Novemberi mumusaink: itt a legfrissebb kártevő-toplista

A Check Point Research kiadta legújabb, 2020 novemberére vonatkozó Global Threat Index elemzését, mely a jól ismert Phorpiex botnet okozta fertőzések hirtelen növekedését mutatja. A Global Threat Index Top 10 listán első alkalommal idén júniusban felbukkanó botnet lett az előző hónap leggyakrabban előforduló rosszindulatú programja; világszerte a szervezetek 4%-ánál jelent meg.

A Phorpiex 2010-ben bukkant fel, csúcsidőszakában milliónál is több fertőzött gép felett vette át az ellenőrzést. Széleskörű, úgy nevezett Sextortion spam kampányokat és más rosszindulatú programcsaládokat terjeszt, valamint crypto-bányász programokat támogat. Amint azt a Check Point kutatói már korábban is jelezték, az Avaddon zsarolóprogramot is terjeszti, mely egy viszonylag új zsarolóvírus-mint-szolgáltatás (RaaS) variáns, működtetői arra toboroznak szövetségeseket, hogy a profit egy részéért terjesszék a programot. Az Avaddon JS és Excel file-okon keresztül, rosszindulatú spam kampányok részeként terjed, és a legkülönbözőbb file típusok kódolására képes.

„A Phorpiex az egyik legrégebbi és legkitartóbb botnet, készítői már évek óta használják más rosszindulatú programok terjesztésére, mint például a GandCrab és Avaddon zsaroló programok, vagy ‘sextortion’ spam kampányok. A mostani új fertőzés hullám egy másik zsaroló program kampányt terjeszt, mely jól mutatja, hogy mily hatékony eszköz a Phorpiex,” mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója. „A szervezeteknek képezniük kellene alkalmazottaikat a potenciális kártékony spam-ek felismerése terén, és meg kellene tanítani nekik, hogy körültekintően nyissanak meg ismeretlen e-mail csatolmányokat, még akkor is, ha úgy tűnik, megbízható forrásból érkeznek. Ugyanakkor arra is vigyázniuk kell, hogy olyan biztonsági rendszert használjanak, mely aktívan védi hálózataikat a fertőzésektől.”

A kutatócsoport ugyanakkor arra is felhívja a figyelmet, hogy az „HTTP Headers Remote Code Execution (CVE-2020-13756)” vált a leggyakrabban kihasznált sérülékenységgé, világszerte a szervezetek 54%-ánál jelent meg. Ezt követi a „MVPower DVR Remote Code Execution”, mely a szervezetek 48%-ánál bukkant fel, illetve a „Dasan GPON Router Authentication Bypass (CVE-2018-10561)”, mely világszerte a szervezetek 44%-ánál volt jelen.

2020 novemberének top 3 kártékony programcsaládja

A hónap során az Phorpiex került az első helyre, világszerte a szervezetek 4%-ánál volt jelen, ezt követi szorosan az Dridex és a Hiddad, mindkettő a szerveztek 3%-ánál jelent meg.

1. ↑ Phorpiex – Más rosszindulatú programcsaládok spam kampányokkal való terjesztéséről és széleskörű Sextortion támadások futtatásáról ismert botnet.
2. ↑ Dridex – Windows PC-ket támadó banki trójai. Spam kampányokkal és Exploit Kit-ekkel terjed, WebInject-ek (olyan káros konfigurációs beállítások, melyek hamisított adatokat fecskendeznek be az adott webes felületre, hogy ezek segítségével bizalmas adatokat tulajdoníthassanak el) segítségével fertőz és az adatokat egy, a támadó által irányított szerverre irányítja át. A Dridex kapcsolatba lép egy távoli szerverrel, ahova információkat küld a fertőzött rendszerről, de további modulokat is le tud tölteni és működtetni tud a távoli irányításhoz.
3. ↔ Hiddad – Az Android alapú kártevő program újracsomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.

2020 novemberének top 3 sérülékenysége

Ebben a hónapban az „HTTP Headers Remote Code Execution (CVE-2020-13756)” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 54%-ánál jelent meg. Ezt követte az „MVPower DVR Remote Code Execution” a maga 48%-val és a „Dasan GPON Router Authentication Bypass (CVE-2018-10561)” 44%-kal.

1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.
2. ↓ MVPower DVR Remote Code Execution – Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.
3. ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – A Dasan GPOR routerek jogosulatlansággal összefüggő sérülékenysége. A sikeres kihasználása esetébe a távoli támadók érzékeny információkhoz férhetnek hozzá és jogosulatlanul hozzáférhetnek az érintett rendszerhez.

2020 novemberének top 3 rosszindulatú mobil családja

Ebben a hónapban a Hiddad volt a legelterjedtebb program, őt követte az xHelper és a Lotoor

1. Hiddad – Az Android alapú kártevő program újracsomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.
2. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
3. Lotoor – Az Android operációs rendszer sérülékenységeit kihasználva root jogosultságokra szert tevő, hack eszköz.

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis naponta több mint 2,5 milliárd weboldalt és 500 millió file-t ellenőriz; 250 milliónál is több kártékony tevékenységet azonosít be minden egyes nap. A kártékony programcsaládok teljes 2020. novemberi Top 10 listája megtalálható a Check Point Blogon.