2022. november legveszélyesebb kártékony programjai: a trójaik visszatérésének hónapja
2022. december 19.
A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 novemberére vonatkozó Global Threat Index elemzését. A hónap során visszatért az Emotet, a trójai kártékony program, mely a nyári időszakban rövid időre szabadságon volt. A Qbot 2021 júliusa óta először került fel a toplistára, egyből a harmadik helyre, világszerte 4%-os volt a jelenléte. Ugyanakkor jelentősen növekedtek a Raspberry Robinhoz, az általában kártékony USB meghajtókon keresztül fertőző, kifinomult módszereket alkalmazó féregprogramhoz köthető támadások.
2022 júliusában a Check Point Research (CRP) arról számolt be, hogy az Emotet globális hatása és aktivitása jelentős mértékben csökkent, ugyanakkor gyanították, hogy ez csak átmeneti állapot. Amint azt megjósolták, az önmagát hirdető trójai visszakúszott a lista a második helyére, globális hatása 4% volt. Az Emotet banki trójaiként indult, azonban moduláris felépítése lehetővé tette számára, hogy más kártékony programtípusok terjesztőjévé váljon, általában adathalász kampányokkal terjed. Az Emotet megnövekedett jelenlétének oka részben a novemberben tapasztalt új, sorozatos kártékony spam-kampányok voltak, melyeket az IcedID banki trójai terjesztésére terveztek.
Ugyanakkor 2021 júliusa óta első alkalommal került a harmadik helyre a Qbot trójai, mely banki és billentyűzet-leütés adatokat tulajdonít el, globális hatása 4% volt. A kártékony program mögött álló személyek pénzügyi haszonszerzés által motivált cyberbűnözők, akik pénzügyi adatokat, banki jogosultságokat és web böngésző információkat lopnak el a fertőzött és veszélyeztetett rendszerekről. Ha a Qbot irányítóinak sikerül megfertőzniük egy rendszert, hátsó ajtót helyeznek el, mely hozzáférést biztosít a zsaroló programok működtetői számára, ami dupla zsarolás (double extortion) támadásokhoz vezet. November során a Qbot egy Windows nulladik-nap sérülékenységet használt ki annak érdekében, hogy teljes hozzáférést biztosítson a fertőzött hálózatokhoz.
A hónap során ugyancsak nőtt a Raspberry Robin jelenléte, mely egy kifinomult módszereket alkalmazó féreg; látszólag legitim Windows parancsikon file-t tartalmazó, kártékony USB-meghajtókat használva fertőzi meg az áldozat gépeit. A Microsoft szerint ez egy féregprogramból fejlődött ki kártékony programokat terjesztő, fertőző platformmá, más kártékony program-családokhoz és változó fertőzés-módszerekhez kötődik, így túllépve az eredeti USB-meghajtóval történő terjesztésen.
„Míg ezek a kifinomult módszereket alkalmazó kártékony programok csendesebb időszakokban szunnyadnak, az elmúlt hetek egyértelmű figyelmeztetést jelentenek azzal kapcsolatban, hogy nem tűnnek el hosszú időre. Nem engedhetjük meg magunknak a gondtalan önelégültséget, fontos, hogy mindenki éber maradjon amikor e-maileket nyit meg, linkekre klikkel, weboldalakat látogat vagy személyes információkat oszt meg,” – mondta Maya Horowitz, a Check Point Software kutatásért felelős elnök-helyettese.
A CPR arra is felhívta a figyelmet, hogy ebben a hónapban a „Web Servers Malicious URL Directory Traversal” volt a leggyakrabban kihasznált sérülékenység (a szervezetek 46%-ánál jelent meg); szorosan követi az „Web Server Exposed Git Repository Information Disclosure”, hatása világszerte 45%. Novemberben az Oktatás/kutatás szektor maradt az első helyen a legtöbb támadást tapasztaló iparágak listáján.
2022. november top három kártékony programcsaládja:
*A nyilak a helyezés előző hónaphoz képest történt változását jelzik.
A hónap során az Agent Tesla maradt a legelterjedtebb kártékony program, világszerte a szervezetek 6%-ánál volt jelen, ezt követte új szereplőként az Emotet, mely a szervezetek 4%-ánál, és a Qbot, mely ugyancsak 4%-nál jelent meg.
1.↔ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és a Microsoft Outlook email kliens) érkező személyi adatokat.
2.↑ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.
3.↑ Qbot – Banki trójai program, mely 2008-ban jelent meg első alkalommal, arra tervezték, hogy banki és billentyűzet-leütés adatokat tulajdonítson el. Sok esetben spam e-mailekkel terjesztik, számos anti-VM, visszafejtés-akadályozó (anti-debugging) és anti-sandbox technikákat alkalmaz annak érdekében, hogy megakadályozza az elemzést és elkerülje a leleplezést.
A világszerte legtöbb támadást elszenvedő iparágak:
1. Oktatás/kutatás
2. Kormányzat/hadsereg
3. Egészségügy
2022. november top három sérülékenysége:
Ebben a hónapban a „Web Servers Malicious URL Directory Traversal” volt a leggyakrabban kihasznált sérülékenység, világszerte a vállalatok 46%-ánál jelent meg. Ezt követte az „Web Server Exposed Git Repository Information Disclosure”, a szervezetek 45%-ánál bukkant fel. Harmadik helyre került a „HTTP Headers Remote Code Execution”, globális hatása 42%.
1.↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Különböző web-szervereken tapasztalt útvonal-bejárási sebezhetőség, aminek oka egy input validációs hiba egy olyan web-szerveren, mely nem megfelelően tisztítja az URL-t az útvonal-bejárási mintázatokhoz. Sikeres visszaélés esetén a jogosulatlan távoli támadók tetszőleges file-okat tehetnek közzé vagy érhetnek el a sebezhető kiszolgálón.
2.↔ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.
2022. november top három, mobil eszközöket támadó kártékony programcsaládja:
Ebben a hónapban az Anubis maradt az élen mint a legelterjedtebb program, őt követte a Hydra és az AlienBot.
1. Anubis – Android mobiltelefonokra tervezett banki trójai program. Felbukkanása óta újabb funkciókkal bővült, köztük távoli hozzáférés trójai (RAT), billentyűzet naplózó (keylogger), hangrögzítés, illetve különböző zsarolóprogram jellemzők. Több száz különböző, a Google Store-ban elérhető alkalmazásban fedezték fel.
2. Hydra – Banki trójai, melyet pénzügyi jogosultságok eltulajdonítására terveztek – veszélyes engedélyek kiadását kéri az áldozatoktól.
3. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki.
A kártékony programcsaládok teljes novemberi toplistája megtalálható a Check Point blogon.
Kapcsolódó cikkek
- Több globális támadás, kormányzati szabályozás és konszolidáció várható
- Cyberbiztonsági előrejelzés 2023-ra
- 2022. október legveszélyesebb kártékony programjai
- A Check Point Software gyorsabb, MI-alapú hálózati biztonságot és magas szintű fenyegetések elleni védelmet kínál
- A Check Point új, globális menedzselt biztonsági szolgáltató programot vezet be
- A KKV-k nincsenek felkészülve a növekedésből fakadó cyberbiztonsági kockázatokra
- A kisvállalatok növekedési terveinek gátat szab a nem megfelelő cyberbiztonság
- 2022. szeptember legveszélyesebb kártékony programjai
- Magasabb szintű védelem a jövőbeni cyber-támadások ellen
- 2022. augusztus legveszélyesebb kártékony programjai