A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research kiadta 2020 júliusára vonatkozó, Global Threat Index elemzését. A kutatók azt tapasztalták, hogy öt hónap után, az Emotet visszakerült a lista legelső helyére és világszerte a szervezetek 5%-ánál jelent meg.

2020 februárja óta az Emotet tevékenysége – elsősorban kártékony spam kampányok terjesztése – csökkent, míg teljesen el nem tűnt, egészen júliusig, amikor is újra felbukkant. Hasonló volt a helyzet 2019-ben is, amikor az Emotet botnet a nyári hónapokra leállt, majd szeptemberben újraindult.

Július során az Emotet kártékony spam kampányokat terjesztett, melyek révén TrickBottal és Qbottal fertőzte meg áldozatait – ezeket banki adatok eltulajdonítására használják és hálózatokon belül terjednek. A kártékony spam kampányok egy része rosszindulatú doc file-t tartalmazott, melynek a neve „form.doc” vagy „invoice.doc” volt. A kutatók szerint a rosszindulatú dokumentum PowerShell-t indítva húzza be az Emotet-et távoli weboldalakról és a botnethez való hozzárendeléssel fertőzi meg a gépeket. Az Emotet visszatérése felhívja a figyelmet a botnet globális jelenlétére és hatására.

„Érdekes módon az Emotet – megismételve a 2019-ben tapasztalt mintát – az év korábbi szakaszában hónapokig szunnyadó módban volt. Feltételezhetjük, hogy a botnet fejlesztői ez idő alatt frissítették. Azonban most, hogy újra aktív, a szervezeteknek képezniük kellene alkalmazottjaikat, hogy azok fel tudják ismerni az ezen fenyegetéseket hordozó kártékony spameket, és figyelmeztetni kell őket a csatolmányok megnyitásának vagy a külső forrásokhoz vezető linkekre való klikkelés kockázataira. Ugyanakkor a vállalatoknak el kellene gondolkodniuk anti-malware megoldások alkalmazásán, melyek képesek megakadályozni, hogy ilyen tartalmak egyáltalán eljussanak a végfelhasználókig,” mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója.

Mindezeken túl a kutatócsoport arra is felhívja a figyelmet, hogy az „MVPower DVR Remote Code Execution” a legáltalánosabban kihasznált sérülékenység, mely a szervezetek 44%-ánál jelent meg világszerte. Második helyre került az „OpenSSL TLS DTLS Heartbeat Information Disclosure”, mely világszerte a szerveztek 42%-ánál jelent meg. A „Command Injection Over HTTP Payload” a harmadik helyre került, globális jelenléte 38%.

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során az Emotet az első helyre lépett, világszerte a szervezetek 5%-ánál jelent meg, ezt követi szorosan a Dridex és az Agent Tesla, mindkettő a szerveztek 4%-ánál jelent meg.

1. ↑ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.
2. ↑ Dridex – Windows PC-ket támadó banki trójai. Spam kampányokkal és Exploit Kit-ekkel terjed, WebInject-ek (olyan káros konfigurációs beállítások, melyek hamisított adatokat fecskendeznek be az adott baki webes felületre, hogy ezek segítségével bizalmas adatokat tulajdoníthassanak el) segítségével fertőz és a banki adatokat egy, a támadó által irányított szerverre irányítja át. A Dridex kapcsolatba lép egy távoli szerverrel, ahova információkat küld a fertőzött rendszerről, de további modulokat is le tud tölteni és működtetni tud a távoli irányításhoz.
3. ↓ Agent Tesla – Távoli hozzáférés trójai (RAT), mely billentyűzet-leütés naplózással és adatlap lopással figyeli és gyűjti be az áldozat billentyűzetén bevitt vagy a vágólapra helyezett adatokat, képernyőképeket és a legkülönbözőbb, az áldozat gépére telepített software-ekhez (köztük Google Chrome, Mozilla Firefox és Microsoft Outlook email kliens) tartozó meghatalmazásokat.

Ebben a hónapban az „MVPower DVR Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 44%-ánál jelent meg. Ezt követte az „OpenSSL TLS DTLS Heartbeat Information Disclosure” a maga 42%-ával, míg a „Command Injection Over HTTP Payload” harmadik helyre került, világszerte 38%-ban volt jelen.

1. ↑ MVPower DVR Remote Code Execution. Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.
2. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure – Az OpenSSL adatszivárgásos sérülékenysége, mely a TLS/DTLS heartbeat protokollhoz köthető. A támadó a csatlakozott kliens vagy szerver memóriatárához fér hozzá ezen sérülékenység kihasználásával.
3. ↑ Command Injection Over HTTP Payload – Egy távoli támadó úgy használhatja ki ezt a sérülékenységet, hogy különösen fortélyos kérést küld az áldozatnak, és ha sikert ér el, káros kódot tud futtatni a célgépen.

Ebben a hónapban a xHelper volt a legelterjedtebb program, őt követte a Necro és a PreAMo.

1. xHelper. A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetésekmegjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is ha törlik. Az először 2019 márciusában felfedezett xHelper több mint 45.000 eszközt fertőzött meg.
2. Necro. Android alapú trójai hordozó. Más rosszindulatú programokat tud letölteni, tolakodó hirdetéseket mutat és előfizetésekkel lop pénzt.
3. PreAMo. Az androidos eszközöket támadó ’clicker’ kártevő, A PreAMo utánozza a felhasználót és hirdetésekre klikkel rá annak tudta nélkül – három hirdetési ügynökséget használ: Presage, Admod és Mopub.

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud^TM intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis naponta több mint 2,5 milliárd weboldalt és 500 millió file-t ellenőriz; 250 milliónál is több kártékony tevékenységet azonosít be minden egyes nap.

A kártékony programcsaládok teljes, 2020. júliusi Top 10 listája megtalálható a Check Point Blogon.