Đăng trên

Tóm tắt của biên tập viên: Theo nhóm nghiên cứu của nhà cung cấp an ninh mạng Check Point Software, cuộc gỡ xuống mạng botnet Emotet bởi các nhóm cảnh sát quốc tế vào tháng 2021 năm XNUMX, các kẻ đe dọa đã quay trở lại sử dụng trojan Trickbot như một công cụ để cố gắng xâm nhập và khai thác mạng và thiết bị. Dưới đây là bản phát hành của nhà cung cấp.

Phần mềm độc hại được mong muốn nhiều nhất vào tháng 2021 năm XNUMX: Trickbot tiếp quản sau khi Emotet tắt máy

Check Point Research báo cáo rằng sau hoạt động của cảnh sát quốc tế nắm quyền kiểm soát Emotet vào tháng Giêng, tội phạm mạng đã chuyển sang Trickbot để duy trì các hoạt động độc hại của chúng

SINGAPORE, @mcgallen #microwirethông tin, ngày 12 tháng 2021 năm XNUMX - Kiểm tra Điểm Nghiên cứu, chi nhánh của Tình báo Đe dọa của Check Point® Software Technologies Ltd. (NASDAQ: CHKP), nhà cung cấp giải pháp an ninh mạng hàng đầu trên toàn cầu, đã công bố Chỉ số Đe dọa Toàn cầu mới nhất cho tháng 2021 năm XNUMX. Các nhà nghiên cứu báo cáo rằng Trickbot trojan lần đầu tiên đứng đầu Chỉ số, tăng từ vị trí thứ ba vào tháng Giêng.

Tiếp theo gỡ xuống mạng botnet Emotet vào tháng XNUMX, các nhà nghiên cứu của Check Point báo cáo rằng các nhóm tội phạm mạng hiện đang sử dụng các kỹ thuật mới với phần mềm độc hại như Trickbot để tiếp tục các hoạt động độc hại của chúng. Trong tháng XNUMX, Trickbot đã bị phát tán thông qua một chiến dịch spam độc hại được thiết kế để lừa người dùng trong lĩnh vực pháp lý và bảo hiểm tải xuống tệp lưu trữ .zip có tệp JavaScript độc hại vào PC của họ. Khi tệp này được mở, nó sẽ cố gắng tải xuống một tải trọng độc hại hơn nữa từ một máy chủ từ xa.

Trickbot là phần mềm độc hại phổ biến thứ 4 trên toàn cầu trong năm 2020, ảnh hưởng đến 8% tổ chức. Nó đóng một vai trò quan trọng trong một trong những cuộc tấn công mạng tốn kém và nổi tiếng nhất năm 2020, tấn công Dịch vụ Y tế Toàn cầu (UHS), một nhà cung cấp dịch vụ chăm sóc sức khỏe hàng đầu tại Hoa Kỳ UHS bị đánh bởi Ryuk ransomware và quy định cuộc tấn công đã tiêu tốn 67 triệu đô la Mỹ doanh thu và chi phí bị mất. Trickbot đã được những kẻ tấn công sử dụng để phát hiện và thu thập dữ liệu từ các hệ thống của UHS, sau đó phân phối khối lượng ransomware.

Maya Horowitz, Giám đốc, Threat Intelligence & Research, Products at Check Point cho biết: “Tội phạm sẽ tiếp tục sử dụng các mối đe dọa và công cụ hiện có mà chúng có sẵn, và Trickbot được ưa chuộng vì tính linh hoạt và thành tích của nó trong các cuộc tấn công trước đây. “Như chúng tôi đã nghi ngờ, ngay cả khi một mối đe dọa lớn bị loại bỏ, vẫn có nhiều mối đe dọa khác tiếp tục gây ra rủi ro cao trên các mạng trên toàn thế giới, vì vậy các tổ chức phải đảm bảo họ có hệ thống bảo mật mạnh mẽ để ngăn chặn mạng của họ bị xâm nhập và giảm thiểu rủi ro. Đào tạo toàn diện cho tất cả nhân viên là rất quan trọng, vì vậy họ được trang bị các kỹ năng cần thiết để xác định các loại email độc hại lây lan Trickbot và các phần mềm độc hại khác ”.

