ระวังมัลแวร์ Valak Variant - คำแนะนำจากนักวิจัย Check Point

shahadat-rahman-BfrQnKBulYQ-unsplash

บทสรุปของบรรณาธิการ: นักวิจัยจาก Check Point ได้รายงานว่ามีมัลแวร์ Valak ที่แตกต่างกันออกไปในรายงานมัลแวร์อันดับต้น ๆ ของเดือนกันยายนปี 2020 ตัวแปร Valak ใหม่สามารถขโมยข้อมูลจากบุคคลและองค์กรและอาจส่งผลกระทบต่อเซิร์ฟเวอร์อีเมลที่ใช้ Microsoft Exchange และยังส่งผลต่อข้อมูลรับรองและใบรับรองโดเมนของผู้ใช้ ข่าวประชาสัมพันธ์ของผู้จำหน่ายอยู่ด้านล่าง

มัลแวร์ที่ต้องการตัวมากที่สุดในเดือนกันยายนปี 2020: ตัวแปร Valak ที่ขโมยข้อมูลใหม่เข้าสู่รายชื่อมัลแวร์ 10 อันดับแรกเป็นครั้งแรก

นักวิจัย Check Point พบว่ามีการโจมตีเพิ่มขึ้นอย่างรวดเร็วโดยใช้มัลแวร์ Valak ตัวใหม่ในขณะที่ Emotet โทรจันยังคงอยู่ในอันดับที่ 1 เป็นเดือนที่สามติดต่อกัน

สิงคโปร์, @mcgallen #microwireข้อมูล 8 ตุลาคม 2020 - การวิจัยจุดตรวจสอบหน่วยข่าวกรองภัยคุกคามของ Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ซึ่งเป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยทางไซเบอร์ชั้นนำทั่วโลกได้เผยแพร่ดัชนีภัยคุกคามทั่วโลกล่าสุดสำหรับเดือนกันยายน 2020 นักวิจัยพบว่ามัลแวร์ Valak เวอร์ชันอัปเดตได้เข้าสู่ดัชนีเป็นครั้งแรกโดยอยู่ในอันดับ 9 มัลแวร์ในเดือนกันยายน

พบครั้งแรกในปลายปี 2019 Valak เป็นภัยคุกคามที่ซับซ้อนซึ่งก่อนหน้านี้ถูกจัดประเภทเป็นตัวโหลดมัลแวร์ ในช่วงไม่กี่เดือนที่ผ่านมามีการค้นพบสายพันธุ์ใหม่ที่มีการเปลี่ยนแปลงการทำงานที่สำคัญซึ่งทำให้ Valak สามารถทำงานเป็นผู้ขโมยข้อมูลที่สามารถกำหนดเป้าหมายทั้งบุคคลและองค์กรได้ Valak เวอร์ชันใหม่นี้สามารถขโมยข้อมูลที่ละเอียดอ่อนจากระบบเมลของ Microsoft Exchange ตลอดจนข้อมูลประจำตัวของผู้ใช้และใบรับรองโดเมน ในช่วงเดือนกันยายน Valak ถูกแพร่กระจายอย่างกว้างขวางโดยแคมเปญ malspam ที่มีไฟล์. doc ที่เป็นอันตราย

Emotet โทรจันยังคงอยู่ในอันดับที่ 1 ในดัชนีเป็นเดือนที่สามติดต่อกันซึ่งส่งผลกระทบต่อ 14% ขององค์กรทั่วโลก โทรจัน Qbot ซึ่งเข้าสู่รายชื่อเป็นครั้งแรกในเดือนสิงหาคมยังถูกใช้กันอย่างแพร่หลายในเดือนกันยายนโดยเพิ่มขึ้นจาก 10 เป็น 6 ในดัชนี

“ แคมเปญใหม่เหล่านี้ที่แพร่กระจาย Valak เป็นอีกตัวอย่างหนึ่งของวิธีที่ผู้คุกคามมองหาเพื่อเพิ่มการลงทุนในรูปแบบมัลแวร์ที่ได้รับการพิสูจน์แล้ว ร่วมกับ Qbot เวอร์ชันอัปเดตซึ่งเปิดตัวในเดือนสิงหาคม Valak มีวัตถุประสงค์เพื่อเปิดใช้งานการขโมยข้อมูลและข้อมูลรับรองจากองค์กรและบุคคลในวงกว้าง ธุรกิจควรมองไปที่การปรับใช้โซลูชันป้องกันมัลแวร์ที่สามารถป้องกันไม่ให้เนื้อหาดังกล่าวเข้าถึงผู้ใช้ปลายทางและแนะนำให้พนักงานระมัดระวังในการเปิดอีเมลแม้ว่าพวกเขาจะมาจากแหล่งที่เชื่อถือได้ก็ตาม” Maya Horowitz ผู้อำนวยการหน่วยข่าวกรองภัยคุกคามกล่าว & วิจัยผลิตภัณฑ์ ณ จุดตรวจสอบ

