A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research kiadta legújabb, 2021 februárjára vonatkozó Global Threat Index elemzését. A kutatók jelentése alapján a Trickbot trójai első alkalommal került vezető pozícióba – januárban még a harmadik helyen állt a kártékony programok listáján.
Az Emotet botnet januári leállítását követően, a Check Point kutatói arról számoltak be, hogy a cyber-bűnözők csoportjai folytatják más fenyegetések alkalmazását, olyan kártékony programokkal, mint a Trickbot, káros tevékenységüket új technikákra alapozva. Február hónap során a Trickbotot olyan kártékony spam kampányon keresztül terjesztették, melyek a jogi és biztosítási szektor felhasználóit vették rá, hogy töltsenek le egy .zip archív file-t asztali gépükre, mely kártékony JavaScript-et tartalmazott. Megnyitást követően a file egy következő kártékony csomagot kísérel meg letölteni egy távoli szerverről.
2020-ban a Trickbot volt világszerte a negyedik legelterjedtebb kártékony program, a szervezetek 8%-ánál jelent meg. Kulcsszerepet játszott az év egyik legnagyobb horderejű és legköltségesebb cyber-támadásában, mely a Universal Health Services (UHS – vezető amerikai kórházi és egészségügyi szolgáltató holdingtársaság) ellen irányult. Az UHS-t a Ryuk zsaroló programmal támadták meg, és azt nyilatkozták, hogy ez 67 millió dollár kárt okozott nekik, ami bevételkiesésben és költségekben jelentkezett. A támadók Trickbotot használtak ahhoz, hogy adatokat keressenek és szedjenek ki az UHS rendszereiből, majd zsaroló támadást indítsanak.
„A bűnözők a továbbiakban is használják a létező fenyegetéseket és eszközöket, melyekhez hozzá tudnak férni. A Trickbot népszerűségének oka rugalmassága és az, hogy már bizonyított a korábbi támadások során,” - mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója. „Amint azt gyanítottuk, még akkor is, ha egy fontos fenyegetést kivonunk a forgalomból, sok másik megmarad, melyek továbbra is nagy kockázatot jelentenek világszerte a hálózatok számára. Ennek megfelelően a szervezeteknek robusztus biztonsági rendszerekkel kell bírniuk annak érdekében, hogy képesek legyenek megvédeni hálózataikat és minimalizálni tudják a kockázatokat. Az alkalmazottak átfogó képzése is meghatározó fontosságú, képesnek kell lenniük a Trickbot és más kártékony programok által terjesztett rosszindulatú e-mailek beazonosítására.”
A Check Point Research arra is felhívta a figyelmet, hogy a „Web Server Exposed Git Repository Information Disclosure” a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 48%-ánál jelent meg. Ezt követi a „HTTP Headers Remote Code Execution (CVE-2020-13756)”, mely a szervezetek 46%-ánál bukkant fel. Harmadik helyen áll a „MVPower DVR Remote Code Execution”, globális hatása 45%.
2021. február top három kártékony programcsaládja:
*A nyilak a helyezés előző hónaphoz képesti változását jelzik.
A hónap során a Trickbot az első helyre került, világszerte a szervezetek 3%-ánál volt jelen, ezt követi szorosan az XMRig és a Qbot, mindkettő a szerveztek 3%-ánál jelent meg.
1.↑ Trickbot – Folyamatosan frissített, domináns banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni.
2.↑ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak.
3.↑ Qbot – Banki trójai program, mely 2008-ban jelent meg első alkalommal, arra tervezték, hogy banki és billentyűzet-leütés adatokat tulajdonítson el. Sok esetben spam e-mailekkel terjesztik, számos anti-VM, visszafejtés-akadályozó (anti-debugging) és anti-sandbox technikákat alkalmaz annak érdekében, hogy megakadályozza az elemzést és elkerülje a leleplezést.
2021. február top három sérülékenysége:
Ebben a hónapban az „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 48%-ánál jelent meg. Ezt követte az „HTTP Headers Remote Code Execution (CVE-2020-13756)” a maga 46%-val és az „MVPower DVR Remote Code Execution” 45%-kal.
1.↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
2.↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.
3.↓ MVPower DVR Remote Code Execution – Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.
2021. február top három rosszindulatú mobil családja:
Ebben a hónapban a Hiddad maradt a legelterjedtebb program, őt követte az xHelper és a FurBall.
1. Hiddad. Az Android alapú kártevő program újracsomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.
2. xHelper. A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
3. FurBall. Android MRAT (Mobile Remote Acces Trojan), melyet az APT-C-50, az iráni kormányhoz köthető APT-csoport alkalmaz. 2017-ben számos kampányban használták ezt a kártékony programot, és még most is aktív. A FurBall tud többek között SMS üzeneteket, hívásnaplókat, hang- és hívásfelvételeket, média file-okat, helymeghatározási információkat lopni,
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis naponta több mint 3 milliárd weboldalt és 600 millió file-t ellenőriz; 250 milliónál is több kártékony tevékenységet azonosít be minden egyes nap.
A kártékony programcsaládok teljes 2021. februári Top 10 listája megtalálható a Check Point Blogon.