Check Point Research cũng cảnh báo rằng “Tiết lộ thông tin kho lưu trữ Git của máy chủ web” là lỗ hổng được khai thác phổ biến nhất, ảnh hưởng đến 48% tổ chức trên toàn cầu, tiếp theo là “Thực thi mã từ xa tiêu đề HTTP (CVE-2020-13756)”, tác động đến 46% các tổ chức trên toàn thế giới. “MVPower DVR Remote Code Execution” đứng thứ ba trong danh sách các lỗ hổng được khai thác nhiều nhất, với tác động toàn cầu là 45%.

Các họ phần mềm độc hại hàng đầu

* Các mũi tên liên quan đến sự thay đổi thứ hạng so với tháng trước

Trong tháng này, Trickbot được xếp hạng là phần mềm độc hại phổ biến nhất ảnh hưởng đến 3% tổ chức trên toàn cầu, theo sau là XMRig và Qbot, cũng tác động tương ứng đến 3% tổ chức trên toàn cầu.

  1. ↑ Trickbot - Trickbot là một mạng botnet thống trị và Trojan ngân hàng liên tục được cập nhật với các khả năng, tính năng và vectơ phân phối mới. Điều này cho phép Trickbot trở thành một phần mềm độc hại linh hoạt và có thể tùy chỉnh, có thể được phân phối như một phần của các chiến dịch đa mục đích.
  2. ↑ XMRig - XMRig là một phần mềm khai thác CPU mã nguồn mở được sử dụng cho quá trình khai thác tiền điện tử Monero và được xuất hiện lần đầu tiên vào tháng 2017 năm XNUMX.
  3. ↑ Qbot - Qbot là một Trojan ngân hàng xuất hiện lần đầu tiên vào năm 2008, được thiết kế để lấy cắp thông tin đăng nhập ngân hàng và tổ hợp phím của người dùng. Thường được phân phối qua email spam, Qbot sử dụng một số kỹ thuật chống máy ảo, chống gỡ lỗi và chống hộp cát, để cản trở việc phân tích và tránh bị phát hiện.

Các lỗ hổng được khai thác nhiều nhất

Tháng này “Tiết lộ thông tin kho lưu trữ Git tiếp xúc với máy chủ web” là lỗ hổng được khai thác phổ biến nhất, ảnh hưởng đến 48% tổ chức trên toàn cầu, tiếp theo là “Thực thi mã từ xa tiêu đề HTTP (CVE-2020-13756)” ảnh hưởng đến 46% tổ chức trên toàn thế giới. “MVPower DVR Remote Code Execution” đứng thứ ba trong danh sách các lỗ hổng được khai thác nhiều nhất, với tác động toàn cầu là 45%.

  1. Máy chủ Web Tiết lộ Thông tin Kho lưu trữ Git - Lỗ hổng công bố thông tin đã được báo cáo trong Git Repository. Việc khai thác thành công lỗ hổng này có thể cho phép tiết lộ thông tin tài khoản một cách vô ý.
  2. ↔ Thực thi mã từ xa tiêu đề HTTP (CVE-2020-13756) - Tiêu đề HTTP cho phép máy khách và máy chủ chuyển thông tin bổ sung với một yêu cầu HTTP. Kẻ tấn công từ xa có thể sử dụng Tiêu đề HTTP dễ bị tấn công để chạy mã tùy ý trên máy nạn nhân.
  3. Thực thi mã từ xa MVPower DVR - lỗ hổng thực thi mã từ xa tồn tại trong các thiết bị MVPower DVR. Kẻ tấn công từ xa có thể khai thác điểm yếu này để thực thi mã tùy ý trong bộ định tuyến bị ảnh hưởng thông qua một yêu cầu thủ công.

Phần mềm độc hại di động hàng đầu

Tháng này, Hiddad giữ vị trí số 1 trong phần mềm độc hại di động phổ biến nhất, tiếp theo là xHelper và FurBall.

