Októberben mondhatni példátlanul széles körű összefogással (felvonult az FBI, a European Cybercrime Centre, a Fox-IT, a Spamhaus, a Shadowserver Foundation és a Trend Micro is) sikerült legyőzni a Dridex banki trójait. Aztán most kiderült: korai volt az öröm. A botnetet építő károkozó ugyanis visszatért, és erősebb, mint valaha – írta a Biztonságportál.
A legveszélyesebbek között jegyezték
Nem véletlenül nevezte a Dridexet a Cisco a nyári biztonsági jelentésében az egyik legveszélyesebb károkozónak. A már 2014-ben is súlyos károkat okozó trójai. A Cisco főleg amiatt tartotta rendkívül veszélyesnek, mert ügyesen ötvözték a támadási lehetőségeit például a spamek, a Microsoft Office makrók nyújtotta lehetőségekkel.
A szakértők a web injection technika segítségével fertőző modulját tartották a legfejlettebnek, amely képes volt manipulálni a fertőzött számítógépeken megjelenő weboldalakat: például űrlapokat szúrt be banki weblapokba, hogy a felhasználók azon adják meg a hitelesítő adataikat. A hamis formok természetesen a támadóknak küldték az érzékeny adatokat.
Úgy tűnik, az októberi akciónál nem sikerült teljes egészében felszámolni a Dridex építette botnetet, ami így képes volt regenerálódni. Valószínűleg ebben a Dridex botnet hibrid megközelítése is segített.
Elosztott rendszerrel operál
A trójai által kialakított botnetnek ugyanis nem csak központi szerverei vannak, hanem peer-to-peer hálózatot is épít. Így azonban hiába iktatják ki a központi szervereket, az elosztott rendszerek logikája szerint a botnet vidáman működik tovább. És mint az a napokban kiderült, a Dridex esetében is ez történt. (Paradox módon októberben a Dell SecureWorks kutatói éppen ezt a hibrid felépítést emelték ki mint gyenge pontot, ahol támadást lehetett intézni a káokozó ellen.)
Jelenleg főként az USA, az Egyesült Királyság és Franciaország számít a legveszélyeztetettebbnek, de a Trend Micro szerint világszerte terjed, azaz bárhol felbukkanhat. Az ESET már regisztrált is spanyolországi és szlovákiai incidenseket.
A Dridex olyan, jellemzően angol nyelvű spamekben terjed, amelyekben Word vagy Excel csatolmányok vannak. A levelek azt állítják, hogy a csatolmányok pénzügyi dokumentumok. Itt még szükség van a felhasználó beavatkozására, mert az állományok megnyitáskor kérik a makrók futtatásának engedélyezését. Ha ezt megkapják, a számítógépe megfertőződik, és egyben része lesz a Dridex botnetnek.
Eddig tíznél is több változatban bukkantak fel a spamek, és a vírusvédelmi cégek egyre több fertőzést regisztrálnak. Pedig aranyszabály, hogy – naprakész víruskereső mellett is – makró futását csak akkor szabad engedélyezni, ha száz százalékig biztosak vagyunk abban, hogy a dokumentum megbízható forrásból származik.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak