ระวังเทคนิคจาก Trickbot และ Emotet Trojans ซึ่งเป็นคำแนะนำจาก Check Point Research

shahadat-rahman-BfrQnKBulYQ-unsplash

บทสรุปของบรรณาธิการ: การระบาดทั่วโลกกำลังเกิดขึ้นอย่างหนักในฤดูใบไม้ร่วง / ฤดูหนาวในขณะนี้โดยมีการเพิ่มขึ้นอย่างรวดเร็วในยุโรปและอเมริกาเหนือ แม้จะมีการโจมตีหลายครั้ง แต่เหตุการณ์ด้านความปลอดภัยทางไซเบอร์และภัยคุกคามก็ยังคงเพิ่มขึ้นเรื่อย ๆ โดยเฉพาะอย่างยิ่งอาจเกิดจากการขาดสถาปัตยกรรมการรักษาความปลอดภัยทางไซเบอร์แบบครบวงจรที่คนงานระยะไกลจำนวนมากต้องอดทนในช่วงปีนี้ Check Point Research ยืนยันว่า Emotet และ Trickbot โทรจันยังคงสร้างความกังวลให้กับทั่วโลกในรายงานมัลแวร์ประจำเดือนตุลาคม 2020 รุ่นของผู้จำหน่ายอยู่ด้านล่าง


มัลแวร์ที่ต้องการตัวมากที่สุดในเดือนตุลาคมปี 2020: Trickbot และ Emotet Trojans กำลังกระตุ้นการโจมตีของ Ransomware

Check Point Research รายงานว่า Trickbot และ Emotet อยู่ในอันดับต้น ๆ ของ Global Threat Index และถูกนำไปใช้เพื่อแจกจ่าย ransomware กับโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพทั่วโลก

สิงคโปร์, @mcgallen #microwireข้อมูล 9 พฤศจิกายน 2020 - การวิจัยจุดตรวจสอบหน่วยข่าวกรองภัยคุกคามของ Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ซึ่งเป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยทางไซเบอร์ชั้นนำทั่วโลกได้เผยแพร่ดัชนีภัยคุกคามทั่วโลกล่าสุดสำหรับเดือนตุลาคม 2020 นักวิจัยรายงานว่าโทรจัน Trickbot และ Emotet ยังคงติดอันดับมัลแวร์ที่แพร่หลายมากที่สุด XNUMX อันดับแรกในเดือนตุลาคมและ โทรจันมีส่วนรับผิดชอบต่อการโจมตีของ ransomware ที่เพิ่มขึ้นอย่างรวดเร็วต่อโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพทั่วโลก

เอฟบีไอและหน่วยงานรัฐบาลอื่น ๆ ของสหรัฐอเมริกาเพิ่งออก คำเตือน เกี่ยวกับการโจมตีของ ransomware ที่มุ่งเป้าไปที่ภาคการดูแลสุขภาพเตือนว่ามีการใช้การติดเชื้อ Trickbot กว่าล้านตัวทั่วโลกเพื่อดาวน์โหลดและแพร่กระจาย ransomware ที่เข้ารหัสไฟล์เช่น Ryuk Ryuk ยังเผยแพร่ผ่าน Emotet โทรจันซึ่งยังคงอยู่ในอันดับที่ 1 ในดัชนีมัลแวร์ยอดนิยมเป็นเดือนที่สี่ติดต่อกัน

ข้อมูลข่าวกรองภัยคุกคามของ Check Point แสดงให้เห็นว่าภาคการดูแลสุขภาพตกเป็นเป้าหมายของ ransomware ในสหรัฐอเมริกามากที่สุดในเดือนตุลาคมโดยการโจมตีเพิ่มขึ้น 71% เมื่อเทียบกับเดือนกันยายน 2020 ในทำนองเดียวกันการโจมตีของ ransomware ต่อองค์กรด้านการแพทย์และโรงพยาบาลในเดือนตุลาคมเพิ่มขึ้น 36% ใน EMEA และ 33% ใน APAC

“ เราได้เห็นการโจมตีของแรนซัมแวร์เพิ่มขึ้นตั้งแต่เริ่มมีการแพร่ระบาดของไวรัสโคโรนาเพื่อพยายามใช้ประโยชน์จากช่องว่างด้านความปลอดภัยในขณะที่องค์กรต่างๆมีสัญญาณรบกวนเพื่อสนับสนุนเจ้าหน้าที่จากระยะไกล สิ่งเหล่านี้เพิ่มขึ้นอย่างน่าตกใจในช่วงสามเดือนที่ผ่านมาโดยเฉพาะอย่างยิ่งกับภาคการดูแลสุขภาพและได้รับแรงหนุนจากการติดเชื้อ TrickBot และ Emotet ที่มีอยู่ก่อนแล้ว เราขอเรียกร้องให้องค์กรด้านการดูแลสุขภาพทุกแห่งระมัดระวังเป็นพิเศษเกี่ยวกับความเสี่ยงนี้และสแกนหาการติดเชื้อเหล่านี้ก่อนที่จะก่อให้เกิดความเสียหายจริงด้วยการเป็นประตูสู่การโจมตีของแรนซัมแวร์” Maya Horowitz ผู้อำนวยการหน่วยข่าวกรองและวิจัยภัยคุกคามผลิตภัณฑ์ของ Check Point กล่าว .

ทีมวิจัยยังเตือนด้วยว่า“ MVPower DVR Remote Code Execution” เป็นช่องโหว่ที่พบบ่อยที่สุดซึ่งส่งผลกระทบต่อ 43% ขององค์กรทั่วโลกตามด้วย“ Dasan GPON Router Authentication Bypass” และ“ HTTP Headers Remote Code Execution (CVE-2020-13756) ” ซึ่งส่งผลกระทบต่อ 42% ขององค์กรทั่วโลก

ตระกูลมัลแวร์อันดับต้น ๆ

* ลูกศรเกี่ยวข้องกับการเปลี่ยนแปลงอันดับเมื่อเทียบกับเดือนก่อนหน้า

ในเดือนนี้ Emotet ยังคงเป็นมัลแวร์ที่ได้รับความนิยมมากที่สุดโดยมีผลกระทบทั่วโลกถึง 12% ขององค์กรตามด้วย Trickbot และ Hiddad ซึ่งส่งผลกระทบต่อ 4% ขององค์กรทั่วโลก

  1. ↔ Emotet - Emotet เป็นโทรจันที่แพร่กระจายตัวเองขั้นสูงและโมดูลาร์ ครั้งหนึ่ง Emotet เคยใช้เป็นโทรจันของธนาคารและเมื่อไม่นานมานี้ถูกใช้เป็นตัวกระจายมัลแวร์หรือแคมเปญที่เป็นอันตรายอื่น ๆ ใช้หลายวิธีในการรักษาความคงอยู่และเทคนิคการหลบหลีกเพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้ยังสามารถแพร่กระจายผ่านอีเมลสแปมฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย
  2.  ↔ Trickbot - Trickbot เป็นโทรจันด้านการธนาคารที่โดดเด่นซึ่งได้รับการอัปเดตความสามารถคุณลักษณะและเวกเตอร์การกระจายใหม่ สิ่งนี้ทำให้ Trickbot เป็นมัลแวร์ที่ยืดหยุ่นและปรับแต่งได้ซึ่งสามารถแจกจ่ายเป็นส่วนหนึ่งของแคมเปญที่มีวัตถุประสงค์หลายอย่าง
  3. ↑ฮิดดัด - Hiddad เป็นมัลแวร์ Android ที่บรรจุแอปที่ถูกต้องตามกฎหมายแล้วเผยแพร่ไปยังร้านค้าของบุคคลที่สาม หน้าที่หลักคือการแสดงโฆษณา แต่ยังสามารถเข้าถึงรายละเอียดความปลอดภัยที่สำคัญที่มีอยู่ในระบบปฏิบัติการได้

ช่องโหว่ยอดนิยม

เดือนนี้“ MVPower DVR Remote Code Execution” เป็นช่องโหว่ที่ถูกใช้บ่อยที่สุดซึ่งส่งผลกระทบต่อ 43% ขององค์กรทั่วโลกตามด้วย“ Dasan GPON Router Authentication Bypass” และ“ HTTP Headers Remote Code Execution (CVE-2020-13756)” ซึ่งส่งผลกระทบทั้งคู่ 42% ขององค์กรทั่วโลก

  1. ↔การดำเนินการรหัสระยะไกล MVPower DVR - ช่องโหว่ในการเรียกใช้รหัสระยะไกลมีอยู่ในอุปกรณ์ MVPower DVR ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากจุดอ่อนนี้เพื่อเรียกใช้รหัสตามอำเภอใจในเราเตอร์ที่ได้รับผลกระทบผ่านคำขอที่สร้างขึ้น
  2. ↔ Dasan GPON Router Authentication Bypass (CVE-2018-10561) - ช่องโหว่การเลี่ยงผ่านการตรวจสอบสิทธิ์ที่มีอยู่ในเราเตอร์ Dasan GPON การใช้ช่องโหว่นี้อย่างประสบความสำเร็จจะทำให้ผู้โจมตีจากระยะไกลได้รับข้อมูลที่ละเอียดอ่อนและเข้าถึงระบบที่ได้รับผลกระทบโดยไม่ได้รับอนุญาต
  3. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) - ส่วนหัว HTTP ให้ไคลเอ็นต์และเซิร์ฟเวอร์ส่งข้อมูลเพิ่มเติมด้วยคำขอ HTTP ผู้โจมตีระยะไกลอาจใช้ HTTP Header ที่มีช่องโหว่เพื่อเรียกใช้รหัสบนเครื่องเหยื่อโดยอำเภอใจ

