2022. március legveszélyesebb kártékony programjai
2022. április 25.
A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 márciusára vonatkozó Global Threat Index elemzését. Az Emotet maradt a leggyakrabban előforduló kártékony program, világszerte a szervezetek 10%-ánál jelent meg, ami kétszerese a februári adatnak.
Az Emotet egy fejlett, önmagát hirdető, moduláris trójai, mely a jelenlét fenntartására különböző módszereket, a lebukás elkerülésére pedig kitérő technikákat alkalmaz. Tavaly novemberi visszatérése óta, illetve a Trickbot leállításával kapcsolatos hírek nyomán, az Emotet megerősítette vezető pozícióját a leggyakrabban előforduló kártékony programok között. A hónap során a helyzet fokozódott, ahogy sok agresszív e-mail kampány terjesztette a botnetet, köztük számos húsvét-tematikájú, az ünnepek körüli felhajtást kihasználó adathalász scam. Ezen levelek világszerte megjelentek, az egyik például azzal a címmel, hogy „Buona Pasqua, happy easter” (Kellemes húsvétot!) – a csatolmány egy Emotetet tartalmazó kártékony XLS file volt.
Március hónapban az Agent Tesla továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el, a lista második helyén bukkant fel, miután az előző hónapban még a negyedik helyen szerepelt. Az Agent Tesla előtérbe kerülése több új spam kampány megjelenésének a következménye, melyek kártékony xlsx/pdf file-okkal terjesztették világszerte a RAT-ot. Ezek közül több is az orosz-ukrán háborút kihasználva vezette félre áldozatait.
„Az elmúlt évek során a technológia olyan szintre fejlődött, hogy a cyber-bűnözőknek egyre inkább az emberek bizalmára kell alapozniuk ahhoz, hogy be tudjanak jutni a vállalati hálózatokba. A húsvéti ünnepekhez hasonló időszakok körüli felhajtást kihasználva tematizálják az adathalász e-maileket, és ráveszik az embereket, hogy az Emotethez hasonló, kártékony programokat tartalmazó csatolmányokat töltsenek le. A húsvét nem az egyetlen ünnep, a cyber-bűnözők nagyon hasonló módszereket fognak alkalmazni a jövőben is,” – mondta Maya Horowitz, a Check Point Software kutatásért felelős elnök-helyettese. „Március során azt is tapasztaltuk, hogy az Apache Log4j megint a leggyakrabban kihasznált sérülékenység lett. Még azután is, hogy a tavalyi év végén oly sokat beszéltünk róla, kárt okoz ma is, hónappokkal a beazonosítását követően. A szervezeteknek azonnal cselekedniük kell annak érdekében, hogy ne történjenek további támadások.”
A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás továbbra is az oktatási-kutatási szektor ellen történt, ezt követte a kormányzat/hadsereg és az ISP/MSP területe. A „Web Server Exposed Git Repository Information Disclosure” volt a második leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 26%-ánál jelent meg, miközben a vezetést átvette az „Apache Log4j Remote Code Execution””, mely a szervezetek 33%-ánál bukkant fel. Harmadik helyen maradt továbbra is a „HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)”, globális hatása 26%.
2022. március top három kártékony programcsaládja:
*A nyilak a helyezés előző hónaphoz képesti változását jelzik.
A hónap során az Emotet tartotta magát az élen, világszerte a szervezetek 10%-ánál volt jelen, ezt követte az Agent Testla és az XMRig, mindkettő a szervezetek 2%-ánál jelent meg.
1.↔ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.
2.↑ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és Microsoft Outlook) érkező személyi adatokat.
3.↑ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak.
A világszerte legtöbb támadást elszenvedő iparágak:
1. Oktatás/kutatás
2. Kormányzat/hadsereg
3. ISP/MSP
2022. március top három sérülékenysége:
Ebben a hónapban az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 33%-ánál jelent meg; a „Web Server Exposed Git Repository Information Disclosure” visszaesett a második helyre, a szervezetek 26%-ánál bukkant fel. Harmadik helyen áll a „HTTP Headers Remote Code Execution”, globális hatása 26%.
1.↑ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.
2.↓ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és tetszőleges kódot futtathat az áldozat gépén.
2022. március top három rosszindulatú mobil családja:
Ebben a hónapban az AlienBot a legelterjedtebb program, őt követte az xHelper és a FluBot.
1. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.
2. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
3. FluBot Az Android alapú kártékony botnet, mely adathalász SMS üzenetekkel terjed, gyakran logisztikai brandeket megszemélyesítve. Ha a felhasználó ráklikkel az üzenetben foglalt linkre, a FluBot installálódik és hozzáfér a telefonon tárolt érzékeny információkhoz.
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki.
A kártékony programcsaládok teljes 2022. márciusi Top 10 listája megtalálható a Check Point Blogon.
Kapcsolódó cikkek
- A Check Point vezető pozíciót tölt be átfogó biztonsági víziójának köszönhetően
- 2022. február legveszélyesebb kártékony programjai
- A Check Point közzétette felhő-biztonsági jelentését
- 2022. január legveszélyesebb kártékony programjai
- A Check Point Software SASE megoldása biztonságosabbá teszi a távoli és hibrid munkavégzést
- A Check Point bemutatja a világ leggyorsabb tűzfalát
- A Check Point Software 2022-es biztonsági jelentése
- 2021. december legveszélyesebb kártékony programjai
- 2021. november legveszélyesebb kártékony programjai
- 2021. október legveszélyesebb kártékony programjai