Ancaman Malware Teratas di Tahun 2022: Tinjauan Setahun ke Belakang

Oleh
Ancaman Malware Teratas

Cybersecurity Advisory (CSA) bersama ini ditulis bersama oleh Cybersecurity and Infrastructure Security Agency (CISA) dan Australian Cyber Security Centre (ACSC) tentang Ancaman Malware TOP. Penasihat ini memberikan perincian tentang jenis malware teratas yang diamati pada tahun 2021 dan juga kemungkinan masih akan terus meningkat pada tahun 2022 dan seterusnya.

Malware, kependekan dari “perangkat lunak berbahaya”, dapat membahayakan sistem dengan menjalankan fungsi atau proses yang tidak sah. Pelaku dunia maya yang jahat sering kali menggunakan malware untuk secara diam-diam menyusup dan kemudian mendapatkan akses ke komputer atau perangkat seluler. Beberapa contoh malware termasuk virus, worm, Trojan, ransomware, spyware, dan rootkit.

Ancaman Malware Teratas

Jenis malware teratas pada tahun 2021 adalah: Agen Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot, dan GootLoader.

  • Aktor-aktor dunia maya yang jahat telah menggunakan Agent Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos, dan TrickBot setidaknya selama lima tahun.
  • Aktor-aktor siber jahat telah menggunakan Qakbot dan Ursnif selama lebih dari satu dekade.

Pembaruan yang dilakukan oleh pengembang malware, dan penggunaan ulang kode dari jenis malware ini, berkontribusi pada umur panjang dan evolusi malware ke dalam berbagai variasi. Penggunaan jenis malware yang sudah dikenal oleh pelaku kejahatan menawarkan peluang bagi organisasi untuk mempersiapkan, mengidentifikasi, dan memitigasi serangan dari jenis malware yang sudah dikenal ini dengan lebih baik.

Agen Tesla

  • Gambaran umum: Agen Tesla mampu mencuri data dari klien email, peramban web, dan server Protokol Transfer File (FTP). Malware ini juga dapat mengambil tangkapan layar, video, dan CISA | ACSC TLP: WHITE Halaman 3 dari 16 | ID Produk: AA22-216A A TLP: PUTIH data papan klip Windows. Agent Tesla tersedia secara online untuk dibeli dengan kedok sebagai alat yang sah untuk mengelola komputer pribadi Anda. Pengembangnya terus menambahkan fungsionalitas baru, termasuk kemampuan penyamaran dan menargetkan aplikasi tambahan untuk pencurian kredensial[3][4].
  • Aktif sejak: 2014
  • Jenis Malware: TIKUS
  • Metode Pengiriman: Sering dikirim sebagai lampiran berbahaya dalam email phishing.
  • Sumber daya: Lihat halaman MITRE ATT & CK di Agen Tesla.

AZORult

  • Gambaran umum: AZORult digunakan untuk mencuri informasi dari sistem yang disusupi. Ia telah dijual di forum-forum peretas bawah tanah untuk mencuri data peramban, kredensial pengguna, dan informasi mata uang kripto. Pengembang AZORult terus memperbarui kemampuannya.[5][6]
  • Aktif sejak: 2016
  • Jenis Malware: Trojan
  • Metode Pengiriman: Phishing, situs web yang terinfeksi, kit eksploitasi (toolkit otomatis yang mengeksploitasi kerentanan perangkat lunak yang diketahui), atau melalui malware dropper yang mengunduh dan menginstal AZORult.
  • Sumber daya: Lihat halaman MITRE ATT&CK di AZORult dan penjelasan singkat AZORult dari Departemen Kesehatan dan Layanan Kemanusiaan (HHS).

Buku Formulir

  • Gambaran umum: FormBook adalah pencuri informasi yang diiklankan di forum-forum peretasan. ForrmBook mampu melakukan pencatatan kunci dan menangkap kata sandi peramban atau klien email, tetapi pengembangnya terus memperbarui malware untuk mengeksploitasi Kerentanan dan Eksposur Umum (CVS) terbaru[7], seperti CVE-2021-40444 Kerentanan Eksekusi Kode Jarak Jauh Microsoft MSHTML[8][9].
  • Aktif sejak: Setidaknya 2016 – Jenis malware: Trojan
  • Metode Pengiriman: Biasanya dikirim sebagai lampiran dalam email phishing.
  • Sumber daya: Lihat Catatan Sektor Departemen Kesehatan dan Layanan Kemanusiaan (HHS) tentang Kampanye Phishing Malware Buku Formulir.