มัลแวร์มือถืออันดับต้น ๆ

เดือนนี้ Hiddad เป็นมัลแวร์มือถือที่แพร่หลายมากที่สุดตามด้วย xHelper และ Lotoor

  1. ฮิดดัด - Hiddad เป็นมัลแวร์ Android ที่บรรจุแอปที่ถูกต้องตามกฎหมายใหม่จากนั้นเผยแพร่ไปยังร้านค้าของบุคคลที่สาม หน้าที่หลักคือการแสดงโฆษณา แต่ยังสามารถเข้าถึงรายละเอียดการรักษาความปลอดภัยที่สำคัญในระบบปฏิบัติการได้อีกด้วย
  2. xHelper - xHelper เป็นแอปพลิเคชั่นอันตรายที่พบเห็นได้ทั่วไปตั้งแต่เดือนมีนาคม 2019 ใช้สำหรับดาวน์โหลดแอปที่เป็นอันตรายอื่น ๆ และแสดงโฆษณา แอปพลิเคชันสามารถซ่อนตัวเองจากผู้ใช้และติดตั้งตัวเองใหม่ในกรณีที่ถอนการติดตั้ง
  3. Lotoor - Lotoor เป็นเครื่องมือแฮ็คที่ใช้ช่องโหว่บนระบบปฏิบัติการ Android เพื่อรับสิทธิ์รูทบนอุปกรณ์มือถือที่ถูกบุกรุก

ดัชนีผลกระทบภัยคุกคามทั่วโลกของ Check Point และ ThreatCloud Map ขับเคลื่อนโดยหน่วยสืบราชการลับ ThreatCloud ของ Check Point ซึ่งเป็นเครือข่ายความร่วมมือที่ใหญ่ที่สุดในการต่อสู้กับอาชญากรรมทางไซเบอร์ซึ่งให้ข้อมูลภัยคุกคามและแนวโน้มการโจมตีจากเครือข่ายเซ็นเซอร์ภัยคุกคามทั่วโลก ฐานข้อมูล ThreatCloud ตรวจสอบเว็บไซต์กว่า 2.5 พันล้านไฟล์และ 500 ล้านไฟล์ต่อวันและระบุกิจกรรมมัลแวร์มากกว่า 250 ล้านรายการทุกวัน

รายชื่อตระกูลมัลแวร์ 10 อันดับแรกทั้งหมดในเดือนตุลาคมมีอยู่ใน Check Point Blog แหล่งข้อมูลการป้องกันภัยคุกคามของ Check Point มีอยู่ที่  http://www.checkpoint.com/threat-prevention-resources/index.html

เกี่ยวกับ Check Point Research

Check Point Research นำเสนอข่าวกรองภัยคุกคามทางไซเบอร์ชั้นนำให้กับลูกค้า Check Point Software และชุมชนข่าวกรองที่มากขึ้น ทีมวิจัยรวบรวมและวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ทั่วโลกที่จัดเก็บบน ThreatCloud เพื่อป้องกันแฮกเกอร์ขณะเดียวกันก็มั่นใจได้ว่าผลิตภัณฑ์ Check Point ทั้งหมดจะได้รับการอัปเดตด้วยการป้องกันล่าสุด ทีมวิจัยประกอบด้วยนักวิเคราะห์และนักวิจัยกว่า 100 คนที่ร่วมมือกับผู้ขายความปลอดภัยอื่น ๆ การบังคับใช้กฎหมายและ CERT ต่างๆ

ติดตาม Check Point Research ได้ทาง:

เกี่ยวกับ Check Point Software Technologies Ltd.

Check Point Software เทคโนโลยีส์ จำกัด (www.checkpoint.com) เป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยทางไซเบอร์ชั้นนำให้กับรัฐบาลและองค์กรต่างๆทั่วโลก โซลูชันของ Check Point ช่วยปกป้องลูกค้าจากการโจมตีทางไซเบอร์รุ่นที่ 5 ด้วยอัตราการจับมัลแวร์แรนซัมแวร์และภัยคุกคามขั้นสูงที่เป็นเป้าหมายในอุตสาหกรรม Check Point นำเสนอสถาปัตยกรรมการรักษาความปลอดภัยหลายระดับ“ Infinity Total Protection พร้อมการป้องกันภัยคุกคามขั้นสูง Gen V” สถาปัตยกรรมผลิตภัณฑ์แบบผสมผสานนี้ปกป้องระบบคลาวด์เครือข่ายและอุปกรณ์พกพาขององค์กร Check Point นำเสนอระบบการจัดการความปลอดภัยในการควบคุมจุดเดียวที่ครอบคลุมและใช้งานง่ายที่สุด Check Point ปกป้องมากกว่า 100,000 องค์กรทุกขนาด

# # #