Check Point研究人员报告称,Trickbot和Emotet在全球威胁指数中名列前茅,并被用于向全球医院和医疗保健提供商分发勒索软件
2020年10月全球威胁指数显示,Trickbot和Emotet木马在十月份继续成为最流行的两个恶意软件,并且这些木马一直是全球针对医院和医疗服务提供商的勒索软件攻击急剧增加的原因。
FBI和其他美国政府机构最近发布了针对针对医疗保健行业的勒索软件攻击的警告,警告称全世界估计有100万以上的Trickbot感染被用于下载和传播Ryuk等文件加密的勒索软件。Ryuk还通过Emotet木马进行分发,该木马连续第四个月在Top Malware Index中排名第一。
Check Point威胁情报数据显示,十月份美国医疗保健部门成为勒索软件攻击的最大目标,与2020年9月相比,攻击数量增加了71%。同样,欧洲,中东和非洲地区针对医疗保健组织和医院的勒索软件攻击数量也增加了36%。在亚太地区占33%。
Check Point研究人员警告说,自从冠状病毒大流行开始以来,勒索软件攻击已在增加,以尝试利用安全漏洞,因为组织争先恐后地为远程员工提供支持。在过去的三个月中,这些数字激增到令人震惊的地步,尤其是在医疗保健领域,并且是由先前存在的TrickBot和Emotet感染引起的。Check Point强烈敦促各地的医疗机构对这种风险保持更高的警惕,并在成为感染勒索软件攻击的网关之前,对这些感染进行扫描,以防造成实际损害。
研究团队还警告说,“ MVPower DVR远程执行代码”是最普遍利用的漏洞,影响了全球43%的组织,其次是“ Dasan GPON路由器身份验证旁路”和“ HTTP标头远程执行代码(CVE-2020-13756)”两者都影响了全球42%的组织。
顶级恶意软件家族
*箭头表示与上个月相比的排名变化。
本月,Emotet仍然是最受欢迎的恶意软件,在全球范围内影响了12%的组织,其次是Trickbot和Hiddad,两者都影响了全球4%的组织。
mot Emotet – Emotet是一种高级的自传播和模块化木马。Emotet曾经被用作银行木马,最近又被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和逃避技术,从而避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件来传播。
rick Trickbot – Trickbot是一种占主导地位的银行木马,不断用新功能,功能和发行媒介进行更新。这使Trickbot成为灵活且可自定义的恶意软件,可以作为多用途活动的一部分进行分发。
↑Hiddad – Hiddad是一种Android恶意软件,可以对合法应用进行重新打包,然后将其发布到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全详细信息。
↓Dridex – Dridex是针对Windows平台的木马程序,据说是通过垃圾邮件附件下载的。Dridex联系远程服务器并发送有关受感染系统的信息。它还可以下载并执行从远程服务器接收的任意模块。
↑Formbook – Formbook是一个信息窃取者,可以从各种Web浏览器中收集凭证,收集屏幕快照,监视器和日志击键,并可以根据其C&C命令下载和执行文件。
bot Qbot – Qbot是一种银行木马,于2008年首次出现,旨在窃取用户的银行凭证和击键。Qbot通常通过垃圾邮件分发,它采用了多种反虚拟机,反调试和反沙盒技术来阻止分析和逃避检测。
↓ XMRig – XMRig是用于Monero加密货币的挖掘过程的开源CPU挖掘软件,于2017年5月首次在野外出现。
↑Zloader – Zloader是普遍使用的Zeus银行恶意软件的后代,该恶意软件使用Webinjects窃取Web浏览器中的凭证,密码和cookie以及其他来自银行和金融机构客户的敏感信息。该恶意软件使攻击者可以通过虚拟网络计算客户端连接到受感染的系统,因此他们可以从用户的设备进行欺诈性交易。
↑XHelper – xHelper是自2019年3月以来在野外常见的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序可以向用户隐藏自身,并在卸载后重新安装。
↓ Ramnit – Ramnit是一个银行木马,可以窃取银行凭证,FTP密码,会话cookie和个人数据。
利用最严重的漏洞
本月,“ MVPower DVR远程执行代码”是最普遍利用的漏洞,影响了全球43%的组织,其次是“ Dasan GPON路由器身份验证旁路”和“ HTTP标头远程执行代码(CVE-2020-13756)”,两者均会影响全球42%的组织。
↔MVPower DVR远程执行代码– MVPower DVR设备中存在远程执行代码漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。
↔达产 GPON路由器身份验证绕过(CVE-2018-10561) –达产GPON路由器中存在一个身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
↑HTTP远程执行代码(CVE-2020-13756) – HTTP标头使客户端和服务器可以通过HTTP请求传递其他信息。远程攻击者可能使用易受攻击的HTTP标头在受害计算机上运行任意代码。
↑Draytek Vigor命令注入(CVE-2020-8515) – Draytek Vigor中存在命令注入漏洞。成功利用此漏洞可能使远程攻击者可以在受影响的系统上执行任意代码。
↓ OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160; CVE-2014-0346) – OpenSSL中存在一个信息泄露漏洞。该漏洞是由于处理TLS / DTLS心跳数据包时出错。攻击者可以利用此漏洞来披露连接的客户端或服务器的内存内容。
↑WordPress Portable-phpMyAdmin插件身份验证绕过(CVE-2012-5469) – WordPress Portable -phpMyAdmin插件中存在一个身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
↓ Web服务器暴露的Git存储库信息泄露– Git存储库中已报告的信息泄露漏洞。成功利用此漏洞可能导致无意中泄露帐户信息。
↔SQL注入(几种技术) –在客户端到应用程序的输入中插入SQL查询的注入,同时利用应用程序软件中的安全漏洞。
↑ w00tw00t安全扫描程序 – w00tw00t是漏洞扫描产品。远程攻击者可以使用w00tw00t来检测目标服务器上的漏洞。
↑PHP DIESCAN信息泄露– PHP页面中已报告一个信息泄露漏洞。成功利用该漏洞可能导致服务器泄露敏感信息。
热门移动恶意软件
Hiddad是本月最流行的移动恶意软件,其次是xHelper和Lotoor。
Hiddad – Hiddad是一种Android恶意软件,可以对合法应用进行重新打包,然后将其发布到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全详细信息。
xHelper – xHelper是自2019年3月以来在野外常见的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序可以向用户隐藏自身,并在卸载后重新安装。
Lotoor – Lotoor是一种黑客工具,可利用Android操作系统上的漏洞来获取受感染移动设备的root特权。
来源:oschina
链接:https://my.oschina.net/u/4306257/blog/4714532