A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research kiadta 2020 augusztusára vonatkozó, Global Threat Index elemzését. A kutatók első alkalommal találkoztak a Valak nevű kártékony program egy új variánsával, mely a Top 10 lista kilencedik helyére került.
Az első alkalommal 2019 végén beazonosított Valak egy olyan kifinomult fenyegetés, melyet korábban kártékony szoftvereket betöltő programként osztályoztak. Az elmúlt hónapokban olyan új variánsokat fedeztek fel, melyek jelentős, a Valakot magánszemélyeket és vállalatokat egyaránt megcélozni képes információ-tolvaj programmá alakító funkcionális változtatásokkal bírnak. Ez az új verzió képes érzékeny információkat, felhasználói adatokat, valamint domain tanúsítványokat eltulajdonítani a Microsoft Exchange levelezőrendszerekből. Szeptember során a Valakot .doc file-okat tartalmazó kártékony spam kampányok terjesztették el széles körben.
Az Emotet trójai immáron harmadik hónapja tartja első helyét, a szervezetek 14%-ánál jelent meg világszerte. A listán első alkalommal augusztusban megjelent Qbot trójai ugyancsak széles körben volt jelen szeptemberben, a lista tizedik helyéről a hatodikra lépett.
„A Valakot terjesztő kampányok újabb példát adnak arra, hogy a fenyegetéseket indítók milyen módon hozzák ki a legtöbbet a már bizonyított kártékony programokkal kapcsolatos befektetéseikből. Az augusztusban felbukkant Qbot frissített verzióival együtt a Valak célja a széles körű adat- és tanúsítványlopás különböző szervezetektől és magánszemélyektől. A vállalatoknak olyan, a kártékony programokkal szemben védelmet biztosító megoldásokat kellene telepíteniük, melyek meg tudják akadályozni, hogy hasonló tartalmak elérjék a végfelhasználókat. Emellett folyamatosan figyelmeztetniük kellene alkalmazottjaikat, hogy legyenek óvatosak az e-mailek megnyitásakor, még akkor is, ha azok látszólag megbízható forrásból érkeztek,” - mondta Maya Horowitz, a Check Point Threat Intelligence & Research Products igazgatója.
Ugyanakkor a kutatócsoport arra is felhívja a figyelmet, hogy a legszélesebb körben kihasznált sérülékenység a „MVPower DVR Remote Code Execution”, mely a szervezetek 46%-ánál jelent meg világszerte. Második helyre került az „Dasan GPON Router Authentication Bypass”, mely világszerte a szerveztek 42%-ánál jelent meg. Az „OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)” a harmadik helyre került, globális jelenléte 36%.
2020 szeptemberének top három kártékony programcsaládja:
*A nyilak a helyezés előző hónaphoz képesti változását jelzik.
A hónap során az Emotet tartotta első helyét, világszerte a szervezetek 14%-ánál volt jelen, ezt követi szorosan az Trickbot és a Dridex, mindkettő a szerveztek 3%-ánál jelent meg.
1. Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam e-mailekkel terjed.
2.↑ Trickbot – Folyamatosan frissített domináns banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni.
3.↑ Dridex – Windows PC-ket támadó banki trójai. Spam kampányokkal és Exploit Kit-ekkel terjed, WebInject-ek (olyan káros konfigurációs beállítások, melyek hamisított adatokat fecskendeznek be az adott baki webes felületre, hogy ezek segítségével bizalmas adatokat tulajdoníthassanak el) segítségével fertőz és a banki adatokat egy, a támadó által irányított szerverre irányítja át. A Dridex kapcsolatba lép egy távoli szerverrel, ahova információkat küld a fertőzött rendszerről, de további modulokat is le tud tölteni és működtetni tud a távoli irányításhoz.
2020 szeptemberének top három sérülékenysége:
Ebben a hónapban az „MVPower DVR Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 46%-ánál jelent meg. Ezt követte az „Dasan GPON Router Authentication Bypass (CVE-2018-10561)” a maga 42%-ával, míg a „OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)” harmadik helyre került, világszerte 36%-ban volt jelen.
1.↑ MVPower DVR Remote Code Execution. Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.
2.↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – A Dasan GPOR routerek jogosulatlansággal összefüggő sérülékenysége. A sikeres kihasználása esetébe a távoli támadók érzékeny információkhoz férhetnek hozzá és jogosulatlanul hozzáférhetnek az érintett rendszerhez.
3.↑ OpenSSL TLS DTLS Heartbeat Information Disclosure – Az OpenSSL adatszivárgásos sérülékenysége, mely a TLS/DTLS heartbeat protokollhoz köthető. A támadó a csatlakozott kliens vagy szerver memóriatárához fér hozzá ezen sérülékenység kihasználásával.
2020 szeptemberének top három rosszindulatú mobil családja:
Ebben a hónapban a xHelper volt a legelterjedtebb program, őt követte a Xafecopy és a Hiddad.
1. xHelper. A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
2. Xafekopy. A Battery Master-hez hasonló, hasznos app-oknak álcázva megjelenő trójai, mely titokban kártékony kódot tölt le az eszközre. Az app aktiválásakor a Xafecopy WAP-ot (Wireless Application Protocol) – olyan mobil fizetési formát, mely közvetlenül a felhasználó mobiltelefon számlájára terhel – használó weboldalakra klikkel.
3. Hiddad. Az Android alapú kártevő program újracsomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis naponta több mint 2,5 milliárd weboldalt és 500 millió file-t ellenőriz; 250 milliónál is több kártékony tevékenységet azonosít be minden egyes nap.