2022. február legveszélyesebb kártékony programjai

forrás: Prím Online, 2022. március 19. 10:01

A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 februárjára vonatkozó Global Threat Index elemzését. Az Emotet maradt a leggyakrabban előforduló kártékony program, világszerte a szervezetek 5%-ánál jelent meg, míg a Trickbot még lejjebb került, a lista hatodik helyére. A Log4j továbbra is problémát jelent, világszerte a szervezetek 47,4%-ánál bukkant fel, miközben az oktatás/kutatás maradt a támadásoknak leginkább kitett terület.

A Trikbot botnet és banki trójai pénzügyi és felhasználói fiók adatokat, valamint személyi azonosításra alkalmas információkat tud ellopni, ugyanakkor a hálózaton elterjedve zsaroló programokat helyezhet el. 2021 során hét alkalommal vezette a leggyakrabban előforduló kártékony programok listáját. Azonban az elmúlt hetekben a Check Point Research nem találkozott újabb Trickbot kampánnyal, így a kártékony program a lista hatodik helyére csúszott le. Ennek részben az lehet az oka, hogy a Trickbot tagok csatlakoztak a Conti zsarolóprogram csoporthoz, amint az a legutóbbi Conti adatszivárgás alapján feltételezhető.

 

Ebben a hónapban a CPR azt tapasztalta, hogy a cyber-bűnözők elkezdték kihasználni az orosz-ukrán konfliktust, melyhez kapcsolódva próbálnak rávenni embereket a kártékony csatolmányok letöltésére. Február hónap leggyakoribb kártékony programja, az Emotet is épp ezt tette, olyan kártékony file-okat tartalmazó e-mailekkel, melyeknek a tárgya az volt, hogy „Recall: Ukraine-Russia Military conflict: Welfare of our Ukrainian Crew member” (Ukrán-orosz konfliktus: ukrán csapattagunk szociális helyzete”)

 

„Azt tapasztaljuk, hogy számos kártékony program, köztük az Emotet is, kihasználja az orosz-ukrán konfliktusra irányuló közérdeklődést, és a témához kapcsolódó e-mail kampányok indításával próbálja meg rávenni az embereket a kártékony csatolmányok letöltésére. Nagyon fontos minden alkalommal ellenőrizni, hogy az e-mailt küldő címe autentikus, figyelni kell az elütésekre, és soha nem szabad ráklikkelni csatolmányokra vagy linkekre egészen addig amig nem győződtünk meg azok biztonságosságáról.” – mondta Maya Horowitz, a Check Point Software kutatási elnök-helyettese. 

 

A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás továbbra is az oktatási-kutatási szektor ellen történt, ezt követte a kormányzat/hadsereg és az ISP/MSP területe. A „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 46%-ánál jelent meg. Ezt követi az „Apache Log4j Remote Code Execution”, mely a szervezetek 44%-ánál bukkant fel. Harmadik helyen maradt továbbra is a „HTTP Headers Remote Code Execution”, globális hatása 41%.

 

 

2022. február top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során az Emotet tartotta magát az élen, világszerte a szervezetek 5%-ánál volt jelen, szorosan követte a Formbook, mely a szervezetek 3%-ánál, a Glupteba pedig 2%-ánál jelent meg.

1.↔ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.

2.↑ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.

3.↑ Glupteba – Egy olyan „backdoor” („hátsó ajtó”), mely folyamatosan botnetté fejlődött. 2019-ben tartalmazott egy C&C cím update mechanizmust a publikus BitCoin listákhoz, integrált böngésző tolvaj képességet és „router exploit”-ot (azaz képes volt kihasználni a routerek esetleges gyári hibáit).

 

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kormányzat/hadsereg

3. ISP/MSP

 

2022. február top három sérülékenysége:

Ebben a hónapban az „ Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 46%-ánál jelent meg. Ezt követi a „ Apache Log4j Remote Code Execution”, mely a szervezetek 44%-ánál bukkant fel. Harmadik helyen áll a „HTTP Headers Remote Code Execution”, globális hatása 41%.

1.↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

2.↓ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.

3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és tetszőleges kódot futtathat az áldozat gépén.

 

2022. február top három rosszindulatú mobil családja:

Ebben a hónapban az XLoader a legelterjedtebb program, őt követte az xHelper és az AlienBot.

1. XLoader – Android spyware és banki trójai program, melyet a Yanbian Gang kínai hacker csoport fejlesztett ki. A kártékony program DNS pózolást használ a fertőzött Android app-ok terjesztéséhez, így gyűjt személyes és pénzügyi információkat.

2. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.

3. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.

 

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

 

A kártékony programcsaládok teljes 2022. februári Top 10 listája megtalálható a Check Point Blogon