Prim Hírek

2021 utolsó hónapjában az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a szervezetek 48,3%-nál volt jelen. Ezt a sérülékenységet első alkalommal december 9-én jelentették az Apache naplózó szoftverében található Log4j-ben – ez a legkedveltebb Java naplózó könyvtár, melyet számos Internet szolgáltató és app használ, a GitHub projektjéből 400.000-nél is többször töltötték le. A sérülékenyég új csapást okozott, mely világszerte a vállalatok majd felét érintette, rendkívül rövid időn belül. A támadók a sérülékeny alkalmazásokon keresztül bejutva kriptovaluta bányászprogramokat (cryptojacker) és más kártékony programokat futtatnak a kompromittált szervereken. Eddig a támadók jelentős része kriptovaluta bányászatra fókuszált, azonban a képzettebb hackerek agresszívabbá váltak és a kiváló minőségű célpontokon jelentkező réseket is elkezdték kihasználni. 

„Decemberben a Log4j-vel voltak tele a szalagcímek. Ez a valaha tapasztalt legkomolyabb sérülékenység, figyelembe véve a kijavításának összetettségét és, hogy könnyű kihasználni, valószínűleg évekig velünk marad, hacsak a vállalatok nem tesznek azonnali lépéseket a megállítása érdekében,” - mondta Maya Horowitz, a Check Point Software kutatási elnök-helyettese. „Ugyanebben a hónapban tanúi lehettünk, hogy az Emotet botnet a leggyakrabban előforduló kártékony programok listájának hetedik helyéről a másodikra ugrott. Ahogyan azt gyanítottuk, nem kellett sok idő az Emotet számára, hogy újbóli felbukkanását követően, gyorsan megvesse lábát. Nagyon ügyes és gyorsan terjed a kártékony csatolmányokat vagy linkeket tartalmazó adathalász e-mailekkel. Minden korábbinál fontosabbá vált a robusztus e-mail biztonsági megoldások használata és, hogy a felhasználók biztosan képesek legyenek beazonosítani a gyanús üzeneteket vagy csatolmányokat.”

A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás az oktatási-kutatási szektor ellen történt, ezt követte a kormányzat/hadsereg és az ISP/MSP területe. Az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 48,3%-ánál jelent meg. Ezt követi a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 43,7%-ánál bukkant fel. Harmadik helyen maradt továbbra is a „HTTP Headers Remote Code Execution”, globális hatása 41,5%.

2021. december top három kártékony programcsaládja:

* A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során a Trickbot tartotta első helyét, világszerte a szervezetek 4%-ánál volt jelen, ezt követi az Emotet és a Formbook, mindkettő a szervezetek 3%-ánál jelent meg.

1. ↔ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni. 

2. ↑ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.

3. ↔ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kormányzat/hadsereg

3. ISP/MSP

2021. december top három sérülékenysége:

Ebben a hónapban az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 48,3%-ánál jelent meg. Ezt követi a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 43,8%-ánál bukkant fel. Harmadik helyen áll a „HTTP Headers Remote Code Execution”, globális hatása 41,5%.

1.↑ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.

2.↔ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és tetszőleges kódot futtathat az áldozat gépén.

2021. december top három rosszindulatú mobil családja:

Ebben a hónapban az AlienBot a legelterjedtebb program, őt követte az xHelper és a FluBot.

1. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.

2. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.

3. FluBot –  Az Android alapú kártékony botnet, mely adathalász SMS üzenetekkel terjed, gyakran logisztikai brandeket megszemélyesítve. Ha a felhasználó ráklikkel az üzenetben foglalt linkre, a FluBot installálódik és hozzáfér a telefonon tárolt érzékeny információkhoz.

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

A kártékony programcsaládok teljes 2021. november Top 10 listája megtalálható a Check Point Blogon.