Cẩn thận với phần mềm độc hại Valak Variant - lời khuyên từ các nhà nghiên cứu của Check Point

shahadat-rahman-BfrQnKBulYQ-unplash

Tóm tắt của biên tập viên: Các nhà nghiên cứu từ Check Point đã báo cáo rằng một biến thể của phần mềm độc hại Valak đã xuất hiện trong báo cáo phần mềm độc hại hàng đầu vào tháng 2020 năm XNUMX. Biến thể Valak mới có thể ăn cắp thông tin từ các cá nhân và doanh nghiệp, đồng thời có thể ảnh hưởng đến máy chủ thư dựa trên Microsoft Exchange, đồng thời cũng ảnh hưởng đến thông tin đăng nhập và chứng chỉ miền của người dùng. Dưới đây là bản phát hành tin tức của nhà cung cấp.

Phần mềm độc hại được mong muốn nhiều nhất vào tháng 2020 năm 10: Lần đầu tiên nhập vào biến thể Valak ăn cắp thông tin mới Danh sách XNUMX phần mềm độc hại hàng đầu

Các nhà nghiên cứu của Check Point nhận thấy sự gia tăng mạnh mẽ các cuộc tấn công sử dụng phần mềm độc hại Valak mới, trong khi trojan Emotet vẫn ở vị trí số 1 trong tháng thứ ba liên tiếp

SINGAPORE, @mcgallen #microwirethông tin, ngày 8 tháng 2020 năm XNUMX - Kiểm tra Điểm Nghiên cứu, chi nhánh của Tình báo Đe dọa của Check Point® Software Technologies Ltd. (NASDAQ: CHKP), nhà cung cấp giải pháp an ninh mạng hàng đầu trên toàn cầu, đã công bố Chỉ số Đe dọa Toàn cầu mới nhất của mình vào tháng 2020 năm 9. Các nhà nghiên cứu phát hiện ra rằng phiên bản cập nhật của phần mềm độc hại Valak đã lần đầu tiên lọt vào Chỉ số, xếp hạng là phổ biến thứ XNUMX phần mềm độc hại vào tháng XNUMX.

Được quan sát lần đầu tiên vào cuối năm 2019, Valak là một mối đe dọa tinh vi trước đây được phân loại là một trình tải phần mềm độc hại. Trong những tháng gần đây, các biến thể mới đã được phát hiện với những thay đổi chức năng đáng kể cho phép Valak hoạt động như một kẻ đánh cắp thông tin có khả năng nhắm mục tiêu đến cả cá nhân và doanh nghiệp. Phiên bản Valak mới này có thể lấy cắp thông tin nhạy cảm từ hệ thống thư Microsoft Exchange, cũng như thông tin đăng nhập và chứng chỉ miền của người dùng. Trong tháng XNUMX, Valak đã bị phát tán rộng rãi bởi các chiến dịch malspam chứa các tệp .doc độc hại.

Trojan Emotet vẫn ở vị trí đầu tiên trong Chỉ số trong tháng thứ ba liên tiếp, ảnh hưởng đến 1% tổ chức trên toàn cầu. Trojan Qbot, được đưa vào danh sách lần đầu tiên vào tháng 14, cũng được sử dụng rộng rãi vào tháng 10, tăng từ thứ 6 lên thứ XNUMX trong chỉ số.

“Những chiến dịch mới lan truyền Valak này là một ví dụ khác về cách các tác nhân đe dọa tìm cách tối đa hóa khoản đầu tư của họ vào các dạng phần mềm độc hại đã được chứng minh. Cùng với các phiên bản cập nhật của Qbot xuất hiện vào tháng XNUMX, Valak có mục đích cho phép đánh cắp dữ liệu và thông tin đăng nhập trên quy mô lớn từ các tổ chức và cá nhân. Các doanh nghiệp nên xem xét việc triển khai các giải pháp chống phần mềm độc hại có thể ngăn nội dung đó tiếp cận người dùng cuối và khuyên nhân viên của họ nên thận trọng khi mở email, ngay cả khi chúng xuất hiện từ một nguồn đáng tin cậy ”, Maya Horowitz, Giám đốc Threat Intelligence cho biết & Nghiên cứu, Sản phẩm tại Điểm kiểm tra.

