Poted on

편집자 요약 : 현재 진행중인 전염병으로 인해 세계 일부가 무너 지더라도 맬웨어의 공격은 여전히 ​​높습니다. 주요 사이버 보안 공급 업체의 최신 2021 년 XNUMX 월 글로벌 위협 지수 보고서 Check Point Software, 일부 랜섬웨어 공격에 사용되는 Dridex 트로이 목마는 CISO 또는 사이버 보안 실무자 및 리더에게 레이더 대상입니다. 공급 업체의 릴리스는 다음과 같습니다.

2021 년 XNUMX 월 가장 원한 악성 코드 : Dridex, 랜섬웨어 공격의 글로벌 급증 속에서 XNUMX 위 자리 유지

Check Point Research는 랜섬웨어 공격의 초기 단계에서 자주 사용되는 Dridex 트로이 목마가 두 번째 달 동안 가장 널리 퍼진 맬웨어라고보고했습니다.

싱가포르, @mcgallen #microwireinfo, 14 년 2021 월 XNUMX 일— CPR (Check Point Research), 위협 인텔리전스Check Point® Software Technologies Ltd. (NASDAQ : CHKP)는 전 세계적으로 사이버 보안 솔루션을 제공하고 있으며 2021 년 XNUMX 월 최신 글로벌 위협 지수를 발표했습니다. 연구원들은 처음으로 AgentTesla가 지수에서 XNUMX 위를 차지했으며 기존 Dridex 트로이 목마는 여전히 가장 널리 퍼진 악성 코드는 XNUMX 월에 XNUMX 위를 기록한 후 XNUMX 월에 XNUMX 위를 차지했습니다.

이번 달에는 Windows 플랫폼을 표적으로 삼은 트로이 목마 Dridex가 QuickBooks Malspam Campaign을 통해 확산되었습니다. 피싱 이메일은 QuickBooks의 브랜딩을 사용했으며 가짜 결제 알림과 청구서로 사용자를 유인하려고했습니다. 이메일 콘텐츠는 시스템을 Dridex에 감염시킬 수있는 악성 Microsoft Excel 첨부 파일을 다운로드하도록 요청했습니다.

이 악성 코드는 종종 해커가 조직의 데이터를 암호화하고이를 해독하기 위해 몸값을 요구하는 랜섬웨어 운영의 초기 감염 단계로 사용됩니다. 이러한 해커들은 점점 더 이중 갈취 방법을 사용하고 있으며, 여기서는 조직에서 민감한 데이터를 훔쳐서 지불하지 않는 한 공개적으로 공개하겠다고 위협합니다. CPR 3 월에보고 됨 랜섬웨어 공격은 57 년 초에 2021 % 증가했지만이 추세는 계속해서 급증하고 있으며 작년 같은 기간에 비해 107 % 증가했습니다. 가장 최근에, 식민지 파이프 라인미국의 주요 연료 회사 인는 이러한 공격의 피해자였으며 2020 년에는 랜섬웨어를 추정 전 세계적으로 약 20 억 달러의 비용이 발생하며 이는 75 년보다 거의 2019 % 증가한 수치입니다.

처음으로 AgentTesla는 상위 맬웨어 목록에서 2 위를 차지했습니다. AgentTesla는 2014 년부터 활성화 된 고급 RAT (원격 액세스 트로이 목마)이며 키로거 및 암호 도용자 역할을합니다. 이 RAT는 피해자의 키보드 입력과 시스템 클립 보드를 모니터링하고 수집 할 수 있으며, 스크린 샷을 기록하고 피해자의 컴퓨터에 설치된 다양한 소프트웨어 (Google Chrome, Mozilla Firefox 및 Microsoft Outlook 이메일 클라이언트 포함)에 대해 입력 된 자격 증명을 추출 할 수 있습니다. 이번 달에는 악성 스팸을 통해 확산되는 AgentTesla 캠페인이 증가했습니다. 이메일 콘텐츠는 시스템이 에이전트 Tesla에 감염 될 수있는 파일 (모든 파일 유형일 수 있음)을 다운로드하도록 요청하고 있습니다.

