Prim Hírek

A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 szeptemberére vonatkozó Global Threat Index elemzését. A jelentés szerint továbbra is a Formbook a leggyakrabban előforduló kártékony program, világszerte a szervezetek 3%-ánál jelent meg, míg a Vidar a nyolcadik, ami azt jelenti, hogy hét helyet ugrott augusztusi pozíciójához képest.

A Vidar egy információtolvaj program, melyet arra terveztek, hogy ’backdoor’ (hátsó ajtó) hozzáférést adjon a fenyegetéseket indítóknak, ezzel lehetővé téve számukra az érzékeny banki információkhoz, belépési jogosultságokhoz, IP-címekhez, böngésző előzményekhez és kripto pénztárcákhoz való hozzáférést a fertőzött eszközökről. Jelenléte egy olyan kártékony kampányt követően ugrott meg, melyben hamis Zoom web site-ok szerepeltek, mint például a zoomus[.]website és a zoom-download[.]space – ezekkel próbálták rávenni a vétlen felhasználókat a kártékony program letöltésére. Ugyanakkor a Formbook nevű Windows OS-re specializálódott információtolvaj továbbra is az első helyen szerepel. 

Az orosz-ukrán háború kirobbanása óta a CPR folyamatosan monitorozza a cybertámadások hatását a két érintett országban. A konfliktus élesedésével párhuzamosan, a CPR szeptemberi jelentése szignifikáns változásról számol be több kelet-európai ország „fenyegetettségi szintje” kapcsán is. A fenyegetettségi szint azt mutatja meg, hogy egy bizonyos országban egy adott szervezetet milyen mértékben érnek támadások a világ más részeihez képest. Szeptember hónapban Ukrajna 26 helyet ugrott feljebb, Lengyelország és Oroszország egyaránt 18 helyet, míg Litvánia és Lengyelország 17-et. Ezek az országok jelenleg a 25 leginkább fenyegetett ország között vannak, rangsorolásukban a legnagyobb romlás az elmúlt hónap során történt. 

„Ahogyan a háború folytatódik a terepen, ugyanez történik a cybertérben is. Valószínűleg nem véletlen, hogy számos kelet-európai ország fenyegetettségi szintje épp az elmúlt hónap során ugrott meg. Minden szervezet veszélyben van, még azelőtt át kell állni megelőzés alapú cyberbiztonsági stratégiára, hogy késő lenne,” – mondta Maya Horowitz, a Check Point kutatási elnök-helyettese. „A szeptember hónapban leggyakrabban előforduló kártékony programok tekintetében, érdekes jelenség a Vidar felkerülése a top tízes listára ilyen hosszú távollét után. A Zoom felhasználóknak óvatosnak kell lenniük, mivel az utóbbi időben a Vidar kártékony linkekkel terjed. Mindig figyelni kell az URL-ekben megjelenő következetlenségekre és hibásan betűzött szavakra. Ha valami gyanúsnak tűnik, valószínűleg az is.”

A CPR arra is felhívta a figyelmet, hogy ebben a hónapban a „Web Server Exposed Git Repository Information Disclosure” visszatért az első helyre a leggyakrabban kihasznált sérülékenységek listáján (a szervezetek 43%-ánál bukkant fel); szorosan követi az „Apache Log4j Remote Code Execution”, mely ezzel az első helyről került a másodikra, világszerte a szervezetek 42%-ánál jelent meg. Szeptemberben az Oktatás/kutatás szektor maradt az első helyen a legtöbb támadást tapasztaló iparágak listáján. 

2022. szeptember top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képest történt változását jelzik.

A hónap során a Formbook maradt a legelterjedtebb kártékony program, világszerte a szervezetek 3%-ánál volt jelen, ezt követte az XMRig és az Agent Tesla, mindkettőnek a globális jelenléte 2% volt.

1.↔ Formbook – 2016-ban beazonosított, Windows OS-t támadó információ tolvaj. Az underground hacker fórumokon szolgáltatásalapú támadási eszközkészletként (MaaS) kínálják, mely kivételes behatolási technikákkal bír és viszonylag alacsony az ára. A különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.

2.↑ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak. A fenyegetéseket indítók ezen nyílt forráskódú software-t integrálják a kártékony programjukba, majd így indítanak illegális bányászatot az áldozat eszközein. 

3.↓ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és a Microsoft Outlook email kliens) érkező személyi adatokat.

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kormányzat/hadsereg

3. Egészségügy

2022. szeptember top három sérülékenysége:

Ebben a hónapban a „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, világszerte a vállalatok 43%-ánál jelent meg. Ezt követte az „Apache Log4j Remote Code Execution”, a szervezetek 42%-ánál bukkant fel. Harmadik helyre ugrott a „Command Injection Over HTTP”, globális hatása 40%.

1.↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

2.↓ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.

3.↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Egy távoli támadó úgy használhatja ki ezt a sérülékenységet, hogy különösen fortélyos kérést küld az áldozatnak, és ha sikert ér el, káros kódot tud futtatni a célgépen. 

2022. szeptember top három, mobil eszközöket támadó kártékony programcsaládja:

Ebben a hónapban az Anubis ugrott az élre mint a legelterjedtebb program, őt követte a Hydra és a Joker.

1. Anubis – Android mobiltelefonokra tervezett banki trójai program. Felbukkanása óta újabb funkciókkal bővült, köztük távoli hozzáférés trójai (RAT), billentyűzet naplózó (keylogger), hangrögzítés, illetve különböző zsarolóprogram jellemzők. Több száz különböző, a Google Store-ban elérhető alkalmazásban fedezték fel.

2. Hydra – Banki trójai, melyet pénzügyi jogosultságok eltulajdonítására terveztek – veszélyes engedélyek kiadását kéri az áldozatoktól.

3. Joker – Android Spyware, mely a Google Play-ben működik. SMS üzenetek, kontaktlisták és eszközinformációk eltulajdonítására tervezték. Mindezek mellett, prémium szolgáltatásokra tudja előfizetni áldozatát annak beleegyezése nélkül. 

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

A kártékony programcsaládok teljes szeptemberi toplistája megtalálható a Check Point blogon.