Đăng trên

Tóm tắt của biên tập viên: Ngay khi chúng tôi nghĩ rằng botnet Emotet là một kỷ nguyên đã qua, nó dường như đã trở lại ngay lập tức. Đây là lời cảnh báo công bằng cho những người thực hành an ninh mạng rằng những kẻ xấu luôn cố gắng thử đi thử lại không ngừng, để tàn phá mạng và hệ thống của chúng ta. Dưới đây là bản phát hành tin tức của nhà cung cấp.

Phần mềm độc hại được mong muốn nhiều nhất vào tháng 2020 năm XNUMX: Emotet lại tấn công sau XNUMX tháng vắng bóng

Nghiên cứu của Check Point phát hiện ra sự gia tăng mạnh mẽ trong các chiến dịch phát tán thư rác của mạng botnet Emotet sau một thời gian không hoạt động, nhằm mục đích đánh cắp thông tin đăng nhập ngân hàng và phát tán trong các mạng được nhắm mục tiêu

SINGAPORE, @mcgallen #microwirethông tin, ngày 11 tháng 2020 năm XNUMX - Kiểm tra Điểm Nghiên cứu, chi nhánh của Tình báo Đe dọa của Check Point® Software Technologies Ltd. (NASDAQ: CHKP), nhà cung cấp giải pháp an ninh mạng hàng đầu trên toàn cầu, đã công bố Chỉ số Đe dọa Toàn cầu mới nhất của mình vào tháng 2020 năm 1. Các nhà nghiên cứu phát hiện ra rằng sau 5 tháng vắng bóng, Emotet đã tăng trở lại vị trí thứ nhất trong Chỉ số, tác động XNUMX% của các tổ chức trên toàn cầu.

Kể từ tháng 2020 năm 2019, các hoạt động của Emotet - chủ yếu gửi đi các làn sóng chiến dịch malspam - bắt đầu chậm lại và cuối cùng dừng lại, cho đến khi nổi lên trở lại vào tháng XNUMX. Mô hình này được quan sát thấy vào năm XNUMX khi mạng botnet Emotet ngừng hoạt động trong những tháng mùa hè nhưng tiếp tục trở lại vào tháng XNUMX.

Vào tháng XNUMX, Emotet đã phát tán các chiến dịch malspam, lây nhiễm cho các nạn nhân của nó bằng TrickBot và Qbot, những thứ được sử dụng để đánh cắp thông tin xác thực ngân hàng và phát tán bên trong các mạng. Một số chiến dịch malspam chứa tệp doc độc hại có tên như “form.doc” hoặc “bill.doc”. Theo các nhà nghiên cứu, tài liệu độc hại này khởi chạy PowerShell để kéo tệp nhị phân Emotet từ các trang web từ xa và lây nhiễm sang máy tính, thêm chúng vào mạng botnet. Việc nối lại các hoạt động của Emotet làm nổi bật quy mô và sức mạnh của mạng botnet trên toàn cầu.

“Thật thú vị khi Emotet đã không hoạt động trong vài tháng đầu năm nay, lặp lại một mô hình mà chúng tôi đã quan sát lần đầu vào năm 2019. Chúng tôi có thể giả định rằng các nhà phát triển đằng sau mạng botnet đang cập nhật các tính năng và khả năng của nó. Nhưng khi nó hoạt động trở lại, các tổ chức nên giáo dục nhân viên về cách xác định các loại malspam mang những mối đe dọa này và cảnh báo về rủi ro khi mở tệp đính kèm email hoặc nhấp vào liên kết từ các nguồn bên ngoài. Các doanh nghiệp cũng nên xem xét việc triển khai các giải pháp chống phần mềm độc hại có thể ngăn chặn những nội dung như vậy tiếp cận người dùng cuối ”, Maya Horowitz, Giám đốc, Threat Intelligence & Research, Products at Check Point cho biết.

