2021. november legveszélyesebb kártékony programjai
A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2021 novemberére vonatkozó Global Threat Index elemzését. A kutatók jelentése szerint a Trickbot tartja helyét a leggyakoribb kártékony programok listájának élén, világszerte a szervezetek 5%-ában jelent meg, miközben az Emotet újraéledt és a lista hetedik helyén jelent meg. A CPR jelentés arról is beszámol, hogy az oktatás/kutatás maradt a támadásoknak leginkább kitett terület.
Az Europol és több más bűnüldöző szervezet jelentős erőfeszítései ellenére, melyek eredményeképpen az év korábbi szakaszában sikeresen megállították terjedését, az Emotet november hónap során visszatért és gyorsan a hetedik leggyakrabban használt kártékony programmá vált. Ugyanakkor a Trickbot immáron hatodik hónapja áll a lista élén, és még az Emotet új verziójával is összefüggésbe hozható, mivel azt a Trickbot infrastruktúrájának használatával telepítik a fertőzött gépekre.
Az Emotet fertőzött Word, Excel és Zip file-okat tartalmazó adathalász e-mailekkel terjed, melyek az áldozat gépére telepítik a programot. A levelek érdekes címeket jelenítenek meg, például aktuális hírekkel, eseményekkel, vagy számlákkal és hamis vállalati emlékeztetőkkel próbálják rávenni az áldozatokat, hogy megnyissák őket. Az utóbbi időben az Emotet kártékony Windows App Installer csomagokkal is terjedni kezdett, melyek úgy tesznek mintha Adobe szoftverek lennének.
„Az Emotet a cyber-világ történetének egyik legsikeresebb botnetje: felelős a célzott zsaroló támadásoknak az utóbbi években tapasztalt robbanásszerű növekedéséért,” - mondta Maya Horowitz, a Check Point Software kutatási elnök-helyettese. „A botnet novemberi visszatérése komoly aggodalomra ad okot, mivel az ilyen típusú támadások további növekedését jelentheti. A tény, hogy a Trickbot infrastruktúráját használja, azt jelenti, hogy kevesebb időbe fog telni a világszerte működő hálózatokban való megjelenése. Mivel kártékony csatolmányokat tartalmazó, adathalász e-mailekkel terjed, kulcsfontosságú, hogy a felhasználói tudatosság növelése és az oktatás a vállalatok cyber-biztonsági prioritási listájának élén szerepeljen. És bárki, aki Adobe software-t akar letölteni, fontos, hogy kizárólag hivatalos csatornákon keresztül tegye azt, akárcsak minden más alkalmazás esetében.”
A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás az oktatási-kutatási szektor ellen történt, ezt követte a kommunikáció és a kormányzat/hadsereg területe. A „Web Servers Malicious URL Directory Traversal” volt ismételten a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 44%-ánál jelent meg. Ezt követi a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 43,7%-ánál bukkant fel. Harmadik helyen maradt a „HTTP Headers Remote Code Execution”, globális hatása 42%.
2021. november top három kártékony programcsaládja:
*A nyilak a helyezés előző hónaphoz képesti változását jelzik.
A hónap során a Trickbot tartotta első helyét, világszerte a szervezetek 5%-ánál volt jelen, ezt követi az Agent Tesla és a Formbook, mindkettő a szervezetek 4%-ánál jelent meg.
1.↔ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni.
2.↑ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és Microsoft Outlook) érkező személyi adatokat.
3.↑ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.
A világszerte legtöbb támadást elszenvedő iparágak:
1. Oktatás/kutatás
2. Kommunikáció
3. Kormányzat/hadsereg
2021. november top három sérülékenysége:
Ebben a hónapban a „Web Servers Malicious URL Directory Traversal” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 44%-ánál jelent meg. Ezt követi az „Command Injection Over HTTP”, mely a szervezetek 43,7%-ánál bukkant fel. Harmadik helyen áll a „HTTP Headers Remote Code Execution”, globális hatása 42%.
1.↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Különböző web-szervereken tapasztalt útvonal-bejárási sebezhetőség, aminek oka egy input validációs hiba egy olyan web-szerveren, mely nem megfelelően tisztítja az URL-t az útvonal-bejárási mintázatokhoz. Sikeres visszaélés esetén a jogosulatlan távoli támadók tetszőleges file-okat tehetnek közzé vagy érhetnek el a sebezhető kiszolgálón.
2.↔ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.
2021. november top három rosszindulatú mobil családja:
Ebben a hónapban az AlienBot a legelterjedtebb program, őt követte az xHelper és a FluBot.
1. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.
2. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
3. FluBot – Az Android alapú kártékony botnet, mely adathalász SMS üzenetekkel terjed, gyakran logisztikai brandeket megszemélyesítve. Ha a felhasználó ráklikkel az üzenetben foglalt linkre, a FluBot installálódik és hozzáfér a telefonon tárolt érzékeny információkhoz.
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki.
A kártékony programcsaládok teljes 2021. november Top 10 listája megtalálható a Check Point Blogon.
Kapcsolódó cikkek
- 2021. október legveszélyesebb kártékony programjai
- A cyber-bűnözők új lehetőségeket találnak 2022-ben
- A közösségi média felkerült az adathalász kampányok top listájára
- 2021. szeptember legveszélyesebb kártékony programjai: a Trickbot újra a lista élén
- 2021. augusztus legveszélyesebb kártékony programjai: a Formbook az élre tör
- A Check Point az Avanan akvizíciójával újra definiálja a felhő-alapú levelezés biztonságát
- 2021. július legveszélyesebb kártékony programjai
- Jelentősen növekedtek a szervezetek elleni cyber-támadások
- Az adathalászat által legjobban sújtott brand továbbra is a Microsoft
- 2021. június legveszélyesebb kártékony programjai