Ursnif

  • Gambaran umum: Ursnif adalah Trojan perbankan yang mencuri informasi keuangan. Juga dikenal sebagai Gozi, Ursnif telah berevolusi selama bertahun-tahun untuk menyertakan mekanisme persistensi, metode untuk menghindari sandbox dan mesin virtual, dan kemampuan pencarian perangkat lunak enkripsi disk untuk mencoba ekstraksi kunci guna membuka enkripsi file.[10][11][12] Berdasarkan informasi dari pihak ketiga yang terpercaya, infrastruktur Ursnif masih aktif per Juli 2022.
  • Aktif sejak: 2007
  • Jenis Malware: Trojan
  • Metode Pengiriman: Biasanya dikirim sebagai lampiran berbahaya pada email phishing.
  • Sumber daya: Lihat halaman MITRE ATT&CK di Ursnif.

LokiBot

  • Gambaran umum: LokiBot adalah malware Trojan yang mencuri informasi sensitif, termasuk kredensial pengguna, dompet mata uang kripto, dan kredensial lainnya. Varian LokiBot 2020 menyamar sebagai peluncur untuk video game multipemain Fortnite.[13][14]
  • Aktif sejak: 2015
  • Jenis Malware: Trojan
  • Metode Pengiriman: Biasanya dikirim sebagai lampiran email berbahaya.
  • Sumber daya: Lihat peringatan LokiBot Malware dari CISA dan halaman MITRE ATT&CK di LokiBot.

PULAU TIKUS

  • Gambaran umum: MOUSEISLAND biasanya ditemukan di dalam makro yang disematkan pada dokumen Microsoft Word dan dapat mengunduh muatan lain. MOUSEISLAND mungkin merupakan fase awal dari serangan ransomware.[15]
  • Aktif sejak: Setidaknya tahun 2019
  • Jenis malware: Pengunduh makro
  • Metode Pengiriman: Biasanya didistribusikan sebagai lampiran email.
  • Sumber daya: Lihat blog Mandiant yang membahas MOUSEISLAND.

NanoCore

  • Gambaran umum: NanoCore digunakan untuk mencuri informasi korban, termasuk kata sandi dan email. NanoCore juga dapat memungkinkan pengguna jahat untuk mengaktifkan webcam komputer untuk memata-matai korban. Pengembang malware terus mengembangkan kemampuan tambahan sebagai plug-in yang tersedia untuk dibeli atau sebagai kit malware atau dibagikan di antara para pelaku dunia maya yang jahat.[16][17][18]
  • Aktif sejak: 2013
  • Jenis Malware: TIKUS
  • Metode Pengiriman: Telah dikirim dalam email sebagai citra disk ISO dalam file ZIP berbahaya; juga ditemukan dalam dokumen PDF berbahaya yang dihosting di layanan penyimpanan cloud.
  • Sumber daya: Lihat halaman MITRE ATT&CK tentang NanoCore dan Catatan Sektor HHS: Trojan Akses Jarak Jauh Nanocore Menimbulkan Risiko pada Sektor HPH.

Qakbot

  • Ikhtisar: awalnya diamati sebagai Trojan perbankan, Qakbot telah berevolusi dalam kemampuannya untuk melakukan pengintaian, bergerak secara lateral, mengumpulkan dan menyusup ke dalam data, dan mengirimkan muatan. Juga dikenal sebagai QBot atau Pinksliplot, Qakbot bersifat modular yang memungkinkan aktor siber jahat untuk mengonfigurasinya sesuai kebutuhan mereka. Qakbot juga dapat digunakan untuk membentuk botnet.[19][20]
  • Aktif sejak: 2007
  • Jenis Malware: Trojan
  • Metode Pengiriman: Dapat dikirim melalui email sebagai lampiran berbahaya, hyperlink, atau gambar yang disematkan.
  • Sumber daya: Lihat halaman MITRE ATT&CK di Qakbot dan penjelasan singkat Departemen Kesehatan dan Layanan Kemanusiaan (HHS) tentang Qbot/Qakbot Malware.