Nhóm nghiên cứu cũng cảnh báo rằng “Thực thi mã từ xa MVPower DVR” là lỗ hổng được khai thác phổ biến nhất, ảnh hưởng đến 44% tổ chức trên toàn cầu, tiếp theo là “Tiết lộ thông tin nhịp tim OpenSSL TLS DTLS” ảnh hưởng đến 42% tổ chức trên toàn thế giới. “Command Injection Over HTTP Payload” đứng ở vị trí thứ ba, với mức ảnh hưởng toàn cầu là 38%.

Các họ phần mềm độc hại hàng đầu

* Các mũi tên liên quan đến sự thay đổi thứ hạng so với tháng trước.

Trong tháng này, Emotet là phần mềm độc hại phổ biến nhất với mức độ ảnh hưởng toàn cầu của 5% tổ chức, tiếp theo là Dridex và Agent Tesla, mỗi tổ chức ảnh hưởng đến 4%.

  1. ↑ Emotet - Emotet là một Trojan tiên tiến, tự lan truyền và mô-đun. Emotet ban đầu là một Trojan ngân hàng, nhưng gần đây được sử dụng như một nhà phân phối phần mềm độc hại hoặc các chiến dịch độc hại khác. Nó sử dụng nhiều phương pháp để duy trì sự bền bỉ và kỹ thuật trốn tránh để tránh bị phát hiện. Ngoài ra, nó có thể lây lan qua các email spam lừa đảo chứa các tệp đính kèm hoặc liên kết độc hại.
  2. ↑ Dridex - Dridex là một Trojan nhắm mục tiêu vào nền tảng Windows và được cho là được tải xuống thông qua tệp đính kèm email spam. Dridex liên hệ với một máy chủ từ xa và gửi thông tin về hệ thống bị nhiễm. Nó cũng có thể tải xuống và thực thi các mô-đun tùy ý nhận được từ máy chủ từ xa.
  3. ↓ Đại lý Tesla - Đặc vụ Tesla là một RAT nâng cao hoạt động như một keylogger và trình đánh cắp thông tin có khả năng giám sát và thu thập dữ liệu nhập từ bàn phím của nạn nhân, khay nhớ tạm Ứng dụng email khách Mozilla Firefox và Microsoft Outlook).

Các lỗ hổng được khai thác nhiều nhất

Tháng này “Thực thi mã từ xa MVPower DVR” là lỗ hổng được khai thác phổ biến nhất, ảnh hưởng đến 44% tổ chức trên toàn cầu, tiếp theo là “Tiết lộ thông tin nhịp tim OpenSSL TLS DTLS” ảnh hưởng đến 42% tổ chức trên toàn thế giới. “Command Injection Over HTTP Payload” đứng ở vị trí thứ ba, với mức ảnh hưởng toàn cầu là 38%.

  1. ↑ Thực thi mã từ xa MVPower DVR - Một lỗ hổng thực thi mã từ xa tồn tại trong các thiết bị MVPower DVR. Kẻ tấn công từ xa có thể khai thác điểm yếu này để thực thi mã tùy ý trong bộ định tuyến bị ảnh hưởng thông qua một yêu cầu thủ công.
  2. ↓ Tiết lộ thông tin về nhịp tim của OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Một lỗ hổng tiết lộ thông tin tồn tại trong OpenSSL. Lỗ hổng này là do lỗi khi xử lý các gói TLS / DTLS nhịp tim. Kẻ tấn công có thể tận dụng lỗ hổng này để tiết lộ nội dung bộ nhớ của máy khách hoặc máy chủ được kết nối.
  3. ↑ Chèn lệnh qua tải trọng HTTP - Đã báo cáo việc đưa lệnh vào lỗ hổng tải trọng HTTP. Kẻ tấn công từ xa có thể khai thác vấn đề này bằng cách gửi một yêu cầu được chế tạo đặc biệt tới nạn nhân. Khai thác thành công sẽ cho phép kẻ tấn công thực thi mã tùy ý trên máy mục tiêu.

