Đăng trên

Tóm tắt của người biên tập: Sự tấn công của phần mềm độc hại vẫn ở mức cao ngay cả khi các khu vực trên thế giới sụp đổ theo đại dịch đang diễn ra. Trong báo cáo Chỉ số Đe dọa Toàn cầu mới nhất vào tháng 2021 năm XNUMX từ nhà cung cấp hàng đầu về an ninh mạng Check Point Software, trojan Dridex được sử dụng trong một số cuộc tấn công bằng ransomware, là thứ cần nằm trong tầm ngắm của bất kỳ người hành nghề và lãnh đạo CISO hoặc an ninh mạng nào. Dưới đây là bản phát hành của nhà cung cấp.

Phần mềm độc hại được mong muốn nhiều nhất vào tháng 2021 năm XNUMX: Dridex vẫn ở vị trí hàng đầu giữa sự gia tăng toàn cầu trong các cuộc tấn công bằng Ransomware

Check Point Research báo cáo rằng trojan Dridex, thường được sử dụng trong giai đoạn đầu của các cuộc tấn công ransomware, là phần mềm độc hại phổ biến nhất trong tháng thứ hai hoạt động

SINGAPORE, @mcgallen #microwirethông tin, ngày 14 tháng 2021 năm XNUMX- Nghiên cứu điểm kiểm tra (CPR), chi nhánh Thông minh về mối đe dọa củaCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), nhà cung cấp giải pháp an ninh mạng hàng đầu trên toàn cầu, đã công bố Chỉ số Đe dọa Toàn cầu mới nhất vào tháng 2021 năm XNUMX. Các nhà nghiên cứu báo cáo rằng lần đầu tiên, AgentTesla đã xếp thứ hai trong Chỉ số, trong khi trojan Dridex được thành lập vẫn là phần mềm độc hại phổ biến nhất, đã tăng lên vị trí hàng đầu vào tháng Ba sau khi đứng thứ bảy trong tháng Hai.

Tháng này, Dridex, một loại Trojan nhắm mục tiêu vào nền tảng Windows, đã lây lan qua Chiến dịch Malspam QuickBooks. Các email lừa đảo đã sử dụng thương hiệu của QuickBooks và cố gắng thu hút người dùng bằng các hóa đơn và thông báo thanh toán giả mạo. Nội dung email yêu cầu tải xuống tệp đính kèm Microsoft Excel độc hại có thể khiến hệ thống bị nhiễm Dridex.

Phần mềm độc hại này thường được sử dụng như là giai đoạn lây nhiễm ban đầu trong các hoạt động của ransomware, nơi tin tặc sẽ mã hóa dữ liệu của một tổ chức và yêu cầu một khoản tiền chuộc để giải mã nó. Càng ngày, những tin tặc này càng sử dụng các phương thức tống tiền kép, trong đó chúng sẽ đánh cắp dữ liệu nhạy cảm từ một tổ chức và đe dọa công khai dữ liệu đó trừ khi thanh toán được thực hiện. CPR báo cáo vào tháng ba rằng các cuộc tấn công ransomware đã tăng 57% vào đầu năm 2021, nhưng xu hướng này đã tiếp tục tăng đột biến và đã hoàn thành mức tăng 107% so với cùng kỳ năm ngoái. Gần đây nhất, Đường ống thuộc địa, một công ty nhiên liệu lớn của Hoa Kỳ, là nạn nhân của một cuộc tấn công như vậy và vào năm 2020, nó là ước tính rằng ransomware chi phí cho các doanh nghiệp trên toàn thế giới khoảng 20 tỷ đô la Mỹ - con số cao hơn gần 75% so với năm 2019.

Lần đầu tiên, AgentTesla đứng ở vị trí thứ 2 trong danh sách phần mềm độc hại hàng đầu. AgentTesla là một RAT nâng cao (Trojan truy cập từ xa) đã hoạt động từ năm 2014 và hoạt động như một keylogger và kẻ đánh cắp mật khẩu. RAT này có thể giám sát và thu thập dữ liệu nhập từ bàn phím của nạn nhân và khay nhớ tạm thời hệ thống, đồng thời có thể ghi lại ảnh chụp màn hình và trích xuất thông tin xác thực đã nhập cho nhiều phần mềm được cài đặt trên máy của nạn nhân (bao gồm Google Chrome, Mozilla Firefox và ứng dụng email khách Microsoft Outlook). Trong tháng này, có sự gia tăng trong các chiến dịch AgentTesla, lan truyền qua malspam. Nội dung email yêu cầu tải xuống một tệp (có thể là bất kỳ loại tệp nào) có thể khiến hệ thống bị nhiễm Agent Tesla.

