A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2021 októberére vonatkozó Global Threat Index elemzését. A kutatók jelentése szerint a Trickbot nevű moduláris botnet és banki trójai a leggyakoribb kártékony programok listájának élén maradt, világszerte a szervezetek 4%-ában jelent meg, míg az „Apache HTTP Server Directory Traversal” felkerült a leggyakrabban kihasznált sérülékenységek tízes listájára. A CPR jelentés arról is beszámol, hogy az oktatás/kutatás a támadásoknak leginkább kitett terület.
A Trickbot banki trójai pénzügyi és folyószámla adatok, valamint személyi azonosító információk eltulajdonítására képes, hálózatokon terjed és azokon zsaroló programokat helyez el. Az Emotet januári leállítása óta a Trickbot öt alkalommal került a leggyakoribb kártékony programok listájának első helyére. Folyamatosan új képességekkel, tulajdonságokkal és terjesztési vektorokkal frissítik, melyek lehetővé teszik, hogy több-funkciós kampányok részeként terjeszthető, rugalmas és testre szabható kártékony program legyen.
A hónap során egy új szereplő, az „Apache HTTP Server Directory Traversal” jelent meg a leggyakrabban kihasznált sérülékenységek listáján, a tizedik helyre került. Amikor első alkalommal jelent meg, az Apache fejlesztői javításokat adtak ki a CVE-2021-41773-re az Apache HTTP Server 2.4.5-en. Azonban, kiderült, hogy ez nem volt hatékony, és az útvonal-bejárási sebezhetőség továbbra is ott van az Apache HTTP kiszolgálón. Ennek sikeres kihasználásával a támadó hozzáférhet az érintett rendszer tetszőleges file-jaihoz.
„Az Apache sebezhetősége október elején derült ki, és már most világszerte a tíz leggyakrabban kihasznált között van, ami jól mutatja milyen gyorsan reagálnak a támadók. A fenyegetéseket indítók útvonal-bejárási támadás indításával feltérképezik az URL-eket és a gyökérkönyvtáron kívüli területekről tudják elérni a file-okat,” - mondta Maya Horowitz, a Check Point Software kutatásért felelős vezetője. „Nagyon fontos, hogy az Apache felhasználók rendelkezzenek a megfelelő védelmet nyújtó technológiával. Ebben a hónapban, a sokszor zsaroló programok elhelyezésére használt Trickbot, megint a leggyakrabban előforduló kártékony program volt. Világszinten minden hatvanegyedik szervezet heti szinten tapasztal zsaroló támadást. Ez egy döbbenetes adat – a vállalatoknak sokkal többet kell tenniük. Sok támadás egyetlen e-mail-el indul, tehát a szervezetek által alkalmazható egyik legfontosabb védelmi megoldás megtanítani a felhasználókat a potenciális fenyegetések felismerésére.”
A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás az oktatási-kutatási szektor ellen történt, ezt követte a kommunikáció és a kormányzat/hadsereg területe. A „Web Servers Malicious URL Directory Traversal” volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 60%-ánál jelent meg. Ezt követi a „ Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 55%-ánál bukkant fel. Harmadik helyen áll az „HTTP Headers Remote Code Execution”, globális hatása 54%.
2021. október top három kártékony programcsaládja:
*A nyilak a helyezés előző hónaphoz képesti változását jelzik.
A hónap során a Trickbot tartotta az első helyet, világszerte a szervezetek 4%-ánál volt jelen, ezt követi az XMRig és a Remcos, mindkettő a szervezetek 2%-ánál jelent meg.
1.↔ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni.
2.↑ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak.
3.↑ Remcos – A távoli hozzáférés trójai (RAT) 2016-ban jelent meg. Spam levelekhez csatolt, kártékony Microsoft Office dokumentumokon keresztül terjeszti önmagát, úgy tervezték, hogy át tudjon jutni a Microsoft Windows UAC biztonsági rendszerén és magasszintű jogosultságokkal bíró, kártékony programokat futtasson.
A világszerte legtöbb támadást elszenvedő iparágak:
1. Oktatás/kutatás
2. Kommunikáció
3. Kormányzat/hadsereg
2021. október top három sérülékenysége:
Ebben a hónapban a „Web Servers Malicious URL Directory Traversal” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 60%-ánál jelent meg. Ezt követi az „Command Injection Over HTTP”, mely a szervezetek 55%-ánál bukkant fel. Harmadik helyen áll a „HTTP Headers Remote Code Execution”, globális hatása 54%.
1.↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Különböző web-szervereken tapasztalt útvonal-bejárási sebezhetőség, aminek oka egy input validációs hiba egy olyan web-szerveren, mely nem megfelelően tisztítja az URL-t az útvonal-bejárási mintázatokhoz. Sikeres visszaélés esetén a jogosulatlan távoli támadók tetszőleges file-okat tehetnek közzé vagy érhetnek el a sebezhető kiszolgálón.
2.↓ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.
2021. október top három rosszindulatú mobil családja:
Ebben a hónapban is maradt az xHelper a legelterjedtebb program, őt követte az AlienBot és az XLoader.
1. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
2. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.
3. XLoader – Android spyware és banki trójai program, melyet a Yanbian Gang kínai hacker csoport fejlesztett ki. A kártékony program DNS pózolást használ a fertőzött Android app-ok terjesztéséhez, így gyűjt személyes és pénzügyi információkat.
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki.
A kártékony programcsaládok teljes 2021. októberi Top 10 listája megtalálható a Check Point Blogon.