Prim Hírek

Az Emotet egy fejlett, önmagát hirdető, moduláris trójai, mely a jelenlét fenntartására különböző módszereket, a lebukás elkerülésére pedig kitérő technikákat alkalmaz. Tavaly novemberi visszatérése óta, illetve a Trickbot leállításával kapcsolatos hírek nyomán, az Emotet megerősítette vezető pozícióját a leggyakrabban előforduló kártékony programok között. A hónap során a helyzet fokozódott, ahogy sok agresszív e-mail kampány terjesztette a botnetet, köztük számos húsvét-tematikájú, az ünnepek körüli felhajtást kihasználó adathalász scam. Ezen levelek világszerte megjelentek, az egyik például azzal a címmel, hogy „Buona Pasqua, happy easter” (Kellemes húsvétot!) – a csatolmány egy Emotetet tartalmazó kártékony XLS file volt. 

Március hónapban az Agent Tesla továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el, a lista második helyén bukkant fel, miután az előző hónapban még a negyedik helyen szerepelt. Az Agent Tesla előtérbe kerülése több új spam kampány megjelenésének a következménye, melyek kártékony xlsx/pdf file-okkal terjesztették világszerte a RAT-ot. Ezek közül több is az orosz-ukrán háborút kihasználva vezette félre áldozatait. 

„Az elmúlt évek során a technológia olyan szintre fejlődött, hogy a cyber-bűnözőknek egyre inkább az emberek bizalmára kell alapozniuk ahhoz, hogy be tudjanak jutni a vállalati hálózatokba. A húsvéti ünnepekhez hasonló időszakok körüli felhajtást kihasználva tematizálják az adathalász e-maileket, és ráveszik az embereket, hogy az Emotethez hasonló, kártékony programokat tartalmazó csatolmányokat töltsenek le. A húsvét nem az egyetlen ünnep, a cyber-bűnözők nagyon hasonló módszereket fognak alkalmazni a jövőben is,” – mondta Maya Horowitz, a Check Point Software kutatásért felelős elnök-helyettese. „Március során azt is tapasztaltuk, hogy az Apache Log4j megint a leggyakrabban kihasznált sérülékenység lett. Még azután is, hogy a tavalyi év végén oly sokat beszéltünk róla, kárt okoz ma is, hónappokkal a beazonosítását követően. A szervezeteknek azonnal cselekedniük kell annak érdekében, hogy ne történjenek további támadások.”

A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás továbbra is az oktatási-kutatási szektor ellen történt, ezt követte a kormányzat/hadsereg és az ISP/MSP területe. A „Web Server Exposed Git Repository Information Disclosure” volt a második leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 26%-ánál jelent meg, miközben a vezetést átvette az „Apache Log4j Remote Code Execution””, mely a szervezetek 33%-ánál bukkant fel. Harmadik helyen maradt továbbra is a „HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)”, globális hatása 26%.

2022. március top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során az Emotet tartotta magát az élen, világszerte a szervezetek 10%-ánál volt jelen, ezt követte az Agent Testla és az XMRig, mindkettő a szervezetek 2%-ánál jelent meg.

1.↔ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.

2.↑ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és Microsoft Outlook) érkező személyi adatokat.

3.↑ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak.

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kormányzat/hadsereg

3. ISP/MSP

2022. március top három sérülékenysége:

Ebben a hónapban az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 33%-ánál jelent meg; a „Web Server Exposed Git Repository Information Disclosure” visszaesett a második helyre, a szervezetek 26%-ánál bukkant fel. Harmadik helyen áll a „HTTP Headers Remote Code Execution”, globális hatása 26%.

1.↑ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren. 

2.↓ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és tetszőleges kódot futtathat az áldozat gépén.

2022. március top három rosszindulatú mobil családja:

Ebben a hónapban az AlienBot a legelterjedtebb program, őt követte az xHelper és a FluBot.

1. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.

2. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.

3. FluBot Az Android alapú kártékony botnet, mely adathalász SMS üzenetekkel terjed, gyakran logisztikai brandeket megszemélyesítve. Ha a felhasználó ráklikkel az üzenetben foglalt linkre, a FluBot installálódik és hozzáfér a telefonon tárolt érzékeny információkhoz.

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

A kártékony programcsaládok teljes 2022. márciusi Top 10 listája megtalálható a Check Point Blogon.