A Check Point Research (CPR) kiadta legújabb, 2022 februárjára vonatkozó Global Threat Index elemzését, amelynek eredményei szerint az Emotet maradt a leggyakrabban előforduló kártékony program, világszerte a szervezetek 5%-ánál jelent meg, míg a Trickbot még lejjebb került, a lista hatodik helyére. A Log4j továbbra is az oktatás/kutatás szektorban tombol, az ilyen jellegű szervezetek 47,4%-ánál bukkant fel világszerte.
A Trikbot botnet és banki trójai pénzügyi és felhasználói fiók adatokat, valamint személyi azonosításra alkalmas információkat tud ellopni, ugyanakkor a hálózaton elterjedve zsaroló programokat helyezhet el. 2021 során hét alkalommal vezette a leggyakrabban előforduló kártékony programok listáját. Azonban az elmúlt hetekben a Check Point Research nem találkozott újabb Trickbot kampánnyal, így a kártékony program a lista hatodik helyére csúszott le. Ennek részben az lehet az oka, hogy a Trickbot tagok csatlakoztak a Conti zsarolóprogram csoporthoz, amint az a legutóbbi Conti adatszivárgás alapján feltételezhető.
Ebben a hónapban a CPR azt tapasztalta, hogy a cyber-bűnözők elkezdték kihasználni az orosz-ukrán konfliktust, melyhez kapcsolódva próbálnak rávenni embereket a kártékony csatolmányok letöltésére. Február hónap leggyakoribb kártékony programja, az Emotet is épp ezt tette, olyan kártékony file-okat tartalmazó e-mailekkel, melyeknek a tárgya az volt, hogy "Recall: Ukraine-Russia Military conflict: Welfare of our Ukrainian Crew member" (Ukrán-orosz konfliktus: ukrán csapattagunk szociális helyzete")
A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás továbbra is az oktatási-kutatási szektor ellen történt, ezt követte a kormányzat/hadsereg és az ISP/MSP területe. A "Web Server Exposed Git Repository Information Disclosure" volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 46%-ánál jelent meg. Ezt követi az "Apache Log4j Remote Code Execution"", mely a szervezetek 44%-ánál bukkant fel. Harmadik helyen maradt továbbra is a "HTTP Headers Remote Code Execution", globális hatása 41%.
2022. február top három kártékony programcsaládja
A nyilak a helyezés előző hónaphoz képesti változását jelzik.
A hónap során az Emotet tartotta magát az élen, világszerte a szervezetek 5%-ánál volt jelen, szorosan követte a Formbook, mely a szervezetek 3%-ánál, a Glupteba pedig 2%-ánál jelent meg.
1. ↔ Emotet - Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.
2. ↑ Formbook - Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.
3. ↑ Glupteba - Egy olyan "backdoor" ("hátsó ajtó"), mely folyamatosan botnetté fejlődött. 2019-ben tartalmazott egy C&C cím update mechanizmust a publikus BitCoin listákhoz, integrált böngésző tolvaj képességet és "router exploit"-ot (azaz képes volt kihasználni a routerek esetleges gyári hibáit).
A világszerte legtöbb támadást elszenvedő iparágak
1. Oktatás/kutatás
2. Kormányzat/hadsereg
3. ISP/MSP
2022. február top három sérülékenysége
Ebben a hónapban az " Web Server Exposed Git Repository Information Disclosure" volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 46%-ánál jelent meg. Ezt követi a " Apache Log4j Remote Code Execution", mely a szervezetek 44%-ánál bukkant fel. Harmadik helyen áll a "HTTP Headers Remote Code Execution", globális hatása 41%.
1. ↑ Web Server Exposed Git Repository Information Disclosure - A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
2. ↓ Apache Log4j Remote Code Execution - Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és tetszőleges kódot futtathat az áldozat gépén.
2022. február top három rosszindulatú mobil családja
Ebben a hónapban az XLoader a legelterjedtebb program, őt követte az xHelper és az AlienBot.
1. XLoader - Android spyware és banki trójai program, melyet a Yanbian Gang kínai hacker csoport fejlesztett ki. A kártékony program DNS pózolást használ a fertőzött Android app-ok terjesztéséhez, így gyűjt személyes és pénzügyi információkat.
2. xHelper - A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
3. AlienBot - Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.
