‘Most wanted’ malware van januari 2019: nieuwe, gevreesde malware ‘SpeakUp’ gedetecteerd

Bunnik – Check Point Software Technologies Ltd. (NASDAQ: CHKP), wereldwijd leverancier van cybersecurity-oplossingen, heeft zijn Global Threat Index voor januari 2019 gepubliceerd. De index onthult een nieuwe backdoor die Linux-servers treft en de cryptomining-malware XMRig verspreidt. Deze nieuwe malware, genaamd SpeakUp, kan elke payload leveren en uitvoeren op besmette machines.

Het nieuwe Trojaanse paard wordt nog niet gedetecteerd door antivirussoftware van security-leveranciers. Hij wordt verspreid via een reeks exploits op basis van commands van het controlecentrum, waaronder de op zeven na vaakst misbruikte kwetsbaarheid, ‘Command Injection via HTTP’. Check Point-onderzoekers noemen SpeakUp een serieuze bedreiging omdat deze kan worden gebruikt om elke vorm van malware te downloaden en te verspreiden.

De vier meest aangetroffen malware-varianten in januari zijn allen cryptominers. Coinhive treft 12 procent van de organisaties wereldwijd en blijft daarmee de vaakst voorkomende malware. XMRig stond wederom op de tweede plek met een wereldwijde impact van 8 procent, gevolgd door de Cryptoloot-miner die 6 procent van de organisaties wereldwijd treft. Ondanks dat de index van januari in totaal vier cryptominers telt, kan de helft van alle malware-vormen in de top tien worden ingezet om meer malware te downloaden naar besmette machines.

Maya Horowitz, manager van de Threat Intelligence Group bij Check Point, zegt er het volgende over: “In januari zagen we weinig verandering in de malware-vormen die gericht zijn op ondernemingen wereldwijd, maar nu beginnen we nieuwe manieren te zien waarop malware wordt verspreid. Dergelijke dreiging is een sterke aanwijzing dat er ernstigere bedreigingen op komst zijn. Trojaanse paarden zoals SpeakUp kunnen detectie omzeilen en andere, potentieel nog gevaarlijkere malware verspreiden op besmette machines. Omdat Linux veel wordt gebruikt op zakelijke servers, verwachten we dat de dreiging van SpeakUp in het komende jaar in verhouding en ernst zal toenemen.”

Top 3 van ‘most wanted’ malware in januari 2019:

*De pijlen geven de verandering in positie ten opzichte van de vorige maand aan.

1. ↔ Coinhive: Cryptominer die is ontwikkeld om online Monero-cryptovaluta te minen wanneer een gebruiker een webpagina bezoekt, zonder dat die gebruiker dit weet of er toestemming voor heeft gegeven. Het geplaatste JavaScript gebruikt een groot deel van de CPU-bronnen van de computers van eindgebruikers om digitale valuta te minen. Het systeem kan daardoor vastlopen.
2. ↔ XMRig: Open-source CPU-miningsoftware die wordt gebruikt voor het minen van de Monero-cryptovaluta. Deze is voor het eerst gezien in mei 2017.
3. ↑ Cryptoloot: Cryptominer die bestaande bronnen en CPU- of GPU-bronnen van het slachtoffer gebruikt voor cryptomining. Hij voegt transacties toe aan de blockchain en geeft nieuwe valuta vrij. Deze concurrent van Coinhive probeert Coinhive het gras voor de voeten weg te maaien door een kleiner percentage van de inkomsten van websites te vragen.

Hiddad, de modulaire backdoor voor Android die toegangsrechten verleent aan gedownloade malware, heeft Triada van de eerste plaats gestoten op de lijst van meest voorkomende malware op mobiele apparaten. Lotoor staat op de tweede plaats. Triada is naar de derde plaats gezakt.

Top 3 van ‘most wanted’ malware op mobiele apparaten in januari 2019:

1. Hiddad: Modulaire backdoor voor Android die super user-rechten verleent aan gedownloade malware en helpt die te integreren in systeemprocessen.
2. Lotoor: Hacktool die gebruikmaakt van kwetsbaarheden in het Android-besturingssysteem om root-gebruikersrechten te krijgen op besmette mobiele apparaten.
3. Triada: Modulaire backdoor voor Android die super user-rechten verleent aan gedownloade malware en helpt die te integreren in systeemprocessen. Er is ook al gezien dat Triada URL’s spooft die zijn geladen in de browser.

Check Point-onderzoekers analyseerden ook de meest gebruikte computerkwetsbaarheden. CVE-2017-7269 behoudt de eerste plek met een wereldwijde impact van 47 procent. Vlak daarna volgen Web Server Exposed Git Repository Information Disclosure en OpenSSL TLS DTLS Heartbeat Information Disclosure, met een impact op organisaties wereldwijd van respectievelijk 46 procent en 45 procent.

Top 3 van ‘meest misbruikte’ kwetsbaarheden in januari 2019:

*De pijlen geven de verandering in positie ten opzichte van de vorige maand aan.

1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): Verzendt over een netwerk via Microsoft Internet Information Services 6.0 een speciaal gemaakt verzoek naar Microsoft Windows Server 2003 R2. Daardoor kan een externe aanvaller arbitraire code uitvoeren of Denial of service-condities veroorzaken op de getargete server. Dit wordt voornamelijk mogelijk gemaakt door een buffer overflow-kwetsbaarheid als gevolg van een onjuiste validatie van een lange header in een HTTP-verzoek.
2. ↑ Web Server Exposed Git Repository Information Disclosure: Er is een informatielek-kwetsbaarheid gemeld in Git Repository. Bij misbruik van de kwetsbaarheid kan er onbedoeld accountinformatie worden onthuld.
3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): Er is een informatielek-kwetsbaarheid in OpenSSL. De kwetsbaarheid is te wijten aan een fout bij de verwerking van TLS/DTLS heartbeat packets. Een aanvaller kan deze kwetsbaarheid misbruiken om geheugeninhoud van een verbonden client of server te onthullen.

De Global Threat Impact Index van Check Point en de bijhorende ThreatCloud Map zijn gebaseerd op informatie uit de ThreatCloud van Check Point, het grootste samenwerkingsnetwerk ter bestrijding van cybermisdaad, dat dreigingsdata en aanvalstendensen bijhoudt op basis van een wereldwijd netwerk van bedreigingssensoren. De ThreatCloud-database bevat meer dan 250 miljoen adressen die geanalyseerd zijn voor botdetectie, meer dan 11 miljoen malware-signatures en meer dan 5,5 miljoen geïnfecteerde websites. Dagelijks worden miljoenen malware-typen geïdentificeerd.

De complete lijst van de belangrijkste 10 malware-families in januari zijn te vinden in dit Check Point-blog.

######

Over Check Point

Check Point Software Technologies Ltd. biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt, plus het meest uitgebreide en intuïtieve beheersysteem. Check Point beschermt meer dan 100.000 organisaties van elke omvang.

 

Voor meer informatie