“전 세계적으로 랜섬웨어 공격이 엄청나게 증가하는 것을 목격하고 있지만 이번 달의 상위 멀웨어가 트렌드와 관련이 있다는 것은 놀라운 일이 아닙니다. 전 세계적으로 평균 10 초마다 조직은 랜섬웨어의 피해자가됩니다.”라고 Check Point의 제품 위협 인텔리전스 및 연구 책임자 인 Maya Horowitz는 말했습니다. “최근에는이 증가하는 위협에 대해 정부가 더 많은 조치를 취해야한다는 요청이 있었지만 속도가 줄어들 기미는 보이지 않고 있습니다. 모든 조직은 위험을 인식하고 적절한 랜섬웨어 방지 솔루션이 마련되어 있는지 확인해야합니다. 모든 직원을위한 포괄적 인 교육도 중요하므로 Dridex 및 기타 멀웨어를 유포하는 악성 이메일 유형을 식별하는 데 필요한 기술을 갖추고 있습니다. 랜섬웨어 공격이 시작되는 횟수입니다. "

CPR은 또한 "웹 서버 노출 된 Git 리포지토리 정보 공개"가 가장 일반적으로 악용되는 취약점으로 전 세계 조직의 46 %에 영향을 미치며 그 다음으로 전 세계 조직의 2020 %에 영향을 미치는 "HTTP 헤더 원격 코드 실행 (CVE-13756-45.5)"이 그 뒤를이었습니다. . "MVPower DVR 원격 코드 실행"은 가장 많이 악용 된 취약점 목록에서 44 위를 차지하며 전 세계적으로 XNUMX %의 영향을 미칩니다.

상위 악성 코드 군

* 화살표는 전월 대비 순위 변화를 나타냅니다.

이번 달에 Dridex는 전 세계 조직의 15 %에 영향을 미치는 가장 인기있는 맬웨어이며, 그 뒤를 이어 Agent Tesla와 Trickbot이 전 세계 조직의 12 %와 8 %에 각각 영향을 미쳤습니다.

  1. 드리덱스 – Dridex는 주로 악성 스팸 첨부 파일을 통해 배포되는 Windows 플랫폼을 대상으로하는 트로이 목마입니다. Dridex는 원격 서버에 접속하여 감염된 시스템에 대한 정보를 보내고 명령에 따라 임의의 모듈을 다운로드하여 실행할 수도 있습니다. Dridex 감염은 종종 회사 전체의 랜섬웨어 공격의 초기 발판 역할을합니다.
  2. ↑ 테슬라 요원 – Agent Tesla는 키로거 및 정보 도용자 역할을하는 고급 RAT로, 피해자의 키보드 입력, 시스템 키보드를 모니터링 및 수집하고 스크린 샷을 찍고 Google Chrome을 포함하여 피해자의 컴퓨터에 설치된 다양한 소프트웨어로 자격 증명을 추출 할 수 있습니다. Mozilla Firefox 및 Microsoft Outlook 이메일 클라이언트.
  3. ↑ 트릭 봇 – Trickbot은 새로운 기능, 기능 및 배포 벡터로 지속적으로 업데이트되는 모듈 식 봇넷 및 뱅킹 트로이 목마입니다. 이를 통해 Trickbot은 다목적 캠페인의 일부로 배포 할 수있는 유연하고 사용자 지정 가능한 맬웨어가 될 수 있습니다.

가장 많이 악용되는 취약점

이번 달에 "웹 서버 노출 된 Git 리포지토리 정보 공개"는 전 세계 조직의 46 %에 영향을 미치는 가장 일반적인 악용 취약점으로, 전 세계 조직의 2020 %에 영향을 미치는 "HTTP 헤더 원격 코드 실행 (CVE-13756-45.5)"이 그 뒤를이었습니다. "MVPower DVR 원격 코드 실행"은 전 세계적으로 44 %의 영향을 미치며 가장 많이 악용 된 취약점 목록에서 XNUMX 위를 차지했습니다.

