Waspadalah terhadap kebangkitan botnet Emotet

Foto oleh Philipp Katzenberger di Unsplash

Penjelasan singkat editor: Saat kami mengira botnet Emotet sebagai era yang sudah berlalu, tampaknya botnet tersebut langsung bangkit kembali. Ini adalah peringatan yang adil bagi praktisi keamanan siber bahwa penjahat selalu keluar untuk mencoba lagi dan lagi, tanpa henti, untuk menghancurkan jaringan dan sistem kita. Rilis berita vendor ada di bawah.

Malware Paling Dicari Juli 2020: Emotet Menyerang Lagi Setelah Lima Bulan Tidak Ada

Check Point Research menemukan peningkatan tajam dalam botnet Emotet yang menyebarkan kampanye spam setelah periode tidak aktif, yang bertujuan untuk mencuri kredensial perbankan dan menyebar di dalam jaringan yang ditargetkan

SINGAPURA, @mcgallen #microwireinfo, 11 Agustus 2020 - Check Point Research, lengan dari Threat Intelligence Periksa Point® Software Technologies Ltd. (NASDAQ: CHKP), penyedia terkemuka solusi keamanan dunia maya secara global, telah menerbitkan Indeks Ancaman Global terbaru untuk Juli 2020. Para peneliti menemukan bahwa setelah absen selama lima bulan, Emotet telah melonjak kembali ke posisi pertama dalam Indeks, berdampak pada 1% organisasi secara global.

Sejak Februari 2020, aktivitas Emotet - terutama mengirimkan gelombang kampanye malspam - mulai melambat dan akhirnya berhenti, hingga muncul kembali pada Juli. Pola ini diamati pada 2019 ketika botnet Emotet menghentikan aktivitasnya selama bulan-bulan musim panas tetapi dilanjutkan pada bulan September.

Pada bulan Juli, Emotet menyebarkan kampanye malspam, menginfeksi korbannya dengan TrickBot dan Qbot, yang digunakan untuk mencuri kredensial perbankan dan menyebar di dalam jaringan. Beberapa kampanye malspam berisi file dokumen berbahaya dengan nama seperti "form.doc" atau "invoice.doc". Menurut peneliti, dokumen berbahaya itu meluncurkan PowerShell untuk menarik biner Emotet dari situs jarak jauh dan menginfeksi mesin, menambahkannya ke botnet. Dimulainya kembali aktivitas Emotet menyoroti skala dan kekuatan botnet secara global.

“Sangat menarik bahwa Emotet tidak aktif selama beberapa bulan awal tahun ini, mengulangi pola yang pertama kali kami amati pada tahun 2019. Kami dapat berasumsi bahwa pengembang di balik botnet sedang memperbarui fitur dan kemampuannya. Tetapi karena aktif kembali, organisasi harus mendidik karyawan tentang cara mengidentifikasi jenis malspam yang membawa ancaman ini dan memperingatkan tentang risiko membuka lampiran email atau mengklik link dari sumber eksternal. Bisnis juga harus melihat penerapan solusi anti-malware yang dapat mencegah konten tersebut menjangkau pengguna akhir, ”kata Maya Horowitz, Direktur, Threat Intelligence & Research, Produk di Check Point.

Tim peneliti juga memperingatkan bahwa "Eksekusi Kode Jarak Jauh DVR MVPower" adalah kerentanan yang paling umum dieksploitasi, memengaruhi 44% organisasi secara global, diikuti oleh "Pengungkapan Informasi Detak Jantung DTLS TLS OpenSSL" yang memengaruhi 42% organisasi di seluruh dunia. "Command Injection Over HTTP Payload" berada di posisi ketiga, dengan dampak global sebesar 38%.

Keluarga malware teratas

* Tanda panah berkaitan dengan perubahan peringkat dibandingkan dengan bulan sebelumnya.

Bulan ini Emotet adalah malware paling populer dengan dampak global 5% organisasi, diikuti oleh Dridex dan Agen Tesla yang memengaruhi masing-masing 4% organisasi.

  1. ↑ Emotet - Emotet adalah Trojan modular yang dapat menyebar dengan sendirinya. Emotet awalnya adalah Trojan perbankan, tetapi baru-baru ini digunakan sebagai distributor malware atau kampanye jahat lainnya. Ini menggunakan beberapa metode untuk mempertahankan ketekunan dan teknik penghindaran untuk menghindari deteksi. Selain itu, ini dapat disebarkan melalui email spam phishing yang berisi lampiran atau tautan berbahaya.
  2. ^ Dridex - Dridex adalah Trojan yang menargetkan platform Windows dan dilaporkan diunduh melalui lampiran email spam. Dridex menghubungi server jarak jauh dan mengirimkan informasi tentang sistem yang terinfeksi. Itu juga dapat mengunduh dan menjalankan modul sewenang-wenang yang diterima dari server jarak jauh.
  3. ↓ Agen Tesla - Agen Tesla adalah RAT canggih yang berfungsi sebagai keylogger dan pencuri informasi yang mampu memantau dan mengumpulkan input keyboard korban, papan klip sistem, mengambil tangkapan layar, dan mengeksfiltrasi kredensial milik berbagai perangkat lunak yang diinstal pada mesin korban (termasuk Google Chrome, Mozilla Firefox dan klien email Microsoft Outlook).

