AgentTesla najpopularniejszym typem szkodliwego oprogramowania w IV 2023

Przeczytaj także: Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie

AgentTesla został wykryty w ponad 8 proc. polskich oraz niemal 10 proc. światowych sieci firmowych.

Badacze zagrożeń cybernetycznych z Check Point odkryli poważną kampanię złośliwego spamu, dystrybuującą trojana bankowego Qbot za pośrednictwem złośliwych plików PDF. Jak zaznaczają e-maile napisane były w kilku językach, by dotrzeć do jak największej ilości ofiar. W zeszłym miesiącu powrócił również Mirai, jedno z najpopularniejszych szkodliwych programów IoT. Analitycy potwierdzili, że wykorzystuje nową lukę typu „zero-day” CVE-2023-1380 do atakowania routerów TP-Link i dodawania ich do swojego botnetu, który już został wykorzystany do przeprowadzenia jednego z najbardziej destrukcyjnych rozproszonych ataków DDoS w historii.

Cyberprzestępcy nieustannie pracują nad nowymi metodami obchodzenia zabezpieczeń, a odkryte przez nas kampanie są kolejnym dowodem na to, jak złośliwe oprogramowanie dostosowuje się, aby przetrwać. Qbot ponownie jest w ofensywie, co powinno przypomnieć o znaczeniu kompleksowego bezpieczeństwa cybernetycznego i należytej staranności, jeśli chodzi o zaufanie do pochodzenia i intencji otrzymywanych wiadomości e-mail - powiedziała Maya Horowitz, wiceprezes ds. badań w firmie Check Point Software.

Najbardziej rozpowszechnionym złośliwym oprogramowaniem jest obecnie AgentTesla, który wpływa na blisko 10 proc. firm na świecie. Drugi to wspomniany trojan bankowy Qbot wykryty w 7 proc. sieci, natomiast podium zamyka Formbook z 6-proc. wpływem. W Polsce dwoma najczęstszymi zagrożeniami są również AgentTesla oraz Qbot (wykryte odpowiednio w 8 i 7,8-proc. organizacji), za to za ich plecami ulokował się „loader” Guloader, obecny w niemal 5,5% sieci firmowych.

W kwietniu najczęściej atakowanym sektorem na świecie była opieka zdrowotna, która wyprzedziła administrację rządowo-wojskową. Ataki na instytucje opieki zdrowotnej zostały dobrze udokumentowane, a niektóre kraje nadal doświadczają nieustannych ataków. Przykładowo grupa cyberprzestępcza Medusa niedawno przeprowadziła ataki na ośrodki onkologiczne w Australii. Sektory opieki zdrowotnej oraz badań pozostają lukratywnym celem dla hakerów, ponieważ dają im potencjalny dostęp do poufnych danych pacjentów i informacji o płatnościach. Zagrożone są m.in. firmy farmaceutyczne – hakerzy polują m.in. na informacje dotyczące badań klinicznych, nowych leków i urządzeń medycznych.

Najczęściej wykorzystywaną w kwietniu luką było „Web Servers Malicious URL Directory Traversal”, która dotknęła 48 proc. organizacji na całym świecie. Popularna jest wciąż „Apache Log4j Remote Code Execution” z wpływem na 44 proc. firm.

Globalny Indeks Wpływu Zagrożeń firmy Check Point i jego Mapa ThreatCloud są oparte na analizie ThreatCloud firmy Check Point. ThreatCloud zapewnia analizę zagrożeń w czasie rzeczywistym, pochodzącą z setek milionów czujników na całym świecie, w sieciach, punktach końcowych i telefonach komórkowych. Inteligencja jest wzbogacona o silniki oparte na sztucznej inteligencji i ekskluzywne dane badawcze z Check Point Research, ramienia wywiadowczego i badawczego firmy Check Point Software Technologies.

Oświadczenie TP-Link Polska w sprawie ataków hackerskich Camaro Dragon

W związku z pojawiającymi się w mediach informacjami o atakach hackerskich przygotowanych przez grupę Camaro Dragon przygotowaliśmy rekomendacje dla użytkowników, jak zabezpieczyć naszą domową sieć przed tego typu atakami.

Artykuły te oparte są na publikacji badaczy z Check Point Research, którzy odkryli łudząco przypominające oryginalny firmware TP-Link oprogramowanie, w którym zaimplementowano zdalną powłokę do wykonywania poleceń na zainfekowanym urządzeniu, przesyłania i pobierania plików oraz wymiany danych między dwoma zainfekowanymi urządzeniami za pośrednictwem protokołu SOCKS5. SOCKS5 może być używany jako połączenie proxy TCP z dowolnym adresem IP, do przekazywania pakietów UDP, a ostatecznie do tworzenia łańcucha zainfekowanych urządzeń w celu zamaskowania źródła i miejsca docelowego zaszyfrowanego połączenia.

Warto podkreślić, że w publikacji Check Point Research nie ma jakiejkolwiek informacji o złamaniu zabezpieczeń bądź wykryciu luki w zabezpieczeniach w oryginalnym oprogramowaniu TP-Link. Badacze jako najbardziej prawdopodobne źródło infekcji podmienionym oprogramowaniem podają znane podatności (dla których wydano już łatki bezpieczeństwa) oraz słabe hasło do panelu administracyjnego w routerach, w których został skonfigurowany zdalny dostęp od strony WAN.

Jak zabezpieczyć się przed atakiem hackerskim?
Większość użytkowników nie ma potrzeby zdalnego dostępu przez Internet do panelu administracyjnego routera, dlatego też domyślnie ta funkcja jest wyłączona w oprogramowaniu we wszystkich routerach TP-Link.

Jeżeli jednak mamy potrzebę zdalnego dostępu do urządzenia, a nasz router wspiera funkcję serwera OpenVPN, zamiast funkcji zdalnego dostępu i wystawiania panelu zarządzania na zewnątrz, zalecamy konfigurację VPNu do połączenia się z routerem i zarządzanie nim po jego adresie lokalnym.

W przypadku routerów, które nie obsługują VPN, aby zminimalizować ryzyko należy stosować odpowiednio długie (kilkunastoznakowe) hasło do panelu administracyjnego wykorzystujące duże i małe litery cyfry oraz znaki specjalne. Jeżeli logujemy się do niego z zewnątrz z konkretnego, niezmiennego adresu IP warto również ograniczyć zdalny dostęp do routera do tego konkretnego adresu IP.
Ponadto zalecamy, by sprawdzić czy korzystamy z najbardziej aktualnej wersji oprogramowania do naszego routera pochodzącego ze strony TP-Link.

Wszystkich użytkowników, którzy potrzebują pomocy przy aktualizacji firmware bądź zmiany ustawień routera zachęcamy do kontaktu z działem wsparcia technicznego TP-Link pod numerem telefonu 22 360 63 63. Infolinia wsparcia działa od poniedziałku do piątku w godzinach 9:00-19:00.