ทีมวิจัยยังเตือนด้วยว่า“ MVPower DVR Remote Code Execution” เป็นช่องโหว่ที่ถูกใช้บ่อยที่สุดโดยส่งผลกระทบ 46% ขององค์กรทั่วโลกตามด้วย“ Dasan GPON Router Authentication Bypass” ซึ่งส่งผลกระทบ 42% ขององค์กรทั่วโลก “ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)” มีผลกระทบทั่วโลก 36%

ตระกูลมัลแวร์อันดับต้น ๆ

* ลูกศรเกี่ยวข้องกับการเปลี่ยนแปลงอันดับเมื่อเทียบกับเดือนก่อนหน้า

เดือนนี้ Emotet ยังคงเป็นมัลแวร์ที่ได้รับความนิยมมากที่สุดโดยมีผลกระทบทั่วโลกถึง 14% ขององค์กรตามด้วย Trickbot และ Dridex ที่ส่งผลกระทบ 4% และ 3% หรือองค์กรทั่วโลกตามลำดับ

  1. ↔ Emotet - Emotet เป็นโทรจันขั้นสูงที่แพร่กระจายตัวเองและโมดูลาร์ Emotet เดิมเป็นโทรจันของธนาคาร แต่เพิ่งถูกใช้เป็นตัวแทนจำหน่ายมัลแวร์หรือแคมเปญที่เป็นอันตรายอื่น ๆ ใช้หลายวิธีในการรักษาความคงอยู่และเทคนิคการหลบหลีกเพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้ยังสามารถแพร่กระจายผ่านอีเมลสแปมฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย
  2. ↑ Trickbot - Trickbot เป็นโทรจันด้านการธนาคารที่โดดเด่นซึ่งได้รับการปรับปรุงอย่างต่อเนื่องด้วยความสามารถคุณสมบัติและเวกเตอร์การกระจายใหม่ ๆ สิ่งนี้ทำให้ Trickbot เป็นมัลแวร์ที่ยืดหยุ่นและปรับแต่งได้ซึ่งสามารถแจกจ่ายเป็นส่วนหนึ่งของแคมเปญหลายวัตถุประสงค์
  3. ↑ Dridex - Dridex เป็นโทรจันที่กำหนดเป้าหมายไปที่แพลตฟอร์ม Windows และมีรายงานว่าดาวน์โหลดผ่านไฟล์แนบอีเมลขยะ Dridex ติดต่อเซิร์ฟเวอร์ระยะไกลและส่งข้อมูลเกี่ยวกับระบบที่ติดไวรัส นอกจากนี้ยังสามารถดาวน์โหลดและเรียกใช้โมดูลตามอำเภอใจที่ได้รับจากเซิร์ฟเวอร์ระยะไกล

ช่องโหว่ยอดนิยม

เดือนนี้“ MVPower DVR Remote Code Execution” เป็นช่องโหว่ที่ถูกใช้บ่อยที่สุดโดยส่งผลกระทบ 46% ขององค์กรทั่วโลกตามด้วย“ Dasan GPON Router Authentication Bypass” ซึ่งส่งผลกระทบ 42% ขององค์กรทั่วโลก “ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)” อยู่ในอันดับที่ 36 โดยมีผลกระทบทั่วโลก XNUMX%

  1. ↑การดำเนินการรหัสระยะไกล MVPower DVR - ช่องโหว่การเรียกใช้รหัสระยะไกลที่มีอยู่ในอุปกรณ์ MVPower DVR ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากจุดอ่อนนี้เพื่อเรียกใช้รหัสตามอำเภอใจในเราเตอร์ที่ได้รับผลกระทบผ่านคำขอที่สร้างขึ้น
  2. Dasan GPON Router Authentication Bypass (CVE-2018-10561) - ช่องโหว่การเลี่ยงผ่านการตรวจสอบสิทธิ์ที่มีอยู่ในเราเตอร์ Dasan GPON การใช้ช่องโหว่นี้อย่างประสบความสำเร็จจะทำให้ผู้โจมตีจากระยะไกลได้รับข้อมูลที่ละเอียดอ่อนและเข้าถึงระบบที่ได้รับผลกระทบโดยไม่ได้รับอนุญาต
  3. ↑การเปิดเผยข้อมูลการเต้นของหัวใจ OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - มีช่องโหว่ในการเปิดเผยข้อมูลใน OpenSSL ช่องโหว่นี้เกิดจากข้อผิดพลาดเมื่อจัดการกับแพ็กเก็ตการเต้นของหัวใจ TLS / DTLS ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อเปิดเผยเนื้อหาหน่วยความจำของไคลเอนต์หรือเซิร์ฟเวอร์ที่เชื่อมต่อ

ตระกูลมัลแวร์มือถืออันดับต้น ๆ

เดือนนี้ xHelper เป็นมัลแวร์บนมือถือที่ได้รับความนิยมมากที่สุดตามด้วย Xafecopy และ Hiddad

  1. xHelper - แอปพลิเคชันที่เป็นอันตรายซึ่งพบเห็นได้ทั่วไปตั้งแต่เดือนมีนาคม 2019 ใช้สำหรับดาวน์โหลดแอปที่เป็นอันตรายอื่น ๆ และแสดงโฆษณา แอปพลิเคชันสามารถซ่อนตัวเองจากผู้ใช้และติดตั้งตัวเองใหม่ในกรณีที่ถูกถอนการติดตั้ง
  2. Xafekopy - Xafecopy Trojan ปลอมตัวเป็นแอพที่มีประโยชน์เช่น Battery Master โทรจันแอบโหลดโค้ดที่เป็นอันตรายลงในอุปกรณ์ เมื่อเปิดใช้งานแอปแล้วมัลแวร์ Xafecopy จะคลิกบนหน้าเว็บที่มีการเรียกเก็บเงิน Wireless Application Protocol (WAP) ซึ่งเป็นรูปแบบการชำระเงินมือถือที่เรียกเก็บค่าใช้จ่ายโดยตรงไปยังบิลโทรศัพท์มือถือของผู้ใช้
  3. ฮิดดัด - Hiddad เป็นมัลแวร์ Android ที่บรรจุแอปที่ถูกต้องตามกฎหมายใหม่จากนั้นเผยแพร่ไปยังร้านค้าของบุคคลที่สาม หน้าที่หลักคือการแสดงโฆษณา แต่ยังสามารถเข้าถึงรายละเอียดการรักษาความปลอดภัยที่สำคัญในระบบปฏิบัติการได้อีกด้วย

ดัชนีผลกระทบภัยคุกคามทั่วโลกของ Check Point และ ThreatCloud Map ขับเคลื่อนโดยหน่วยสืบราชการลับ ThreatCloud ของ Check Point ซึ่งเป็นเครือข่ายความร่วมมือที่ใหญ่ที่สุดในการต่อสู้กับอาชญากรรมทางไซเบอร์ซึ่งให้ข้อมูลภัยคุกคามและแนวโน้มการโจมตีจากเครือข่ายเซ็นเซอร์ภัยคุกคามทั่วโลก ฐานข้อมูล ThreatCloud ตรวจสอบเว็บไซต์กว่า 2.5 พันล้านไฟล์และ 500 ล้านไฟล์ต่อวันและระบุกิจกรรมมัลแวร์มากกว่า 250 ล้านรายการทุกวัน

รายชื่อตระกูลมัลแวร์ 10 อันดับแรกทั้งหมดในเดือนกันยายนสามารถพบได้ใน Check Point Blog. แหล่งข้อมูลการป้องกันภัยคุกคามของ Check Point มีอยู่ที่ http://www.checkpoint.com/threat-prevention-resources/index.html.

เกี่ยวกับ Check Point Research
Check Point Research นำเสนอข่าวกรองภัยคุกคามทางไซเบอร์ชั้นนำให้กับลูกค้า Check Point Software และชุมชนข่าวกรองที่มากขึ้น ทีมวิจัยรวบรวมและวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ทั่วโลกที่จัดเก็บบน ThreatCloud เพื่อป้องกันแฮกเกอร์ขณะเดียวกันก็มั่นใจได้ว่าผลิตภัณฑ์ Check Point ทั้งหมดจะได้รับการอัปเดตด้วยการป้องกันล่าสุด ทีมวิจัยประกอบด้วยนักวิเคราะห์และนักวิจัยกว่า 100 คนที่ร่วมมือกับผู้ขายความปลอดภัยอื่น ๆ การบังคับใช้กฎหมายและ CERT ต่างๆ

ติดตาม Check Point Research ได้ทาง:

เกี่ยวกับ Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) เป็นผู้ให้บริการโซลูชั่นการรักษาความปลอดภัยไซเบอร์ชั้นนำให้กับรัฐบาลและองค์กรต่างๆทั่วโลก โซลูชันของ Check Point ช่วยปกป้องลูกค้าจากการโจมตีทางไซเบอร์รุ่นที่ 5 ด้วยอัตราการดักจับมัลแวร์แรนซัมแวร์และภัยคุกคามขั้นสูงที่เป็นเป้าหมายในอุตสาหกรรม Check Point นำเสนอสถาปัตยกรรมการรักษาความปลอดภัยหลายระดับ“ Infinity Total Protection พร้อมการป้องกันภัยคุกคามขั้นสูง Gen V” สถาปัตยกรรมผลิตภัณฑ์แบบผสมผสานนี้ปกป้องระบบคลาวด์เครือข่ายและอุปกรณ์พกพาขององค์กร Check Point นำเสนอระบบการจัดการความปลอดภัยในการควบคุมจุดเดียวที่ครอบคลุมและใช้งานง่ายที่สุด Check Point ปกป้องมากกว่า 100,000 องค์กรทุกขนาด

# # #