Check Point Research, het Threat Intelligence-team van Check Point Software Technologies, waarschuwt in zijn recentste Global Threat Index (december 2019) voor de verspreiding van Emotet-malware. Voor de derde maand op rij is Emotet de belangrijkste cyberbedreiging. De malware is vorige maand via allerlei spam-campagnes verspreid, onder meer via e-mails die oproepen om klimaatactiviste Greta Thunberg als persoon van het jaar (TIME) te steunen of met berichten over Kerstmis.
In beide gevallen bevatten de mails een Word-document dat bij opening Emotet op de computer van de ontvanger probeert te downloaden. Emotet wordt hoofdzakelijk gebruikt om ransomware en andere malafide campagnes te verspreiden.
“De afgelopen drie maanden zijn de bedreigingen voor organisaties heel veelzijdig geweest met malware zoals Emotet en xHelper. Hiermee kunnen cybercriminelen op verschillende manieren geld verdienen met een aanval”, zegt Maya Horowitz, directeur Threat Intelligence & Research, Products bij Check Point. “Criminelen proberen binnen te dringen bij zoveel mogelijk organisaties en apparaten om de aanvallen zo lucratief en schadelijk mogelijk te maken. Het is daarom essentieel dat organisaties hun medewerkers wijzen op de risico’s omtrent het openen van bijlagen in e-mails, het downloaden van bestanden en het klikken op links die niet afkomstig zijn van een betrouwbare bron of contactpersoon.”
Populaire malware
Emotet blijft in de Global Threat Index dus de belangrijkste bedreiging voor organisaties. De malware trof in december wereldwijd 13% van de organisaties, een toename van 9% in vergelijking met een maand eerder. Op de tweede plaats staat nog steeds XMRig, open source-software waarmee het mining-proces van de Monero-cryptocurrency wordt beïnvloed.
Tot slot houdt ook Trickbot stand in de top drie. Dat is een dominante trojan voor bankieren die voortdurend wordt bijgewerkt met nieuwe mogelijkheden en functies. Daardoor kan deze flexibele malware als onderdeel van campagnes met meerdere doeleinden verspreid worden. XMRig en Trickbot troffen vorige maand elk 7% van de organisaties.
Bij malware voor mobiele apparaten is xHelper de grootste boosdoener. Hiermee worden kwaadaardige apps en advertenties gedownload. De Android-applicatie kan zichzelf verbergen voor de gebruiker en voor mobiele antivirusprogramma’s. Bovendien is xHelper in staat zichzelf opnieuw te installeren nadat de gebruiker de installatie ongedaan heeft gemaakt.
Op de tweede plaats staat nog steeds Guerilla, een trojan voor Android die in verschillende legitieme applicaties zit ingesloten en valse advertentie-inkomsten voor ontwikkelaars genereert. Nieuwkomer in de top drie is Hiddad, Android-malware die legitieme apps herverpakt en in de winkel van een derde partij vrijgeeft. De belangrijkste functie is het weergeven van advertenties, maar het heeft ook toegang tot belangrijke beveiligingsdetails in het besturingssysteem.
Meest uitgebuite securitylekken
De Global Threat Index van Check Point rangschikt ook maandelijks de meest voorkomende kwetsbaarheden. Hier valt een sterke toename op in ‘Command Injection Over HTTP’. Maar liefst 33% van de organisaties wereldwijd is doelwit. Een externe aanvaller kan dit securitylek misbruiken door een speciaal vervaardigd verzoek naar het slachtoffer te sturen. Bij succesvolle exploitatie kan de aanvaller vervolgens een willekeurige code op de doelmachine uitvoeren. Het gebruikte bestand bevat ook een aantal links naar payloads die misbruik maken van kwetsbaarheden in verschillende IoT-apparaten van fabrikanten, waaronder D-Link, Huawei en RealTek, met de bedoeling deze apparaten voor botnets te rekruteren.
MVPower DVR Remote Code Execution is een ander securitylek dat ook de voorbije maand weer vaak is uitgebuit. Op de derde plaats staat Web Server Exposed Git Repository Information Disclosure, waarmee informatie over een account openbaar wordt gemaakt.
De Global Threat Impact Index van Check Point is het resultaat van de ThreatCloud-intelligence van Check Point, het grootste samenwerkingsnetwerk voor de bestrijding van cybercriminaliteit. Dit verzamelt en analyseert bedreigingsdata en aanvalstrends van een wereldwijd netwerk van sensoren. De ThreatCloud-database bevat meer dan 250 miljoen adressen die zijn geanalyseerd voor botdetectie, meer dan 11 miljoen malware-kenmerken en meer dan 5,5 miljoen geïnfecteerde websites. Het identificeert dagelijks miljoenen soorten malware.