Mobil eszközöket támadó, három legveszélyesebb rosszindulatú program
2017. február 13.
A Check Point Software Technologies Ltd. havi rendszerességgel megjelenő, a szervezetek hálózataira legveszélyesebb zsarolóvírusokat vizsgáló felmérésének (Global Threat Index) januári kiadása szerint, a Hummingbad 2016 februárja óta először került az első helyre a legelterjedtebb, a mobil eszközöket támadó rosszindulatú programok listáján.
A Hummingbad átvette a a vezető helyet a Triada-tól a legkeresettebb rosszindulatú programok listáján: az Android eszközöket támadó moduláris backdoor (hátsó ajtó) szuper-felhasználói jogosultságokat rendel a letöltött programhoz, miközben segíti beágyazódását a rendszerfolyamatokba. Összességében, a mobil eszközöket megcélzó rosszindulatú programok az időszak során leleplezett támadások 9 százalékáért voltak felelősek, miközben a jelentés a Kelihost, a bitcoin lopások során használt botnetet jelölte meg a legveszélyesebb rosszindulatú programcsaládként, mely globális szinten a szervezetek 5 százalékát érinti.
A három vezető rosszindulatú programcsalád alapján a hackerek a támadási vektorok és taktikák széles körét használják a vállalatok támadása során. Ezen fenyegetések a fertőzési lánc minden egyes lépésére hatással vannak, küldenek például spam emaileket, melyeket botnetek terjesztenek, illetve az áldozatok gépére zsaroló- vagy trójai programokat telepítő letöltő programokat tartalmaznak.
Globális szinten, a Kelihos a legaktívabb rosszindulatú programcsaládként, a szerveztek 5 százalékát érintette, a második és harmadik helyre pedig a HackerDefender és a Cryptowall kerültek, mindkettő a vállalatok 4,5 %-át érintette.
2017 januárjának legveszélyesebb rosszindulatú programjai:
- Kelihos – Elsősorban bitcoin lopásban és spamekben érintett botnet. Peer-to-peer kommunilációt használva, minden egyes résztvevőt Command & Control szerveri jogosultággal látja el.
- HackerDefender – Windows gépeket támadó rootkit, mellyel file-ok, folyamatok és rendszerleíró kulcsok rejthetők el, illetve backdoorokat (hátsó ajtó) és eszköz átirányítókat (port redirector) helyez el, melyek a meglévő szolgáltatások által megnyitott TCP portokon keresztül működnek
- Cryptowall – Eredetileg Cryptolocker doppelgängerként indult zsarolóprogram. A Cryptolocker eltávolítása után, a Cryptowall lett az egyik legjelentősebb rosszindulatú program. Az AES titkosításról és a Tor anoním hálózaton keresztül zajló C&C kommunikációról vált ismerté. Széles körben terjesztik exploit kiteken, rosszindulatú reklámokon és phising kampányokon keresztül.
A három legveszélyesebb, mobil eszközöket támadó rosszindulatú program:
Triada – Androidos eszközöket támadó moduláris backdoor (hátsó ajtó), mely kiemelt felhasználói jogosultságokat ad a letöltött rosszindulatú programnak, azáltal, hogy segíti beágyazódását a rendszerfolyamatokba. A tapasztalatok szerint, a Triada a böngészőben letöltött URLeket is be tudja csapni.
Hummingbad – Rosszindulatú Android program, mely perzisztens toolkitet helyez el az eszközön, csalásra irányuló alkalmazásokat telepít, és kisebb módosításokkal további rosszindulatú tevékenységeket tehet lehetővé, mint például egy key-logger telepítése, személyi azonosítók eltulajdonítása, vagy a nagyvállalatok által használt, titkosított, dedikált email konténereken való átjutás.
Hiddad – Android eszközöket támadó, rosszindulatú program, mely újracsomagolja a legitim alkalmazásokat, majd kiadja őket egy harmadik félnek. Legfontosabb funkciója a hirdetések megjelenítése, ugyanakkor képes hozzáférést szerezni az operációs rendszerbe beépített, kulcsfontosságú biztonsági részletekhez, így lehetővé téve, hogy a támadó érzékeny felhasználói adatokhoz férjen hozzá.
Nathan Shuchami, a Check Point fenyegetésekkel szembeni védelemért felelős vezetője hozzátette: „A január során tapasztalt, valamennyi, a fertőzési láncban elérhető taktikát alkalmazó fenyegetések széles köre jól demonstrálja a feladat nehézségét, mellyel az informatikai csapatoknak szembe kell nézniük hálózatuknak a támadásokkal szembeni védelme során. Biztonságuk érdekében, a szervezeteknek fejlett fenyegetésekkel szembeni védelmet kell alkalmazniuk hálózataikon, végpontjaikon és a mobil eszközkön, annak érdekében, hogy már a fertőzés előtti szakaszban meg tudják állítani a rosszindulatú programokat: erre példa a Check Point SandBlast Zero-Day Protection and Mobile Threat Prevention megoldása.”
A Check Point ThreatCloud Map alapja a Check Point’s ThreatCloud intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis több mint 250 millió címet (melyeket botok beazonosítása céljából elemez), 11 milliónál is több rosszindulatú aláírást és 5,5 millió feletti fertőzött weboldalt tartalmaz, illetve napi szinten több millió rosszindulatú programtípust azonosít be.
2017 januárja óta a Check Point átalakította a vezető rosszindulatú programok kategorizálásnak módszerét. Jelen megoldás a beazonosított támadások darabszáma helyett, a világszerte, a különböző rosszindulatú programcsaládok által fertőzött szervezetek százalékos arányát mutatja, így megadva a hálózatokat támadó, legelterjedtebb családok rangsorát. Ez a megoldás pontosabb áttekintést ad a szervezeteket ért támadások valós hatásáról.
A Check Point fenyegetésekkel szembeni védelmi forrásainak elérhetősége: http://www.checkpoint.com/threat-prevention-resources/index.html
Kapcsolódó cikkek
- A Hummingbad megint az elsők között a legelterjedtebb mobil rosszundulatú programok listáján
- Új, ingyenesen elérhető oktatási anyagok a zsarolóvírusokkal szemben
- A Check Point és az Europol együttműködése a zsarolókkal szemben
- Az Acronis Active Protection technológia meggátolja az Osiris zsarolóvírus valamennyi verziójának támadását
- Osiris zsarolóvírus: a Locky család újabb tagja
- Ajtókat zárt be a zsarolóvírus
- A Locky karácsonyi szabadságon volt
- A Trend Micro tanulmánya a zsaroló programok hatásáról
- Minden második szervezet áldozatul esett valamilyen zsaroló vírusnak 2016-ban
- Előrejelzés 2017-re a zsarolóprogramok általi fenyegetettségről