális bányászatot végezzenek áldozataik eszközein.
3. Agent Tesla (7%) – A 2014 óta aktív távoli hozzáférés trójai (RAT) billentyűzet-leütés naplózással és adatlap lopással figyeli és gyűjti be az áldozat billentyűzetén bevitt vagy a vágólapra helyezett adatokat, képernyőképeket és a legkülönbözőbb, az áldozat gépére telepített software-ekhez (köztük Google Chrome, Mozilla Firefox és Microsoft Outlook email kliens) tartozó meghatalmazásokat. Az Agent Tesla-t különböző online piacokon és hacker fórumokon értékesítik.
2020 első félévének top három crypto-bányász programja.
1. XMRig (világszerte a szervezetek 46%-ánál jelent meg) – Nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak; először 2017 májusában jelent meg. A fenyegetéseket indítók gyakran használják ezt a nyílt forráskódú software-t arra, hogy a kártevő programba integrálva illegális bányászatot végezzenek áldozataik eszközein.
2. Jsecoin (28%) – Web-alapú crypto-bányász, melyet a Monero crypto-valuta online bányászatára terveztek. A beágyazott JavaScript különösen sok végfelhasználói gépet és számítógépes erőforrást használ bányászatra, így rontva a rendszer teljesítményét. A JSEcoin 2020 áprilisában abbahagyta tevékenységét.
3. Wannamine (6%) – Kifinomult Monero crypto-bányász féreg, mely az EternalBlue-t terjeszti. A Windows Management Instrumentation (WMI) állandó esemény előfizetések kihasználásával implementál egy terjesztő mechanizmust és biztosítja eltávolíthatatlanságát.
2020 első félévének top három kártevő programja.
1. xHelper (világszerte a szervezetek 24%-ánál jelent meg) – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is ha törlik. Az először 2019 márciusában felfedezett xHelper több mint 45.000 eszközt fertőzött meg.
2. PreAMo (19%) – Az androidos eszközöket támadó ’clicker’ kártevő, melyet első alkalommal 2019 áprilisában azonosítottak be. A PreAMo utánozza a felhasználót és hirdetésekre klikkel rá annak tudta nélkül. A Google Play-en felfedezett kártevőt több mint 90 millió alkalommal töltötték le hat különböző mobil alkalmazásra.
3. Necro (14%) – Android alapú trójai hordozó. Más rosszindulatú programokat tud letölteni, tolakodó hirdetéseket mutat és előfizetésekkel lop pénzt.
2020 első félévének top három bank területeket támadó kártevő programja.
1. Dridex (világszerte a szervezetek 27%-ánál jelent meg) – Windows PC-ket támadó banki trójai. Spam kampányokkal és Exploit Kit-ekkel terjed, WebInject-ek (olyan káros konfigurációs beállítások, melyek hamisított adatokat fecskendeznek be az adott baki webes felületre, hogy ezek segítségével bizalmas adatokat tulajdoníthassanak el) segítségével fertőz és a banki adatokat egy, a támadó által irányított szerverre irányítja át. A Dridex kapcsolatba lép egy távoli szerverrel, ahova információkat küld a fertőzött rendszerről, de további modulokat is le tud tölteni és működtetni tud a távoli irányításhoz.
2. Trickbot (20%) – Moduláris banki trójai, mely a Windows platformot célozza meg, általában spam kampányokkal vagy már kártevő családokkal, például Emotettel terjed.
3. Ramnit (15%) – Az először 2010-ben beazonosított banki trójai webes folyamatok során használt információkat lop el, ezzel lehetővé téve, hogy működtetői az áldozat által használt valamennyi szolgáltatáshoz kapcsolódó felhasználói fiók – bankszámla, vállalati és közösségi hálózatok –adatait megszerezzék.
A Cyber Támadások Trendjei: 2020 féléves jelentés című anyag részletes áttekintést ad a cyber-fenyegetések aktuális helyzetéről. A jelentés eredményei a Check Point ThreatCloud rendszeréből 2020 január és június között lehívott adatokon alapulnak, és felhívják a figyelmet a cyber-bűnözők által a vállalatok támadása során használt legfontosabb taktikákra.