2021. április legveszélyesebb kártékony programjai

forrás: Prím Online, 2021. május 31. 13:35

A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research kiadta legújabb, 2021 áprilisára vonatkozó Global Threat Index elemzését. A kutatók jelentése szerint az Agent Tesla első alkalommal jelent meg a listán, melyen egyből a második helyre került, míg a már jól ismert Dridex trójai a legelterjedtebb kártékony program maradt, miután márciusban az élre került.

Ebben a hónapban a Dridex, a Windows platformot megcélzó trójai, a QuickBooks Malspam kampánnyal terjedt: az adathalász e-mailek hamis fizetési értesítésekkel és számlákkal próbálták lépre csalni a felhasználókat. A levél tartalma a kártékony Microsoft Excel csatolmány letöltését kérte, mely Dridex-el fertőzhette meg a rendszert.

 

Ezt a kártékony programot gyakran használják a zsarolóvírus műveletek kezdeti fertőzési szakaszában, amikor a hackerek kódolják egy szervezet adatait és pénzt kérnek azért, hogy feloldják azt. Ezek a hackerek egyre gyakrabban alkalmaznak két fázisú zsarolási módszereket, melynek során érzékeny adatokat lopnak el egy adott szervezettől és azzal fenyegetnek, hogy az eltulajdonított adatokat közzé teszik, hacsak nem fizetnek nekik. A CPR márciusi jelentése szerint a zsarolóprogramokon alapuló támadások 57%-kal nőttek 2021 elején, azonban ez a trend folytatódott, míg végül 107%-os növekedést ért el az előző év hasonló időszakához képest. 

 

A közelmúltban, a Colonial Pipeline nevű, jelentős Egyesült Államokbeli üzemanyag vállalat esett áldozatául ilyen jellegű támadásnak, míg becslések szerint 2020-ban világszerte a vállalatoknak körülbelül 20 milliárdos kárt okoztak a zsaroló-programok – ez a szám majd 75%-kal magasabb mint 2019-ben volt. 

 

Az Agent Tesla első alkalommal került fel a kártékony programok listájának második helyére: ez egy továbbfejlesztett RAT (távoli hozzáférés trójai), mely 2014 óta aktív, billentyűzet-leütés adatokat és jelszavakat lop el. Figyeli és összegyűjti az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és Microsoft Outlook e-mail kliens) érkező személyi adatokat. Ebben a hónapban nőtt a kártékony spam-ekkel terjedő Agent Tesla kampányok száma. Az e-mail tartalma egy file (bármilyen típus lehet) letöltését kéri, ami azt eredményezheti, hogy a rendszer Agent Tesla-val fertőződik meg. 

 

„Tekintve, hogy világszerte a zsaroló-programokhoz köthető támadások óriási növekedését tapasztaljuk, nem meglepő, hogy ennek a hónapnak a kártékony programokat tartalmazó toplistája is illeszkedik ehhez a trendhez. Globális szinten átlag minden tizedik másodpercben egy szervezet zsaroló-program támadás áldozatául esik,” - mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója. „Az utóbbi időben a kormányzatok számos jelzést kaptak annak kapcsán, hogy többet kellene tenniük az ügyben, azonban semmi jel nem mutat a helyzet rendeződésére. Minden szervezetnek ismernie kell a kockázatokat és biztosítani kell, hogy a megfelelő megoldásokkal rendelkezzen a zsaroló-vírusok ellen. Az alkalmazottak átfogó képzése alapvető annak érdekében, hogy fel legyenek vértezve mindazon készségekkel, melyekre szükség van a Dridex-et és más kártékony programokat terjesztő e-mail típusok beazonosításához, tekintve, hogy a zsaroló-programon alapuló visszaélések ezekkel indulnak.”

 

A Check Point Research arra is felhívta a figyelmet, hogy a „Web Server Exposed Git Repository Information Disclosure” a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 46%-ánál jelent meg. Ezt követi a „HTTP Headers Remote Code Execution (CVE-2020-13756)”, mely a szervezetek 45,5%-ánál bukkant fel. Harmadik helyen áll a „MVPower DVR Remote Code Execution”, globális hatása 44%.

 

 

2021. április top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során a Dridex tartotta első helyét, világszerte a szervezetek 15%-ánál volt jelen, ezt követi az AgentTesla és a Trickbot, előbbi a szerveztek 12%-ánál, utóbbi a 8%-ánál jelent meg.

1. ↔ Dridex – Windows platformot támadó banki trójai, mely a jelentések szerint spam e-mailek csatolmányaként terjedve töltődik le. A Dridex kapcsolatba lép egy távoli szerverrel, ahova információkat küld a fertőzött rendszerről, de további modulokat is le tud tölteni és működtetni tud a távoli irányításhoz.

2. ↑ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és Microsoft Outlook e-mail kliens) érkező személyi adatokat.

3. ↑ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni.

 

2021. április top három sérülékenysége:

Ebben a hónapban a „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 46%-ánál jelent meg. Ezt követi a „HTTP Headers Remote Code Execution (CVE-2020-13756)”, mely a szervezetek 45,5%-ánál bukkant fel. Harmadik helyen áll a „MVPower DVR Remote Code Execution”, globális hatása 44%.

1. ↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

2. ↓ HTTP Headers Remote Code Execution (CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.

3. ↓ MVPower DVR Remote Code Execution – Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.

 

2021. április top három rosszindulatú mobil családja:

Ebben a hónapban az xHelper vette át a legelterjedtebb program helyét, őt követte a Triada és a Hiddad. 

1. xHelper. A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.

2. Triada. Moduláris backdoor (hátsó ajtó) az Android eszközök számára, mely kiemelt felhasználói jogosultságokat ad a letöltött rosszindulatú programnak. 

3. Hiddad. Az Android alapú kártevő program újracsomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.

 

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis naponta több mint 3 milliárd weboldalt és 600 millió file-t ellenőriz; 250 milliónál is több kártékony tevékenységet azonosít be minden egyes nap.

 

A kártékony programcsaládok teljes 2021. áprilisi Top 10 listája megtalálható a Check Point Blogon