Nhóm nghiên cứu cũng cảnh báo rằng “Thực thi mã từ xa MVPower DVR” là lỗ hổng bị khai thác phổ biến nhất, ảnh hưởng đến 46% tổ chức trên toàn cầu, tiếp theo là “Bỏ qua xác thực bộ định tuyến Dasan GPON” ảnh hưởng đến 42% tổ chức trên toàn thế giới. “Tiết lộ thông tin về nhịp tim của OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346)” có tác động toàn cầu là 36%.

Các họ phần mềm độc hại hàng đầu

* Các mũi tên liên quan đến sự thay đổi thứ hạng so với tháng trước.

Trong tháng này, Emotet vẫn là phần mềm độc hại phổ biến nhất với 14% tổ chức trên toàn cầu, tiếp theo là Trickbot và Dridex tác động lần lượt 4% và 3% hoặc các tổ chức trên toàn thế giới.

  1. ↔ Emotet - Emotet là một Trojan mô-đun, tự lan truyền và nâng cao. Emotet ban đầu là một Trojan ngân hàng, nhưng gần đây được sử dụng như một nhà phân phối phần mềm độc hại hoặc các chiến dịch độc hại khác. Nó sử dụng nhiều phương pháp để duy trì sự bền bỉ và kỹ thuật trốn tránh để tránh bị phát hiện. Ngoài ra, nó có thể được phát tán qua các email spam lừa đảo chứa các tệp đính kèm hoặc liên kết độc hại.
  2. ↑ Trickbot - Trickbot là một Trojan ngân hàng thống trị liên tục được cập nhật với các khả năng, tính năng và vector phân phối mới. Điều này cho phép Trickbot trở thành một phần mềm độc hại linh hoạt và có thể tùy chỉnh, có thể được phân phối như một phần của các chiến dịch đa mục đích.
  3. ↑ Dridex - Dridex là một loại Trojan nhắm mục tiêu vào nền tảng Windows và được cho là được tải xuống qua tệp đính kèm email spam. Dridex liên hệ với một máy chủ từ xa và gửi thông tin về hệ thống bị nhiễm. Nó cũng có thể tải xuống và thực thi các mô-đun tùy ý nhận được từ máy chủ từ xa.

Các lỗ hổng được khai thác nhiều nhất

Tháng này “Thực thi mã từ xa MVPower DVR” là lỗ hổng được khai thác phổ biến nhất, ảnh hưởng đến 46% tổ chức trên toàn cầu, tiếp theo là “Bỏ qua xác thực bộ định tuyến Dasan GPON” ảnh hưởng đến 42% tổ chức trên toàn thế giới. “Tiết lộ thông tin về nhịp tim của OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346)” ở vị trí thứ ba, với mức ảnh hưởng toàn cầu là 36%.

  1. ↑ Thực thi mã từ xa MVPower DVR - Một lỗ hổng thực thi mã từ xa tồn tại trong các thiết bị MVPower DVR. Kẻ tấn công từ xa có thể khai thác điểm yếu này để thực thi mã tùy ý trong bộ định tuyến bị ảnh hưởng thông qua một yêu cầu thủ công.
  2. Bỏ qua xác thực bộ định tuyến Dasan GPON (CVE-2018-10561) - Lỗ hổng bỏ qua xác thực tồn tại trong bộ định tuyến Dasan GPON. Việc khai thác thành công lỗ hổng này sẽ cho phép những kẻ tấn công từ xa có được thông tin nhạy cảm và truy cập trái phép vào hệ thống bị ảnh hưởng.
  3. Tiết lộ thông tin nhịp tim OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Lỗ hổng công bố thông tin tồn tại trong OpenSSL. Lỗ hổng là do lỗi khi xử lý các gói TLS / DTLS nhịp tim. Kẻ tấn công có thể tận dụng lỗ hổng này để tiết lộ nội dung bộ nhớ của máy khách hoặc máy chủ được kết nối.