  1. Hiddad - Hiddad là một phần mềm độc hại Android đóng gói lại các ứng dụng hợp pháp và sau đó phát hành chúng vào cửa hàng của bên thứ ba. Chức năng chính của nó là hiển thị quảng cáo, nhưng nó cũng có thể truy cập vào các chi tiết bảo mật quan trọng được tích hợp trong HĐH.
  2. xHelper - Một ứng dụng độc hại xuất hiện tràn lan kể từ tháng 2019 năm XNUMX, được sử dụng để tải xuống các ứng dụng độc hại khác và hiển thị quảng cáo. Ứng dụng có khả năng tự ẩn khỏi người dùng và tự cài đặt lại trong trường hợp bị gỡ cài đặt.
  3. FurBall - FurBall là một Android MRAT (Trojan truy cập từ xa trên thiết bị di động) được triển khai bởi APT-C-50, một nhóm APT của Iran được kết nối với chính phủ Iran. Phần mềm độc hại này đã được sử dụng trong nhiều chiến dịch từ năm 2017 và vẫn còn hoạt động cho đến nay. Các khả năng của FurBall bao gồm đánh cắp tin nhắn SMS, nhật ký cuộc gọi, ghi âm vòm, ghi âm cuộc gọi, thu thập tệp phương tiện, theo dõi vị trí, v.v.

Chỉ số Tác động Đe dọa Toàn cầu của Check Point và Bản đồ Đe dọa của nó được cung cấp bởi trí thông minh ThreatCloud của Check Point, mạng cộng tác lớn nhất để chống lại tội phạm mạng cung cấp dữ liệu về mối đe dọa và xu hướng tấn công từ mạng lưới cảm biến mối đe dọa toàn cầu. Cơ sở dữ liệu ThreatCloud kiểm tra hơn 3 tỷ trang web và 600 triệu tệp hàng ngày và xác định hơn 250 triệu hoạt động phần mềm độc hại mỗi ngày.

Danh sách đầy đủ 10 họ phần mềm độc hại hàng đầu trong tháng Hai có thể được tìm thấy trên Blog điểm kiểm tra.

Giới thiệu về nghiên cứu điểm kiểm tra 

Check Point Research cung cấp thông tin tình báo về mối đe dọa mạng hàng đầu Check Point Software khách hàng và cộng đồng thông minh lớn hơn. Nhóm nghiên cứu thu thập và phân tích dữ liệu tấn công mạng toàn cầu được lưu trữ trên ThreatCloud để ngăn chặn tin tặc, đồng thời đảm bảo tất cả các sản phẩm của Check Point đều được cập nhật các biện pháp bảo vệ mới nhất. Nhóm nghiên cứu bao gồm hơn 100 nhà phân tích và nhà nghiên cứu hợp tác với các nhà cung cấp bảo mật khác, cơ quan thực thi pháp luật và các CERT khác nhau.

Theo dõi Nghiên cứu Điểm Kiểm tra qua:

Giới thiệu Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) là nhà cung cấp giải pháp an ninh mạng hàng đầu cho các chính phủ và doanh nghiệp công ty trên toàn cầu. Các giải pháp của Check Point bảo vệ khách hàng khỏi các cuộc tấn công mạng thế hệ thứ 5 với tỷ lệ bắt phần mềm độc hại, ransomware và các mối đe dọa được nhắm mục tiêu nâng cao hàng đầu trong ngành. Check Point cung cấp kiến ​​trúc bảo mật đa cấp, “Bảo vệ toàn diện vô tận với ngăn chặn mối đe dọa nâng cao Gen V”, kiến ​​trúc sản phẩm kết hợp này bảo vệ đám mây, mạng và các thiết bị di động của doanh nghiệp. Check Point cung cấp hệ thống quản lý an ninh kiểm soát một điểm toàn diện và trực quan nhất. Check Point bảo vệ hơn 100,000 tổ chức thuộc mọi quy mô.

# # #