“Trong khi chúng ta đang chứng kiến ​​sự gia tăng lớn các cuộc tấn công ransomware trên toàn thế giới, không có gì ngạc nhiên khi phần mềm độc hại hàng đầu của tháng này có liên quan đến xu hướng này. Trung bình cứ 10 giây trên toàn cầu lại có một tổ chức trở thành nạn nhân của ransomware ”, Maya Horowitz, Giám đốc, Bộ phận Nghiên cứu và Tình báo Đe dọa, Sản phẩm tại Check Point cho biết. “Gần đây đã có những lời kêu gọi các chính phủ phải làm nhiều hơn nữa đối với mối đe dọa ngày càng tăng này, nhưng nó không có dấu hiệu chậm lại. Tất cả các tổ chức cần phải nhận thức được các rủi ro và đảm bảo có các giải pháp chống ransomware đầy đủ. Việc đào tạo toàn diện cho tất cả nhân viên cũng rất quan trọng, vì vậy họ được trang bị các kỹ năng cần thiết để xác định các loại email độc hại lây lan Dridex và các phần mềm độc hại khác, vì đây là cách mà nhiều vụ khai thác ransomware bắt đầu ”.

CPR cũng tiết lộ rằng “Tiết lộ thông tin kho lưu trữ Git của Máy chủ Web” là lỗ hổng bị khai thác phổ biến nhất, ảnh hưởng đến 46% tổ chức trên toàn cầu, tiếp theo là “Thực thi mã từ xa tiêu đề HTTP (CVE-2020-13756)” ảnh hưởng đến 45.5% tổ chức trên toàn thế giới . “MVPower DVR Remote Code Execution” đứng ở vị trí thứ ba trong danh sách các lỗ hổng được khai thác nhiều nhất, với tác động toàn cầu là 44%.

Các họ phần mềm độc hại hàng đầu

* Các mũi tên liên quan đến sự thay đổi thứ hạng so với tháng trước.

Trong tháng này, Dridex vẫn là phần mềm độc hại phổ biến nhất với 15% tổ chức bị ảnh hưởng toàn cầu, tiếp theo là Agent Tesla và Trickbot tác động lần lượt đến 12% và 8% tổ chức trên toàn thế giới.

  1. Dridex - Dridex là một loại Trojan nhắm vào nền tảng Windows, được phát tán chủ yếu qua các tệp đính kèm thư rác độc hại. Dridex liên hệ với một máy chủ từ xa, gửi thông tin về hệ thống bị nhiễm và cũng có thể tải xuống và thực thi các mô-đun tùy ý theo lệnh. Sự lây nhiễm Dridex thường đóng vai trò là chỗ đứng ban đầu trong các cuộc tấn công ransomware trên toàn công ty.
  2. ↑ Đặc vụ Tesla - Đặc vụ Tesla là một RAT tiên tiến hoạt động như một keylogger và đánh cắp thông tin, có khả năng theo dõi và thu thập dữ liệu nhập từ bàn phím của nạn nhân, bàn phím hệ thống, chụp ảnh màn hình và lấy lại thông tin đăng nhập cho nhiều phần mềm được cài đặt trên máy của nạn nhân, bao gồm cả Google Chrome, Mozilla Firefox và ứng dụng email Microsoft Outlook.
  3. ↑ Trickbot - Trickbot là một Botnet mô-đun và Trojan ngân hàng liên tục được cập nhật với các khả năng, tính năng và vectơ phân phối mới. Điều này cho phép Trickbot trở thành một phần mềm độc hại linh hoạt và có thể tùy chỉnh, có thể được phân phối như một phần của các chiến dịch đa mục đích.

Các lỗ hổng được khai thác nhiều nhất

Tháng này “Tiết lộ thông tin kho lưu trữ Git tiếp xúc với máy chủ web” là lỗ hổng được khai thác phổ biến nhất, ảnh hưởng đến 46% tổ chức trên toàn cầu, tiếp theo là “Thực thi mã từ xa tiêu đề HTTP (CVE-2020-13756)” ảnh hưởng đến 45.5% tổ chức trên toàn thế giới. “MVPower DVR Remote Code Execution” chiếm vị trí thứ ba trong danh sách các lỗ hổng được khai thác nhiều nhất, với tác động toàn cầu là 44%.

