โพสต์

บทสรุปของบรรณาธิการ: จากการวิจัยของผู้ขายความปลอดภัยทางไซเบอร์ Check Point Softwareการจับกุม Emotet botnet โดยทีมตำรวจสากลในเดือนมกราคม 2021 ผู้คุกคามได้กลับไปใช้ Trickbot trojan เป็นเครื่องมือในการพยายามแทรกซึมและใช้ประโยชน์จากเครือข่ายและอุปกรณ์ต่างๆ รุ่นของผู้จำหน่ายอยู่ด้านล่าง

มัลแวร์ที่ต้องการตัวมากที่สุดในเดือนกุมภาพันธ์ 2021: Trickbot เข้าครอบงำหลังจากปิด Emotet

Check Point Research รายงานว่าหลังจากการดำเนินการของตำรวจสากลที่เข้าควบคุม Emotet ในเดือนมกราคมอาชญากรไซเบอร์ได้หันมาใช้ Trickbot เพื่อรักษากิจกรรมที่เป็นอันตราย

สิงคโปร์, @mcgallen #microwireข้อมูล 12 มีนาคม 2021 - การวิจัยจุดตรวจสอบหน่วยข่าวกรองภัยคุกคามของ Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ซึ่งเป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยทางไซเบอร์ชั้นนำทั่วโลกได้เผยแพร่ดัชนีภัยคุกคามทั่วโลกล่าสุดสำหรับเดือนกุมภาพันธ์ 2021 นักวิจัยรายงานว่าโทรจัน Trickbot ติดอันดับดัชนีเป็นครั้งแรกโดยเพิ่มขึ้นจากอันดับที่สามในเดือนมกราคม

ต่อไปนี้ การลบออกของ Emotet botnet ในเดือนมกราคมนักวิจัยของ Check Point รายงานว่ากลุ่มอาชญากรไซเบอร์กำลังใช้เทคนิคใหม่กับมัลแวร์เช่น Trickbot เพื่อดำเนินกิจกรรมที่เป็นอันตรายต่อไป ในช่วงเดือนกุมภาพันธ์ Trickbot ได้รับการเผยแพร่ผ่านแคมเปญสแปมที่เป็นอันตรายซึ่งออกแบบมาเพื่อหลอกลวงผู้ใช้ในภาคกฎหมายและการประกันภัยให้ดาวน์โหลดไฟล์. zip ที่มีไฟล์ JavaScript ที่เป็นอันตรายไปยังพีซีของตน เมื่อเปิดไฟล์นี้แล้วไฟล์จะพยายามดาวน์โหลดเพย์โหลดที่เป็นอันตรายเพิ่มเติมจากเซิร์ฟเวอร์ระยะไกล

Trickbot เป็นมัลแวร์ที่แพร่หลายมากที่สุดอันดับ 4 ทั่วโลกในปี 2020 ซึ่งส่งผลกระทบต่อ 8% ขององค์กร มีบทบาทสำคัญในหนึ่งในการโจมตีทางไซเบอร์ที่มีชื่อเสียงและมีราคาแพงที่สุดในปี 2020 ซึ่งกระทบต่อ Universal Health Services (UHS) ซึ่งเป็นผู้ให้บริการด้านการดูแลสุขภาพชั้นนำใน UHS ของสหรัฐอเมริกา โดน Ryuk ransomware และ ระบุ การโจมตีครั้งนี้ทำให้สูญเสียรายได้และค่าใช้จ่ายไป 67 ล้านดอลลาร์สหรัฐ ผู้โจมตีใช้ Trickbot เพื่อตรวจจับและเก็บเกี่ยวข้อมูลจากระบบของ UHS จากนั้นจึงส่งข้อมูลของ ransomware

“ อาชญากรจะใช้ภัยคุกคามและเครื่องมือที่มีอยู่ต่อไปและ Trickbot ได้รับความนิยมเนื่องจากมีความเก่งกาจและมีประวัติความสำเร็จในการโจมตีครั้งก่อน ๆ ” Maya Horowitz ผู้อำนวยการหน่วยข่าวกรองและการวิจัยภัยคุกคามผลิตภัณฑ์ของ Check Point กล่าว “ ตามที่เราสงสัยแม้ว่าภัยคุกคามที่สำคัญจะถูกลบออกไป แต่ก็ยังมีอีกหลายอย่างที่ยังคงมีความเสี่ยงสูงในเครือข่ายทั่วโลกดังนั้นองค์กรต่างๆจึงต้องตรวจสอบให้แน่ใจว่ามีระบบรักษาความปลอดภัยที่แข็งแกร่งเพื่อป้องกันไม่ให้เครือข่ายถูกบุกรุกและลดความเสี่ยงให้น้อยที่สุด การฝึกอบรมที่ครอบคลุมสำหรับพนักงานทุกคนเป็นสิ่งสำคัญดังนั้นพวกเขาจึงมีทักษะที่จำเป็นในการระบุประเภทของอีเมลที่เป็นอันตรายซึ่งแพร่กระจาย Trickbot และมัลแวร์อื่น ๆ ”

การวิจัยจุดตรวจเตือนยังเตือนด้วยว่า“ การเปิดเผยข้อมูล Git Repository ของเว็บเซิร์ฟเวอร์” เป็นช่องโหว่ที่พบบ่อยที่สุดซึ่งส่งผลกระทบต่อ 48% ขององค์กรทั่วโลกตามด้วย“ HTTP Headers Remote Code Execution (CVE-2020-13756)” ซึ่งส่งผลกระทบ 46% ของ องค์กรทั่วโลก “ MVPower DVR Remote Code Execution” เป็นอันดับที่สามในรายการช่องโหว่ที่ถูกใช้ประโยชน์สูงสุดโดยมีผลกระทบทั่วโลกถึง 45%

ตระกูลมัลแวร์อันดับต้น ๆ

* ลูกศรเกี่ยวข้องกับการเปลี่ยนแปลงอันดับเมื่อเทียบกับเดือนก่อนหน้า

ในเดือนนี้ Trickbot ได้รับการจัดอันดับให้เป็นมัลแวร์ที่ได้รับความนิยมมากที่สุดซึ่งส่งผลกระทบต่อ 3% ขององค์กรทั่วโลกตามด้วย XMRig และ Qbot ซึ่งส่งผลกระทบต่อ 3% ขององค์กรทั่วโลกตามลำดับ

  1. ↑ Trickbot - Trickbot เป็นบอทเน็ตและโทรจันธนาคารที่โดดเด่นได้รับการอัปเดตอย่างต่อเนื่องด้วยความสามารถคุณสมบัติและเวกเตอร์การกระจายใหม่ ๆ ทำให้ Trickbot เป็นมัลแวร์ที่ยืดหยุ่นและปรับแต่งได้ซึ่งสามารถแจกจ่ายเป็นส่วนหนึ่งของแคมเปญอเนกประสงค์
  2. ↑ XMRig - XMRig เป็นซอฟต์แวร์การขุด CPU แบบโอเพนซอร์สที่ใช้สำหรับกระบวนการขุดของ Monero cryptocurrency และมีให้เห็นครั้งแรกในเดือนพฤษภาคม 2017
  3. ↑ Qbot - Qbot เป็นโทรจันด้านการธนาคารที่ปรากฏตัวครั้งแรกในปี 2008 ซึ่งออกแบบมาเพื่อขโมยข้อมูลประจำตัวและการกดแป้นพิมพ์ของผู้ใช้ บ่อยครั้งที่เผยแพร่ผ่านทางอีเมลขยะ Qbot ใช้เทคนิคการต่อต้าน VM การป้องกันการแก้ไขจุดบกพร่องและการต่อต้านแซนด์บ็อกซ์หลายอย่างเพื่อขัดขวางการวิเคราะห์และหลบเลี่ยงการตรวจจับ

ช่องโหว่ยอดนิยม

เดือนนี้“ การเปิดเผยข้อมูล Git Repository ของ Web Server” เป็นช่องโหว่ที่พบบ่อยที่สุดซึ่งส่งผลกระทบต่อ 48% ขององค์กรทั่วโลกตามด้วย“ HTTP Headers Remote Code Execution (CVE-2020-13756)” ซึ่งส่งผลกระทบ 46% ขององค์กรทั่วโลก “ MVPower DVR Remote Code Execution” เป็นอันดับที่สามในรายการช่องโหว่ที่ถูกใช้ประโยชน์สูงสุดโดยมีผลกระทบทั่วโลกถึง 45%

  1. การเปิดเผยข้อมูล Git Repository ของเว็บเซิร์ฟเวอร์ - ช่องโหว่ในการเปิดเผยข้อมูลที่ได้รับการรายงานใน Git Repository การใช้ช่องโหว่นี้อย่างประสบความสำเร็จอาจทำให้มีการเปิดเผยข้อมูลบัญชีโดยไม่ได้ตั้งใจ
  2. ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) - ส่วนหัว HTTP ให้ไคลเอ็นต์และเซิร์ฟเวอร์ส่งข้อมูลเพิ่มเติมด้วยคำขอ HTTP ผู้โจมตีระยะไกลอาจใช้ HTTP Header ที่มีช่องโหว่เพื่อเรียกใช้รหัสบนเครื่องเหยื่อโดยอำเภอใจ
  3. การดำเนินการรหัสระยะไกล MVPower DVR - ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลซึ่งมีอยู่ในอุปกรณ์ MVPower DVR ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากจุดอ่อนนี้เพื่อเรียกใช้รหัสตามอำเภอใจในเราเตอร์ที่ได้รับผลกระทบผ่านคำขอที่สร้างขึ้น

มัลแวร์มือถืออันดับต้น ๆ

ในเดือนนี้ Hiddad ครองอันดับ 1 ในด้านมัลแวร์บนมือถือที่แพร่หลายมากที่สุดตามด้วย xHelper และ FurBall

  1. ฮิดดัด - Hiddad เป็นมัลแวร์ Android ที่บรรจุแอปที่ถูกต้องตามกฎหมายใหม่จากนั้นเผยแพร่ไปยังร้านค้าของบุคคลที่สาม หน้าที่หลักคือการแสดงโฆษณา แต่ยังสามารถเข้าถึงรายละเอียดการรักษาความปลอดภัยที่สำคัญในระบบปฏิบัติการได้อีกด้วย
  2. xHelper - แอปพลิเคชันที่เป็นอันตรายซึ่งพบเห็นได้ทั่วไปตั้งแต่เดือนมีนาคม 2019 ใช้สำหรับดาวน์โหลดแอปที่เป็นอันตรายอื่น ๆ และแสดงโฆษณา แอปพลิเคชันสามารถซ่อนตัวเองจากผู้ใช้และติดตั้งตัวเองใหม่ในกรณีที่ถูกถอนการติดตั้ง
  3. FurBall - FurBall เป็น Android MRAT (Mobile Remote Access Trojan) ซึ่งใช้งานโดย APT-C-50 ซึ่งเป็นกลุ่ม APT ของอิหร่านที่เชื่อมต่อกับรัฐบาลอิหร่าน มัลแวร์นี้ถูกใช้ในหลายแคมเปญย้อนหลังไปถึงปี 2017 และยังคงใช้งานอยู่ในปัจจุบัน ความสามารถของ FurBall รวมถึงการขโมยข้อความ SMS บันทึกการโทรบันทึกเสียงรอบทิศทางบันทึกการโทรการรวบรวมไฟล์มีเดียการติดตามตำแหน่งและอื่น ๆ

ดัชนีผลกระทบภัยคุกคามทั่วโลกของ Check Point และ ThreatCloud Map ขับเคลื่อนโดยหน่วยสืบราชการลับ ThreatCloud ของ Check Point ซึ่งเป็นเครือข่ายความร่วมมือที่ใหญ่ที่สุดในการต่อสู้กับอาชญากรรมทางไซเบอร์ซึ่งให้ข้อมูลภัยคุกคามและแนวโน้มการโจมตีจากเครือข่ายเซ็นเซอร์ภัยคุกคามทั่วโลก ฐานข้อมูล ThreatCloud ตรวจสอบเว็บไซต์กว่า 3 พันล้านไฟล์และ 600 ล้านไฟล์ต่อวันและระบุกิจกรรมมัลแวร์มากกว่า 250 ล้านรายการทุกวัน

รายชื่อตระกูลมัลแวร์ 10 อันดับแรกทั้งหมดในเดือนกุมภาพันธ์มีอยู่ในไฟล์ ตรวจสอบจุดบล็อก.

เกี่ยวกับ Check Point Research 

Check Point Research นำเสนอข่าวกรองภัยคุกคามทางไซเบอร์ชั้นนำ Check Point Software ลูกค้าและชุมชนข่าวกรองที่ยิ่งใหญ่กว่า ทีมวิจัยรวบรวมและวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ทั่วโลกที่จัดเก็บบน ThreatCloud เพื่อป้องกันไม่ให้แฮกเกอร์สามารถเข้าถึงได้ในขณะเดียวกันก็ตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ Check Point ทั้งหมดได้รับการอัปเดตด้วยการป้องกันล่าสุด ทีมวิจัยประกอบด้วยนักวิเคราะห์และนักวิจัยกว่า 100 คนที่ร่วมมือกับผู้ขายความปลอดภัยอื่น ๆ การบังคับใช้กฎหมายและ CERT ต่างๆ

ติดตาม Check Point Research ได้ทาง:

เกี่ยวกับเรา Check Point Software Technologies Ltd.

Check Point Software เทคโนโลยีส์ จำกัด (www.checkpoint.com) เป็นผู้ให้บริการโซลูชั่นการรักษาความปลอดภัยไซเบอร์ชั้นนำให้กับรัฐบาลและองค์กรต่างๆทั่วโลก โซลูชันของ Check Point ช่วยปกป้องลูกค้าจากการโจมตีทางไซเบอร์รุ่นที่ 5 ด้วยอัตราการดักจับมัลแวร์แรนซัมแวร์และภัยคุกคามขั้นสูงที่เป็นเป้าหมายในอุตสาหกรรม Check Point นำเสนอสถาปัตยกรรมการรักษาความปลอดภัยหลายระดับ“ Infinity Total Protection พร้อมการป้องกันภัยคุกคามขั้นสูง Gen V” สถาปัตยกรรมผลิตภัณฑ์แบบผสมผสานนี้ปกป้องระบบคลาวด์เครือข่ายและอุปกรณ์พกพาขององค์กร Check Point นำเสนอระบบการจัดการความปลอดภัยในการควบคุมจุดเดียวที่ครอบคลุมและใช้งานง่ายที่สุด Check Point ปกป้องมากกว่า 100,000 องค์กรทุกขนาด

# # #