  1. 웹 서버 노출 된 Git 리포지토리 정보 공개 – Git Repository에서 정보 유출 취약성이보고되었습니다. 이 취약점을 성공적으로 악용하면 계정 정보가 의도하지 않게 공개 될 수 있습니다.
  2. HTTP 헤더 원격 코드 실행 (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – HTTP 헤더를 사용하면 클라이언트와 서버가 HTTP 요청과 함께 추가 정보를 전달할 수 있습니다. 원격 공격자는 취약한 HTTP 헤더를 사용하여 피해자 컴퓨터에서 임의의 코드를 실행할 수 있습니다.
  3. MVPower DVR 원격 코드 실행 – MVPower DVR 장치에 원격 코드 실행 취약점이 존재합니다. 원격 공격자는이 취약점을 악용하여 제작 된 요청을 통해 영향을받는 라우터에서 임의의 코드를 실행할 수 있습니다.

상위 모바일 악성 코드

이번 달에는 xHelper가 가장 널리 퍼진 모바일 악성 코드에서 XNUMX 위를 차지했으며 Triada와 Hiddad가 그 뒤를이었습니다.

  1. xHelper – 2019 년 XNUMX 월 이후 야생에서 발견 된 악성 애플리케이션으로 다른 악성 앱을 다운로드하고 광고를 표시하는 데 사용됩니다. 응용 프로그램은 사용자로부터 자신을 숨길 수 있으며 제거 된 경우 다시 설치할 수 있습니다.
  2. 트라이아다 – 다운로드 한 맬웨어에 슈퍼 사용자 권한을 부여하는 Android 용 모듈 식 백도어.
  3. 히다드 – Hiddad는 합법적 인 앱을 다시 패키징 한 다음 타사 스토어에 배포하는 Android 맬웨어입니다. 주요 기능은 광고를 표시하는 것이지만 OS에 내장 된 주요 보안 세부 정보에 액세스 할 수도 있습니다.

Check Point의 Global Threat Impact Index와 ThreatCloud Map은 위협 센서의 글로벌 네트워크에서 위협 데이터와 공격 동향을 제공하는 사이버 범죄에 맞서 싸우는 최대 규모의 협업 네트워크 인 Check Point의 ThreatCloud 인텔리전스를 기반으로합니다. ThreatCloud 데이터베이스는 매일 3 억 개 이상의 웹 사이트와 600 억 개 이상의 파일을 검사하고 매일 250 억 XNUMX 천만 개 이상의 악성 코드 활동을 식별합니다.

10 월의 상위 XNUMX 개 악성 코드 군의 전체 목록은 Check Point 블로그.

Check Point Research 정보 

Check Point Research (CPR)는 선도적 인 사이버 위협 인텔리전스를 Check Point Software 고객과 더 큰 정보 커뮤니티. 연구팀은 ThreatCloud에 저장된 글로벌 사이버 공격 데이터를 수집하고 분석하여 해커를 막는 동시에 모든 Check Point 솔루션이 최신 보호 기능으로 업데이트되도록합니다. 연구팀은 다른 보안 공급 업체, 법 집행 기관 및 다양한 CERT와 협력하는 100 명 이상의 분석가 및 연구원으로 구성됩니다.

다음을 통해 Check Point Research를 따르십시오.

About Check Point Software 테크놀로지스  

Check Point Software 테크놀로지스(www.checkpoint.com)는 전 세계 정부 및 기업에 사이버 보안 솔루션을 제공하는 선도적 인 공급 업체입니다. Check Point Infinity의 솔루션 포트폴리오는 업계 최고의 맬웨어, 랜섬웨어 및 기타 위협 포착률을 통해 5 세대 사이버 공격으로부터 기업과 공공 조직을 보호합니다. Infinity는 엔터프라이즈 환경 전반에 걸쳐 타협하지 않는 보안 및 V 세대 위협 방지를 제공하는 세 가지 핵심 기둥으로 구성됩니다. 원격 사용자를위한 Check Point Harmony; Check Point CloudGuard는 클라우드를 자동으로 보호합니다. 그리고 Check Point Quantum은 업계에서 가장 포괄적이고 직관적 인 통합 보안 관리로 제어되는 네트워크 경계와 데이터 센터를 보호합니다. Check Point는 모든 규모의 100,000 개 이상의 조직을 보호합니다.

# # #