  1. Máy chủ Web Tiết lộ Thông tin Kho lưu trữ Git - lỗ hổng tiết lộ thông tin đã được báo cáo trong Git Repository. Việc khai thác thành công lỗ hổng này có thể cho phép tiết lộ thông tin tài khoản một cách vô ý.
  2. Thực thi mã từ xa tiêu đề HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Tiêu đề HTTP cho phép máy khách và máy chủ chuyển thông tin bổ sung với một yêu cầu HTTP. Kẻ tấn công từ xa có thể sử dụng Tiêu đề HTTP dễ bị tấn công để chạy mã tùy ý trên máy nạn nhân.
  3. Thực thi mã từ xa MVPower DVR - lỗ hổng thực thi mã từ xa tồn tại trong các thiết bị MVPower DVR. Kẻ tấn công từ xa có thể khai thác điểm yếu này để thực thi mã tùy ý trong bộ định tuyến bị ảnh hưởng thông qua một yêu cầu thủ công.

Phần mềm độc hại di động hàng đầu

Tháng này xHelper đứng đầu trong phần mềm độc hại di động phổ biến nhất, tiếp theo là Triada và Hiddad.

  1. xHelper - Một ứng dụng độc hại xuất hiện tràn lan kể từ tháng 2019 năm XNUMX, được sử dụng để tải xuống các ứng dụng độc hại khác và hiển thị quảng cáo. Ứng dụng có khả năng tự ẩn khỏi người dùng và có thể tự cài đặt lại trong trường hợp bị gỡ cài đặt.
  2. Triada - Modular Backdoor cho Android cấp đặc quyền người dùng cấp cao cho phần mềm độc hại đã tải xuống.
  3. Hiddad - Hiddad là một phần mềm độc hại Android đóng gói lại các ứng dụng hợp pháp và sau đó phát hành chúng vào cửa hàng của bên thứ ba. Chức năng chính của nó là hiển thị quảng cáo, nhưng nó cũng có thể truy cập vào các chi tiết bảo mật quan trọng được tích hợp trong HĐH.

Chỉ số Tác động Đe dọa Toàn cầu của Check Point và Bản đồ Đe dọa của nó được cung cấp bởi trí thông minh ThreatCloud của Check Point, mạng cộng tác lớn nhất để chống lại tội phạm mạng cung cấp dữ liệu về mối đe dọa và xu hướng tấn công từ mạng lưới cảm biến mối đe dọa toàn cầu. Cơ sở dữ liệu ThreatCloud kiểm tra hơn 3 tỷ trang web và 600 triệu tệp hàng ngày và xác định hơn 250 triệu hoạt động phần mềm độc hại mỗi ngày.

Danh sách đầy đủ 10 họ phần mềm độc hại hàng đầu trong tháng XNUMX có thể được tìm thấy trên Blog điểm kiểm tra.

Giới thiệu về nghiên cứu điểm kiểm tra 

Check Point Research (CPR) cung cấp thông tin tình báo về mối đe dọa mạng hàng đầu cho Check Point Software khách hàng và cộng đồng thông minh lớn hơn. Nhóm nghiên cứu thu thập và phân tích dữ liệu tấn công mạng toàn cầu được lưu trữ trên ThreatCloud để ngăn chặn tin tặc, đồng thời đảm bảo tất cả các giải pháp Check Point đều được cập nhật các biện pháp bảo vệ mới nhất. Nhóm nghiên cứu bao gồm hơn 100 nhà phân tích và nhà nghiên cứu hợp tác với các nhà cung cấp bảo mật khác, cơ quan thực thi pháp luật và các CERT khác nhau.

Theo dõi Nghiên cứu Điểm Kiểm tra qua:

Giới thiệu Check Point Software Technologies Ltd.  

Check Point Software Technologies Ltd. (www.checkpoint.com) là nhà cung cấp giải pháp an ninh mạng hàng đầu cho các chính phủ và doanh nghiệp công ty trên toàn cầu. Danh mục giải pháp của Check Point Infinity bảo vệ các doanh nghiệp và tổ chức công khỏi các cuộc tấn công mạng thế hệ thứ 5 với tỷ lệ bắt phần mềm độc hại, ransomware và các mối đe dọa khác hàng đầu trong ngành. Infinity bao gồm ba trụ cột cốt lõi cung cấp khả năng bảo mật không bị ràng buộc và ngăn chặn mối đe dọa thế hệ V trên các môi trường doanh nghiệp: Check Point Harmony, dành cho người dùng từ xa; Kiểm tra Point CloudGuard, để tự động bảo mật các đám mây; và Check Point Quantum, để bảo vệ chu vi mạng và trung tâm dữ liệu, tất cả đều được kiểm soát bởi quản lý bảo mật thống nhất trực quan, toàn diện nhất của ngành. Check Point bảo vệ hơn 100,000 tổ chức thuộc mọi quy mô.

# # #