Det er nu et år siden, at det kinesiske marketingsbureau Rafotech distribuerede malwaren Fireball til 250 millioner brugere på verdensplan, hvilket blev afdækket af Check Point. Men selv efter at jorden har været en hel gang rundt om solen, er det stadig ikke lykkedes virksomhederne – i særdeleshed ikke de danske – at slippe ud af Fireballs digitale jerngreb. Ifølge Check Points nyeste Threat Index er 11,26 procent af danske virksomheder stadig inficeret, mens det globale gennemsnit er væsentligt lavere – nemlig 5,60 procent.
I løbet af maj blev næsten 40 procent af organisationer på verdensplan ramt af kryptomining-malware. Coinhive formåede alene at påvirke 23 procent af verdens organisationer, hvilket er næsten dobbelt så mange sammenlignet med april, hvor Coinhive også indtog pladsen som “Most Wanted” malware. På listen ligger Cryptoloot på andenpladsen. Denne formåede at ramme 11 procent af verdens organisationer, mens Jsecoin på tredjepladesen formåede at ramme 7,5 procent.
“Når cryptomining påvirker næsten 40 procent af alle organisationer på verdensplan, er det åbenlyst fordi, at hackerne finder denne teknik profitabel. For at undgå at deres netværk bliver udnyttet af kryptomining – og andre typer angreb – er det afgørende, at virksomhederne benytter en cybersikkerheds-strategi med flere lag, der både beskytter mod etablerede malware-familier og helt nye trusler”, siger Maya Horowitz, Threat Intelligence Group Manager hos Check Point.
Check Points researches kan også berette om, at cyberkriminelle fortsætter med at angribe virksomhedernes netværk via unpatched sårbarheder i Microsoft Windows Server 2013 (CVE-2017-7269) og Oracle Web Logic (CVE-2017-10271). 44 procent af alle organisationer på verdensplan blev angrebet via sårbarheden i Microsoft Windows Server 2003, 40 procent blev påvirket af sårbarheden i Oracle Web Logic, mens yderligere 17 procent blev påvirket af SQL injection.
“Cyberkriminelle er mere tilbøjelige til at udnytte kendte sårbarheder, end de vil udvikle nye angreb, i håbet om at organisationerne ikke har afhjulpet disse. De vil altid lede efter den nemmeste vej ind i netværket. Derfor er det bekymrende, at så mange organisationer fortsat er modtagelige overfor disse sårbarheder, når patches er blevet gjort tilgængelige. Det understreger, at basal sikkerhed – såsom patches – er afgørende for at netværk forbliver sikre”, siger Maya Horowitz.
Top 3 ‘Most Wanted’ sårbarheder fra maj 2018:
1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269)
– Ved at sende en udformet anmodning over et netværk til Microsoft Windows Server 2003 R2 via Microsoft Internet Information Services 6.0 kan en hacker køre en vilkårlig kode eller forårsage afvisning af servicevilkår på den pågældende server. Det skyldes hovedsageligt sårbarheden med buffer overflow, som stammer fra en ukorrekt validering af en lang overskrift i HTTP-anmodning. En patch har været tilgængelig siden marts 2017.
2. Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271)
– En sårbarhed i forhold til at køre en kode eksternt findes i Oracle WebLogic WLS. Dette skyldes den måde, som Oracle WebLogic håndterer xml decodes. Et succesfuldt angreb kan føre til, at en kode kan køres eksternt. En patch har været tilgængelig siden oktober 2017.
3. SQL Injection
– Indsætter en injection af SQL-forespørgsel i input fra klient til applikation, mens sikkerhedsproblemer i applikations-software udnyttes.
Top 3 “Most Wanted” mobil-malware for Maj 2018:
1. Lokibot – En Android Banking Trojan og informations-stjæler, der også kan forvandle sig til ransomware, som låser telefonen.
2. Triada – Modular Backdoor for Android, der giver superbruger rettigheder til at downloade malware.
3. Lotoor – Et hacking-værktøj til at udnytte sårbarheder i Androids styresystem for at opnå root-rettigheder til den kompromitterede telefon.