A Hancitor első alkalommal szerepel a Check Pointnak a világ öt legelterjedtebb rosszindulatú programját tartalmazó listáján
A Check Point Software Technologies Ltd. által kiadott, a szervezetek hálózataira legveszélyesebb zsarolóvírusokat vizsgáló felmérésének (Global Threat Index) februári kiadása szerint, első alkalommal került a Hancitor az első öt közé a legelterjedtebb rosszindulatú programok listáján.
A fertőzött eszközökre olyan, fizetést kikényszerítő alkalmazásokat, mint a banki trójai és rosszindulatú programokat telepítő letöltőprogram, az elmúlt hónap során több mint háromszorosára növelte globális hatását, és 22 hellyel került feljebb a listán. A Chanitor néven is ismert Hancitor, általában makróbarát Office dokumentumként érkezik olyan „fontos” üzenetekkel mint a hangposta üzenetek, faxok vagy számlák.
A bitcoin lopások során alkalmazott Kelihost összességében a legveszélyesebb rosszindulatú programcsaládnak jelölte meg a felmérés: világszerte a vállalatok 12%-át támadta meg. A 2010 óta aktív, rendkívül ellenálló Kelihos, eredetileg a pénzügyi piacok ingadozását meglovagoló, úgynevezett ‘pump and dump’ spam kampányként indult, és vált bérbe vehető botnetté, mely spamet küld bárkinek, aki hajlandó fizetni. Annak ellenére, hogy 2011-ben, majd egy évvel később ismételten sikerült megállítani, újra megjelent, és botnetként a csúcsra jutva tavaly augusztusban mindössze két nap alatt háromszorosára nőtt elterjedtsége. Jelenleg a Kelihos továbbra is a világ egyik legelterjedtebb spam terjesztő programjaként folytatja a növekedést: 300.000-nél is több gépet fertőzött meg, melyek mindegyike naponta akár 200.000 emailt képes küldeni.
Összességében a három vezető rosszindulatú programcsalád alapján megállapítható, hogy a hackerek a támadási vektorok és taktikák széles körét használják a vállalatok támadásai során. Ezen fenyegetések hatással vannak a fertőzési lánc minden részére, köztük a spam emailekre, melyeket a botnetek terjesztenek és a végül az áldozat gépén zsaroló- vagy trójai programokat elhelyező letöltőprogramokat tartalmaznak.
Februárban a három leggyakoribb rosszindulatú program között vezető helyen a Kelihos szerepelt, mely a szerveztek 12%-át fertőzte meg; őt követte a HackerDefender – 5%-ot fertőzött meg, és a Cryptowall, mely világszerte a vállalatok 4,5%-ára volt negatív hatással.
2017 februárjának legveszélyesebb rosszindulatú programjai:
- Kelihos – Elsősorban bitcoin lopásban és spamekben érintett botnet. Peer-to-peer kommunikációt használva, minden egyes résztvevőt Command & Control szerveri jogosultággal látja el.
- HackerDefender – Windows gépeket támadó rootkit, mellyel file-ok, folyamatok és rendszerleíró kulcsok rejthetők el, illetve backdoorokat (hátsó ajtó) és eszköz átirányítókat (port redirector) helyez el, melyek a meglévő szolgáltatások által megnyitott TCP portokon keresztül működnek
- Cryptowall – Eredetileg Cryptolocker doppelgängerként indult zsarolóprogram. A Cryptolocker eltávolítása után, a Cryptowall lett az egyik legjelentősebb rosszindulatú program. Az AES titkosításról és a Tor anonim hálózaton keresztül zajló C&C kommunikációról vált ismerté. Széles körben terjesztik exploit kiteken, rosszindulatú reklámokon és phising kampányokon keresztül.
A mobil rosszindulatú programok körében a Hiddad a januári harmadik helyéről feljebb lépett, és a legaktívabb variáns lett; őt követi a Hummingbad és a múlt hónapban még vezető Triada.
A tíz, februárban leggyakoribb rosszindulatú programcsalád teljes listája megtalálható a Check Point Blogján (angol nyelven): http://blog.checkpoint.com/2017/03/13/check-point-february-top-malware/
A három legveszélyesebb, mobil eszközöket támadó rosszindulatú program:
- Hiddad – Android eszközöket támadó, rosszindulatú program, mely újracsomagolja a legitim alkalmazásokat, majd kiadja őket egy harmadik félnek. Legfontosabb funkciója a hirdetések megjelenítése, ugyanakkor képes hozzáférést szerezni az operációs rendszerbe beépített, kulcsfontosságú biztonsági részletekhez, így lehetővé téve, hogy a támadó érzékeny felhasználói adatokhoz férjen hozzá.
- Hummingbad – Rosszindulatú Android program, mely perzisztens toolkitet helyez el az eszközön, csalásra irányuló alkalmazásokat telepít, és kisebb módosításokkal további rosszindulatú tevékenységeket tehet lehetővé, mint például egy key-logger telepítése, személyi azonosítók eltulajdonítása, vagy a nagyvállalatok által használt, titkosított, dedikált email konténereken való átjutás.
- Triada – Androidos eszközöket támadó moduláris backdoor (hátsó ajtó), mely kiemelt felhasználói jogosultságokat ad a letöltött rosszindulatú programnak, azáltal, hogy segíti beágyazódását a rendszerfolyamatokba. A tapasztalatok szerint, a Triada a böngészőben letöltött URLeket is be tudja csapni.
Nathan Shuchami, a Check Point fenyegetésekkel szembeni védelemért felelős vezetője hozzátette: „Bizonyos rosszindulatú programvariánsok használatának növekedése február során még tovább erősödött, ami felhívja a figyelmet azon kihívásokra, melyekkel az informatikai részlegeknek világszerte szembe kell nézniük. A szervezetek kiemelten fontos, hogy megfelelően fel legyenek szerelve a fenyegetések egyre növekvő számának kezelésére: ehhez a vállalati hálózatuk egészében fejlett biztonsági rendszereket kell alkalmazniuk, mint amilyen a Check Point SandBlast Zero-Day Protection és a Mobile Threat Prevention.”
A Check Point ThreatCloud Map alapja a Check Point’s ThreatCloud intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis több mint 250 millió címet (melyeket botok beazonosítása céljából elemez), 11 milliónál is több rosszindulatú aláírást és 5,5 millió feletti fertőzött weboldalt tartalmaz, illetve napi szinten több millió rosszindulatú programtípust azonosít be.
A Check Point fenyegetésekkel szembeni védelmi forrásainak elérhetősége: http://www.checkpoint.com/threat-prevention-resources/index.html
Kapcsolódó cikkek
- Az Acronis a CeBIT 2017-en mutatja be adatvédelmi megoldásait
- Vörös riasztás: veszélyben a fájlok!
- A Fujitsu „Identity as a Service” szolgáltatással fokozza ügyfelei biztonságát
- Rivális vállalkozások állhatnak a DDoS támadások mögött
- A Kaspersky Lab legújabb jelentése rávilágít a digitális káosz következményeire
- A Check Point elemzése szerint 2016 második felében megduplázódott a zsarolóprogramok köthető támadások száma
- Dropbox linkkel támad a TorrentLocker zsarolóprogram legújabb változata
- Kellemes női hangon beszélő zsarolóvírus csal ki pénzt Android felhasználóktól
- MacOS rendszereket támadó zsarolóvírusra figyelmeztet az ESET
- Az Acronis True Image 2017 New Generation megoldása nélkülözhetetlen, innovatív védelem a zsarolóvírusok ellen