A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2021 decemberére vonatkozó Global Threat Index elemzését. A hónap során az Apache Log4j sérülékenység végigsöpört az Interneten, miközben a kutatók jelentése alapján a Trickbot továbbra is a leggyakrabban előforduló kártékony program, annak ellenére, hogy némiképp csökkent a jelenléte 4%-ra (a novemberi 5%-hoz képest). A közelmúltban újra felbukkant Emotet mindeközben gyorsan a második helyre ugrott a novemberi hetedikről. A CPR jelentés arról is beszámol, hogy továbbra is az oktatás/kutatás a támadásoknak leginkább kitett terület.
2021 utolsó hónapjában az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a szervezetek 48,3%-nál volt jelen. Ezt a sérülékenységet első alkalommal december 9-én jelentették az Apache naplózó szoftverében található Log4j-ben – ez a legkedveltebb Java naplózó könyvtár, melyet számos Internet szolgáltató és app használ, a GitHub projektjéből 400.000-nél is többször töltötték le. A sérülékenyég új csapást okozott, mely világszerte a vállalatok majd felét érintette, rendkívül rövid időn belül. A támadók a sérülékeny alkalmazásokon keresztül bejutva kriptovaluta bányászprogramokat (cryptojacker) és más kártékony programokat futtatnak a kompromittált szervereken. Eddig a támadók jelentős része kriptovaluta bányászatra fókuszált, azonban a képzettebb hackerek agresszívabbá váltak és a kiváló minőségű célpontokon jelentkező réseket is elkezdték kihasználni.
„Decemberben a Log4j-vel voltak tele a szalagcímek. Ez a valaha tapasztalt legkomolyabb sérülékenység, figyelembe véve a kijavításának összetettségét és, hogy könnyű kihasználni, valószínűleg évekig velünk marad, hacsak a vállalatok nem tesznek azonnali lépéseket a megállítása érdekében,” - mondta Maya Horowitz, a Check Point Software kutatási elnök-helyettese. „Ugyanebben a hónapban tanúi lehettünk, hogy az Emotet botnet a leggyakrabban előforduló kártékony programok listájának hetedik helyéről a másodikra ugrott. Ahogyan azt gyanítottuk, nem kellett sok idő az Emotet számára, hogy újbóli felbukkanását követően, gyorsan megvesse lábát. Nagyon ügyes és gyorsan terjed a kártékony csatolmányokat vagy linkeket tartalmazó adathalász e-mailekkel. Minden korábbinál fontosabbá vált a robusztus e-mail biztonsági megoldások használata és, hogy a felhasználók biztosan képesek legyenek beazonosítani a gyanús üzeneteket vagy csatolmányokat.”
A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás az oktatási-kutatási szektor ellen történt, ezt követte a kormányzat/hadsereg és az ISP/MSP területe. Az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 48,3%-ánál jelent meg. Ezt követi a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 43,7%-ánál bukkant fel. Harmadik helyen maradt továbbra is a „HTTP Headers Remote Code Execution”, globális hatása 41,5%.
2021. december top három kártékony programcsaládja:
* A nyilak a helyezés előző hónaphoz képesti változását jelzik.
A hónap során a Trickbot tartotta első helyét, világszerte a szervezetek 4%-ánál volt jelen, ezt követi az Emotet és a Formbook, mindkettő a szervezetek 3%-ánál jelent meg.
1. ↔ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni.
2. ↑ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.
3. ↔ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.
A világszerte legtöbb támadást elszenvedő iparágak:
1. Oktatás/kutatás
2. Kormányzat/hadsereg
3. ISP/MSP
2021. december top három sérülékenysége:
Ebben a hónapban az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 48,3%-ánál jelent meg. Ezt követi a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 43,8%-ánál bukkant fel. Harmadik helyen áll a „HTTP Headers Remote Code Execution”, globális hatása 41,5%.
1.↑ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.
2.↔ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és tetszőleges kódot futtathat az áldozat gépén.
2021. december top három rosszindulatú mobil családja:
Ebben a hónapban az AlienBot a legelterjedtebb program, őt követte az xHelper és a FluBot.
1. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.
2. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
3. FluBot – Az Android alapú kártékony botnet, mely adathalász SMS üzenetekkel terjed, gyakran logisztikai brandeket megszemélyesítve. Ha a felhasználó ráklikkel az üzenetben foglalt linkre, a FluBot installálódik és hozzáfér a telefonon tárolt érzékeny információkhoz.
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki.
A kártékony programcsaládok teljes 2021. november Top 10 listája megtalálható a Check Point Blogon.