Februárban még csak heti 5 ezer volt az új koronavírushoz fűződő adathalász és kártevős támadások száma, áprilisban viszont már heti 200 ezer. Az enyhítések kezdete óta, vagyis májusban és júniusban a tematika változott, viszont összességében 34 százalékkal több kibertámadást számoltak, derül ki a Check Point féléves jelentéséből. Nőtt az állami szintű kiberháborús cselekmények aránya, és ebben is szerepe volt a járványnak, minthogy egyes országok kimondottan vadásztak a vakcinakutatással kapcsolatos tudományos eredményekre, illetve blokkolni próbálták más országok járványkezelési intézkedéseit. Célpontba kerültek egészségügyi és humanitárius szervezetek - maga a WHO 500 százalékkal több támadásról számolt be.
Magasabb sebességre kapcsoltak
Szintet léptek a zsarolók is: az újfajta módszer lényege, hogy a támadók hatalmas mennyiségű adatot szereznek meg azok titkosítása előtt, majd azzal fenyegetik meg az áldozatokat, hogy kiszivárogtatják azokat, ha nem kapnak váltságdíjat.
Mobilfronton is erősítettek: egy újszerű támadás során az egyik nagy nemzetközi vállalat mobileszköz-menedzsment (MDM-) rendszerét használták arra, hogy a felügyelt mobileszközök több mint háromnegyedét fertőzzék meg rosszindulatú kóddal.
Nem maradhattak ki a korábbiaknál intenzívebben használt felhőszolgáltatások sem, hiszen a felhő rosszindulatú programok tárolására is alkalmas. Januárban a Check Point kutatói kritikus sérülékenységet találtak a Microsoft Azure-ban.
- A világjárványra adott válaszok átalakították, magasabb sebességre kapcsolták a fenyegetéseket indító szereplők megszokott üzleti modelljeit, és kihasználták a Covid-19 világjárvánnyal kapcsolatos félelmeket. Tanúi voltunk új sérülékenységek és támadási vektorok felbukkanásának, mondta Maya Horowitz, a Check Point Threat Intelligence & Research igazgatója.
2020 első félévének leggyakoribb rosszindulatú programvariánsai a következők voltak:
- Emotet: Fejlett, önmagát hirdető moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat.
- XMRig: Nyílt kódú CPU-bányász, amelyet a Monero kriptovaluta bányászatára használnak. Gyakran arra is, hogy a kártevőbe integrálva illegális bányászatot végezzenek áldozataik eszközein.
- Agent Tesla: A 2014 óta aktív trójai a billentyűzetleütés naplózásával és adatlap-lopással figyeli és gyűjti be az áldozat billentyűzetén bevitt vagy a vágólapra helyezett adatokat, képernyőképeket és a böngészőkhöz vagy levelezőkhöz tartozó meghatalmazásokat.
- Jsecoin: Webes kriptobányász a Monero online bányászatára. A beágyazott JavaScript különösen sok végfelhasználói gépet és számítógépes erőforrást használ. 2020 áprilisában abbahagyta tevékenységét.
Wannamine: Bányász féreg, az EternalBlue-t terjeszti. - xHelper: A tavaly márciusban felbukkant alkalmazást más kártevők letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől, és újratelepíteni önmagát még akkor is, ha törlik.
- PreAMo: Androidos támadó, amely hirdetésekre kattint rá a felhasználó tudta nélkül. Több mint 90 millió alkalommal töltötték le.
- Necro: Androidos trójai hordozó. Más rosszindulatú programokat tud letölteni, tolakodó hirdetéseket mutat, előfizetésekkel lop pénzt.
- Dridex: Windowsos gépeket támadó banki trójai. Spamkampányokkal és exploit kitekkel terjed, WebInjectek segítségével fertőz, és a banki adatokat egy, a támadó által irányított szerverre irányítja át. Információkat küld a fertőzött rendszerről egy távoli szerverre, de további modulokat is le tud tölteni és működtetni.
- Trickbot: Moduláris banki trójai, általában például Emotettel terjed.
- Ramnit: Az először 2010-ben azonosított banki trójai webes folyamatok során használt információkat lop el, áldozatainak felhasználói fiókját, bankszámláját, vállalati és közösségi hálózatokkal kapcsolatos adatait megszerezve.