Họ phần mềm độc hại di động hàng đầu

Tháng này xHelper là phần mềm độc hại phổ biến nhất, tiếp theo là Necro và PreAMo.

  1. xHelper - Một ứng dụng độc hại xuất hiện tràn lan kể từ tháng 2019 năm XNUMX, được sử dụng để tải xuống các ứng dụng độc hại khác và hiển thị quảng cáo. Ứng dụng có thể tự ẩn mình khỏi người dùng và tự cài đặt lại trong trường hợp bị gỡ cài đặt.
  2. Necro - Necro là một Trojan Dropper của Android. Nó có thể tải xuống phần mềm độc hại khác, hiển thị quảng cáo xâm nhập và ăn cắp tiền bằng cách tính phí đăng ký trả phí.
  3. PreAMo - PreAmo là Phần mềm độc hại Android bắt chước người dùng bằng cách nhấp vào các biểu ngữ được lấy từ ba đại lý quảng cáo - Presage, Admob và Mopub.

Chỉ số Tác động Đe dọa Toàn cầu của Check Point và Bản đồ Đe dọa của nó được cung cấp bởi trí thông minh ThreatCloud của Check Point, mạng cộng tác lớn nhất để chống lại tội phạm mạng cung cấp dữ liệu về mối đe dọa và xu hướng tấn công từ mạng lưới cảm biến mối đe dọa toàn cầu. Cơ sở dữ liệu ThreatCloud kiểm tra hơn 2.5 tỷ trang web và 500 triệu tệp hàng ngày và xác định hơn 250 triệu hoạt động phần mềm độc hại mỗi ngày.

Danh sách đầy đủ 10 họ phần mềm độc hại hàng đầu trong tháng XNUMX có thể được tìm thấy trên Blog điểm kiểm tra.

Các Tài nguyên Phòng chống Đe doạ của Check Point có sẵn tại  http://www.checkpoint.com/threat-prevention-resources/index.html

Giới thiệu về nghiên cứu điểm kiểm tra
Check Point Research cung cấp thông tin tình báo về mối đe dọa mạng hàng đầu Check Point Software khách hàng và cộng đồng thông minh lớn hơn. Nhóm nghiên cứu thu thập và phân tích dữ liệu tấn công mạng toàn cầu được lưu trữ trên ThreatCloud để ngăn chặn tin tặc, đồng thời đảm bảo tất cả các sản phẩm của Check Point đều được cập nhật các biện pháp bảo vệ mới nhất. Nhóm nghiên cứu bao gồm hơn 100 nhà phân tích và nhà nghiên cứu hợp tác với các nhà cung cấp bảo mật khác, cơ quan thực thi pháp luật và các CERT khác nhau.

Theo dõi Nghiên cứu Điểm Kiểm tra qua:

Giới thiệu chung Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) là nhà cung cấp giải pháp an ninh mạng hàng đầu cho các chính phủ và doanh nghiệp trên toàn cầu. Các giải pháp của Check Point bảo vệ khách hàng khỏi các cuộc tấn công mạng thế hệ thứ 5 với tỷ lệ bắt phần mềm độc hại, ransomware và các mối đe dọa được nhắm mục tiêu nâng cao hàng đầu trong ngành. Check Point cung cấp kiến ​​trúc bảo mật đa cấp, “Bảo vệ toàn diện vô cực với ngăn chặn mối đe dọa nâng cao Gen V”, kiến ​​trúc sản phẩm kết hợp này bảo vệ đám mây, mạng và thiết bị di động của doanh nghiệp. Check Point cung cấp hệ thống quản lý an ninh kiểm soát một điểm toàn diện và trực quan nhất. Check Point bảo vệ hơn 100,000 tổ chức thuộc mọi quy mô.

# # #