Họ phần mềm độc hại di động hàng đầu

Trong tháng này, xHelper là phần mềm độc hại di động phổ biến nhất, tiếp theo là Xafecopy và Hiddad.

  1. xHelper - Một ứng dụng độc hại xuất hiện tràn lan kể từ tháng 2019 năm XNUMX, được sử dụng để tải xuống các ứng dụng độc hại khác và hiển thị quảng cáo. Ứng dụng có thể tự ẩn mình khỏi người dùng và tự cài đặt lại trong trường hợp bị gỡ cài đặt.
  2. Xafekopy - Trojan Xafecopy được ngụy trang thành các ứng dụng hữu ích như Battery Master. Trojan bí mật tải mã độc vào thiết bị. Sau khi ứng dụng được kích hoạt, phần mềm độc hại Xafecopy nhấp vào các trang web có thanh toán Giao thức Ứng dụng Không dây (WAP) - một hình thức thanh toán di động tính phí trực tiếp vào hóa đơn điện thoại di động của người dùng.
  3. Hiddad - Hiddad là một phần mềm độc hại Android đóng gói lại các ứng dụng hợp pháp và sau đó phát hành chúng vào cửa hàng của bên thứ ba. Chức năng chính của nó là hiển thị quảng cáo, nhưng nó cũng có thể truy cập vào các chi tiết bảo mật quan trọng được tích hợp trong HĐH.

Chỉ số Tác động Đe dọa Toàn cầu của Check Point và Bản đồ Đe dọa của nó được cung cấp bởi trí thông minh ThreatCloud của Check Point, mạng cộng tác lớn nhất để chống lại tội phạm mạng cung cấp dữ liệu về mối đe dọa và xu hướng tấn công từ mạng lưới cảm biến mối đe dọa toàn cầu. Cơ sở dữ liệu ThreatCloud kiểm tra hơn 2.5 tỷ trang web và 500 triệu tệp hàng ngày và xác định hơn 250 triệu hoạt động phần mềm độc hại mỗi ngày.

Danh sách đầy đủ 10 họ phần mềm độc hại hàng đầu trong tháng XNUMX có thể được tìm thấy trên Blog điểm kiểm tra. Các Tài nguyên Phòng chống Đe doạ của Check Point có sẵn tại http://www.checkpoint.com/threat-prevention-resources/index.html.

Giới thiệu về nghiên cứu điểm kiểm tra
Check Point Research cung cấp thông tin tình báo về mối đe dọa mạng hàng đầu cho khách hàng của Phần mềm Check Point và cộng đồng tình báo lớn hơn. Nhóm nghiên cứu thu thập và phân tích dữ liệu tấn công mạng toàn cầu được lưu trữ trên ThreatCloud để ngăn chặn tin tặc, đồng thời đảm bảo tất cả các sản phẩm của Check Point đều được cập nhật các biện pháp bảo vệ mới nhất. Nhóm nghiên cứu bao gồm hơn 100 nhà phân tích và nhà nghiên cứu hợp tác với các nhà cung cấp bảo mật khác, cơ quan thực thi pháp luật và các CERT khác nhau.

Theo dõi Nghiên cứu Điểm Kiểm tra qua:

Giới thiệu về Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) là nhà cung cấp giải pháp an ninh mạng hàng đầu cho các chính phủ và doanh nghiệp công ty trên toàn cầu. Các giải pháp của Check Point bảo vệ khách hàng khỏi các cuộc tấn công mạng thế hệ thứ 5 với tỷ lệ bắt phần mềm độc hại, ransomware và các mối đe dọa được nhắm mục tiêu nâng cao hàng đầu trong ngành. Check Point cung cấp kiến ​​trúc bảo mật đa cấp, “Bảo vệ toàn diện vô tận với ngăn chặn mối đe dọa nâng cao Gen V”, kiến ​​trúc sản phẩm kết hợp này bảo vệ đám mây, mạng và các thiết bị di động của doanh nghiệp. Check Point cung cấp hệ thống quản lý an ninh kiểm soát một điểm toàn diện và trực quan nhất. Check Point bảo vệ hơn 100,000 tổ chức thuộc mọi quy mô.

# # #