Kerentanan yang paling banyak dieksploitasi

Bulan ini "Eksekusi Kode Jarak Jauh DVR MVPower" adalah kerentanan yang paling umum dieksploitasi, memengaruhi 44% organisasi di seluruh dunia, diikuti oleh "Pengungkapan Informasi Detak Jantung DTLS TLS OpenSSL" yang memengaruhi 42% organisasi di seluruh dunia. "Command Injection Over HTTP Payload" berada di posisi ketiga, dengan dampak global sebesar 38%.

  1. ↑ Eksekusi Kode Jarak Jauh MVPower DVR - Kerentanan eksekusi kode jarak jauh yang ada di perangkat MVPower DVR. Penyerang jarak jauh dapat memanfaatkan kelemahan ini untuk mengeksekusi kode arbitrer di router yang terpengaruh melalui permintaan yang dibuat.
  2. ↓ OpenSSL TLS DTLS Pengungkapan Informasi Detak Jantung (CVE-2014-0160; CVE-2014-0346) - Kerentanan pengungkapan informasi yang ada di OpenSSL. Kerentanan ini disebabkan oleh kesalahan saat menangani paket detak jantung TLS / DTLS. Penyerang dapat memanfaatkan kerentanan ini untuk mengungkapkan konten memori dari klien atau server yang terhubung.
  3. ↑ Perintah Injeksi Melalui Muatan HTTP - Injeksi perintah melalui kerentanan payload HTTP telah dilaporkan. Penyerang jarak jauh dapat memanfaatkan masalah ini dengan mengirimkan permintaan yang dibuat khusus kepada korban. Eksploitasi yang berhasil akan memungkinkan penyerang untuk mengeksekusi kode arbitrer pada mesin target.

Keluarga malware seluler teratas

XHelper bulan ini adalah malware paling populer, diikuti oleh Necro dan PreAMo.

  1. xHelper - Aplikasi berbahaya yang terlihat di alam liar sejak Maret 2019, digunakan untuk mengunduh aplikasi berbahaya lainnya dan menampilkan iklan. Aplikasi dapat menyembunyikan dirinya sendiri dari pengguna, dan menginstal ulang sendiri jika dicopot.
  2. necro - Necro adalah Penetes Trojan Android. Itu dapat mengunduh malware lain, menampilkan iklan yang mengganggu dan mencuri uang dengan menagih langganan berbayar.
  3. PreAMo - PreAmo adalah Malware Android yang meniru pengguna dengan mengklik spanduk yang diambil dari tiga agensi iklan - Presage, Admob, dan Mopub.

Indeks Dampak Ancaman Global Check Point dan Peta ThreatCloud-nya didukung oleh intelijen ThreatCloud dari Check Point, jaringan kolaboratif terbesar untuk memerangi kejahatan dunia maya yang mengirimkan data ancaman dan tren serangan dari jaringan global sensor ancaman. Basis data ThreatCloud memeriksa lebih dari 2.5 miliar situs web dan 500 juta file setiap hari, dan mengidentifikasi lebih dari 250 juta aktivitas malware setiap hari.

Daftar lengkap dari 10 keluarga malware teratas pada bulan Juli dapat ditemukan di Periksa Point blog.

Sumber Daya Pencegahan Ancaman Check Point tersedia di http://www.checkpoint.com/threat-prevention-resources/index.html

Tentang Check Point Research
Check Point Research menyediakan intelijen ancaman cyber terkemuka untuk pelanggan Check Point Software dan komunitas intelijen yang lebih besar. Tim peneliti mengumpulkan dan menganalisis data serangan dunia maya global yang disimpan di ThreatCloud untuk mencegah peretas, sambil memastikan semua produk Check Point diperbarui dengan perlindungan terbaru. Tim peneliti terdiri dari lebih dari 100 analis dan peneliti yang bekerja sama dengan vendor keamanan lain, penegak hukum, dan berbagai CERT.

Ikuti Check Point Research melalui:

Tentang Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) adalah penyedia terkemuka solusi keamanan dunia maya untuk pemerintah dan perusahaan korporat di seluruh dunia. Solusi Check Point melindungi pelanggan dari serangan dunia maya generasi ke-5 dengan tingkat penangkapan malware, ransomware, dan ancaman tertarget tingkat lanjut yang terdepan di industri. Check Point menawarkan arsitektur keamanan bertingkat, "Perlindungan Total Tanpa Batas dengan pencegahan ancaman lanjutan Gen V", arsitektur produk gabungan ini melindungi cloud, jaringan, dan perangkat seluler perusahaan. Check Point menyediakan sistem manajemen keamanan kontrol satu titik yang paling komprehensif dan intuitif. Check Point melindungi lebih dari 100,000 organisasi dari semua ukuran.

# # #