Remcos

  • Gambaran umum: Remcos dipasarkan sebagai alat perangkat lunak yang sah untuk manajemen jarak jauh dan pengujian penetrasi. Remcos, kependekan dari Remote Control and Surveillance, dimanfaatkan oleh aktor siber jahat yang melakukan kampanye phishing massal selama pandemi COVID-19 untuk mencuri data pribadi dan kredensial. Remcos memasang pintu belakang ke sistem target. Pelaku dunia maya yang jahat kemudian menggunakan pintu belakang Remcos untuk mengeluarkan perintah dan mendapatkan hak administrator sambil melewati produk antivirus, mempertahankan kegigihan, dan berjalan sebagai proses yang sah dengan menyuntikkan dirinya sendiri ke dalam proses Windows.[21][22]
  • Aktif sejak: 2016
  • Jenis Malware: TIKUS
  • Metode Pengiriman: Biasanya dikirim dalam email phishing sebagai lampiran berbahaya.
  • Sumber daya: Lihat halaman MITRE ATT&CK di Remcos.

TrickBot

  • Gambaran umum: Malware TrickBot sering kali digunakan untuk membentuk botnet atau mengaktifkan akses awal untuk ransomware Conti atau trojan perbankan Ryuk. TrickBot dikembangkan dan dioperasikan oleh sekelompok aktor siber jahat yang canggih dan telah berevolusi menjadi malware yang sangat modular dan bertingkat. Pada tahun 2020, penjahat siber menggunakan TrickBot untuk menargetkan Sektor Kesehatan dan Kesehatan Masyarakat (HPH) dan kemudian meluncurkan serangan ransomware, mengeksfiltrasi data, atau mengganggu layanan kesehatan. Berdasarkan informasi dari pihak ketiga yang terpercaya, infrastruktur TrickBot masih aktif pada Juli 2022.[23][24][25][26]
  • Aktif sejak: 2016
  • Jenis Malware: Trojan
  • Metode Pengiriman: Biasanya dikirimkan melalui email sebagai hyperlink.
  • Sumber daya: Lihat halaman MITRE ATT&CK di Trickbot dan Joint CSA di TrickBot Malware.

GootLoader

  • Gambaran umum: GootLoader adalah pemuat malware yang secara historis terkait dengan malware GootKit. Seiring pengembangnya memperbarui kemampuannya, GootLoader telah berevolusi dari pemuat yang mengunduh muatan berbahaya menjadi platform malware multi-muatan. Sebagai malware pemuat, GootLoader biasanya merupakan tahap pertama dari sebuah kompromi sistem. Dengan memanfaatkan keracunan mesin pencari, pengembang GootLoader dapat berkompromi atau membuat situs web yang memiliki peringkat tinggi dalam hasil mesin pencari, seperti hasil pencarian Google.[27]
  • Aktif sejak: Setidaknya tahun 2020
  • Jenis Malware: Pemuat
  • Metode pengiriman: File berbahaya tersedia untuk diunduh di situs web yang disusupi dan memiliki peringkat tinggi di hasil mesin pencari
  • Sumber daya: Lihat halaman Cybersecurity & Communications Integration Cell (NJCCIC) New Jersey di GootLoader dan Blog BlackBerry di GootLoader.

Mitigasi

Langkah-langkah yang direkomendasikan CISA dan ACSC kepada organisasi untuk meningkatkan postur keamanan siber mereka berdasarkan taktik, teknik, dan prosedur (TTP) musuh yang telah diketahui untuk mengatasi Ancaman Malware TOP.

CISA dan ACSC mendesak organisasi infrastruktur penting untuk segera mempersiapkan dan mengurangi potensi ancaman siber dengan (1) memperbarui perangkat lunak, (2) menerapkan MFA, (3) mengamankan dan memantau RDP dan layanan yang berpotensi berisiko lainnya, (4) membuat cadangan data Anda secara offline, dan (5) memberikan kesadaran dan pelatihan kepada pengguna akhir.

Unduh laporan 2021 TOP Malware > Laporan Ancaman Malware Teratas

Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d blogger menyukai ini: