Az elmúlt hónap legveszélyesebb rosszindulatú programjai
A Check Point Software Technologies Ltd., a cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research kiadta 2020 júniusára vonatkozó, Global Threat Index elemzését. Az elmúlt hónap során a Phorpiex botnet az Avaddon zsarolóprogramot közvetítette, ami egy új, június elején, rosszindulatú spam kampányokban felbukkant zsarolóvírus-mint-szolgáltatás (RaaS) variáns – ennek eredményeképp a tizenharmadikról a második helyre ugrott a rosszindulatú programok top listáján és májushoz képest világszerte megduplázta hatását.
Amint azt a Check Point kutatói már korábban is jelezték, a Phorpiex széleskörű, úgynevezett Sextortion spam kampányokat és más rosszindulatú programcsaládokat terjeszt. A Phorpiex által terjesztett legújabb rosszindulatú spam üzenetek arra próbálják rávenni a címzetteket, hogy az email tárgymezőjében található kacsintó emoji ikonra klikkelve nyissanak meg egy zip file csatolmányt. Ha a felhasználó a file-ra klikkel, aktiválódik az Avaddon zsarolóprogram, összekavarja a gépen az adatokat és pénzt követel a file titkosítás feloldásáért. 2019-es kutatásában a Check Point egy milliónál is több Phorpiex fertőzött Windows-os képet talált. A kutatók becslése szerint a Phorpiex botnet éves szinten mintegy 500.000 USD bevételt generál a bűnözők számára.
Ezzel párhuzamosan, az Agent Tesla távoli hozzáférést alkalmazó trójai és információ-tolvaj program továbbra is tarol, májusi második helyéről az elsőre került, míg az XMRig crypto-bányász program második hónapja tartja magát a top lista harmadik helyén.
„Korábban a Trik néven is ismert Phorpiex más rosszindulatú programokat terjesztett, mint például a GandCran-t, a Pony-t vagy a Pushdo-t. A host gépeket crypto-valuta bányászatára vagy Sextortion cyber-támadásokra használta,” - mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója. „A szervezeteknek meg kellene tanítaniuk az alkalmazottjaiknak hogyan azonosíthatják be azokat a rosszindulatú spameket, melyek ezeket a fenyegetéseket hordozzák, mint például az a legutóbbi, melyben a felhasználókat kacsintó emoji ikont tartalmazó e-mailekkel vették célba. Ugyanakkor olyan biztonsági megoldásokat kell használniuk, melyek aktívan védik őket hálózataik fertőződésétől.”
A kutatócsoport arra is figyelmeztet, hogy az „OpenSSL TLS DTLS Heartbeat Information Disclosure” a legáltalánosabban elterjedt sérülékenység, melyet a bűnözők kihasználnak: világszerte a szervezetek 45%-ánál jelentek meg problémák. A „Web Server Exposed Git Repository Information Disclosure” továbbra is a harmadik helyen van, 38%-os a globális jelenléte.
2020 májusának top három rosszindulatú programcsaládja: (A nyilak a helyezés előző hónaphoz képesti változását jelzik.)
A hónap során az Agent Tesla az első helyre lépett, világszerte a szervezetek 3%-ánál jelent meg, ezt követi az Phorpiex és az XMRig, mindkettő a szerveztek 2%-ánál jelent meg.
1.↑ Agent Tesla – Távoli hozzáférés trójai (RAT), mely billentyűzet-leütés naplózással és adatlap lopással figyeli és gyűjti be az áldozat billentyűzetén bevitt vagy a vágólapra helyezett adatokat, képernyőképeket és a legkülönbözőbb, az áldozat gépére telepített software-ekhez (köztük Google Chrome, Mozilla Firefox és Microsoft Outlook email kliens) tartozó meghatalmazásokat.
2.↑ Phorpiex – Más rosszindulatú programcsaládok spam kampányokkal való terjesztéséről és széleskörű Sextortion támadások futtatásáról ismert botnet.
3.↔ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak.
2020 júniusának top három sérülékenysége:
Ebben a hónapban az „OpenSSL TLS DTLS Heartbeat Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 45%-ánál jelent meg. Szorosan követte az „MVPower DVR Remote Code Execution” a maga 44%-ával, míg a „Web Server Exposed Git Repository Information Disclosure” harmadik helyét megőrizve, 38%-ban volt jelen.
1.↑ OpenSSL TLS DTLS Heartbeat Information Disclosure – Az OpenSSL adatszivárgásos sérülékenysége, mely a TLS/DTLS heartbeat protokollhoz köthető. A támadó a csatlakozott kliens vagy szerver memóriatárához fér hozzá ezen sérülékenység kihasználásával.
2.↓ MVPower DVR Remote Code Execution. Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.
3.↔ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
2020 májusának top három rosszindulatú mobil családja:
Ebben a hónapban a Necro volt a legelterjedtebb program, őt követte a Hiddad és a Lotoor.
1. Necro. Android alapú trójai hordozó. Más rosszindulatú programokat tud letölteni, tolakodó hirdetéseket mutat és előfizetésekkel lop pénzt.
2. Hiddad. Az Android alapú kártevő program újracsomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.
3. Lotoor. Az Android operációs rendszer sérülékenységeit kihasználva root jogosultságokra szert tevő, hack eszköz.
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis naponta több mint 2,5 milliárd weboldalt és 500 millió file-t ellenőriz; 250 milliónál is több kártékony tevékenységet azonosít be minden egyes nap.
A kártékony programcsaládok teljes, 2020. májusi Top 10 listája megtalálható a Check Point Blogon.
A Check Point fenyegetésekkel szembeni védelmi forrásainak elérhetősége: http://www.checkpoint.com/threat-prevention-resources/index.html
Kapcsolódó cikkek
- A Check Point szerint a Fireball és a WannaCry négyből egy szervezetre van hatással világszerte
- Az Infinity SOC lehetővé teszi a cyber-támadások gyors és pontos kezelését
- Biztonságban az ipari vezérlőrendszerek és kritikus infrastruktúrák
- Ingyenes online kurzusok a cyber-biztonsági szakemberek számára
- Ingyenesen letölthető biztonsági bővítmény a Chrome böngészőhöz
- A Check Point Software Technologies 2018-as pénzügyi eredményei
- Az elmúlt évben jelentősen elszaporodtak a crypto-bányász programok
- A Check Point magas szintű, gépi tanuláson alapuló védelmi megoldással erősíti portfolióját
- A Forrester Research végpont-biztonsági jelentésében a Check Point Software a vezető vállalatok között szerepel
- Az elmúlt hónap legveszélyesebb rosszindulatú programjai