Team Also Reveals Information on South Korea Attacks and Two New Android Adware Variants
Dubai, UAE – April 22, 2013 ― Fortinet® (NASDAQ: FTNT) − a world leader in high-performance network security – today announced the findings of its FortiGuard threat landscape research for the period of January 1 − March 31, 2013. FortiGuard® Labs observed that the Bitcoin mining botnet, ZeroAccess, was the number one threat this quarter as reported by FortiGate devices worldwide. The report also shares analysis of the South Korea cyberattacks and two new Android adware variants that have climbed the watch list in the last 90 days.
ZeroAccess Shows No Signs of Slowing
“In the first quarter of 2013, we have seen owners of the ZeroAccess botnet maintain and expand the number of bots under its control,” said Richard Henderson, security strategist and threat researcher for Fortinet’s FortiGuard Labs. “In the last 90 days, the owners of ZeroAccess have sent their infected hosts 20 software updates.”
Based on reporting from FortiGate devices worldwide, ZeroAccess is the number one botnet threat the team is seeing. ZeroAccess is used primarily for click fraud and Bitcoin mining. The value of the decentralized, open source-based digital currency continues to skyrocket, which likely means the amount of money being made by ZeroAccess is in the millions of dollars or more.
“As Bitcoin’s popularity and value increases, we may see other botnet owners attempt to utilize their botnets in similar fashions or to disrupt the Bitcoin market,” Henderson continued.
In March and into April, Mt. Gox, the largest Bitcoin Exchange in the world, battled a continued Distributed Denial of Service (DDoS) attack in an attempt to destabilize the currency and/or profit from it. FortiGuard Labs’ analysis of ZeroAccess, which has the capability to load DDoS modules onto infected machines, revealed that the botnet does not currently have a DDoS module attached to its arsenal. This suggests other botnet owners are attempting to profit from fluctuations in the Bitcoin currency.
The growth of new ZeroAccess infections has remained constant in the last 90 days. Since FortiGuard Labs began actively monitoring ZeroAccess in August 2012, the team has seen a virtually linear amount of growth in new infections. Most recently, the team is seeing a staggering 100,000 new infections per week and almost 3 million unique IP addresses reporting infections. It’s estimated that ZeroAccess may be generating its owners up to $100,000 per day in fraudulent advertising revenue alone.
Wiper Attack Hits South Korea Companies
A massive malware attack on South Korean television networks and financial institutions in March caused wide-scale damage, wiping thousands of hard drives. FortiGuard Labs, leveraging its partnerships with both the public and private sector in South Korea, has uncovered information relating to the nature of the attack and how the malware was spread. The team’s research shows the attackers were able to seize control of patch management systems and use the trusted nature of those systems to distribute malware within their targets’ networks. Cleanup and restoration continues, and the perpetrators responsible remain unidentified.
Two New Adware Variants Propagating on Android
Two new Android adware variants, Android.NewyearL.B and Android.Plankton.B have seen a large number of global infections in the past 90 days.
“The new advertising kits we are monitoring suggest that the authors behind this are working very hard to remain undetected,” said David Maciejak, senior researcher for Fortinet’s FortiGuard Labs. “It’s also possible that Newyear and Plankton are being written by the same author, but being maintained separately in order to generate more infections.”
Both pieces of malware are embedded into various applications and have the ability to display advertisements, track users through the phone’s unique IMEI number, and modify the phone’s desktop.
“The surge in Android adware can most likely be attributed to users installing what they believe are legitimate applications that contain the embedded adware code,” said Guillaume Lovet, Senior Manager at FortiGuard Labs. “It suggests that someone or some group has been able to monetize these infections, most likely through illicit advertising affiliate programs.”
Users can protect themselves by paying close attention to the rights asked by an application at the point of installation. It is also recommended to download mobile applications that have been highly rated and reviewed.
Q1 Threat Recap:
NBC.com
In February, using a popular cybercrime toolkit available in the cyber underground, attackers were able to leverage recently patched exploits in Oracle’s Java and Adobe’s PDF platforms to install the Citadel banking Trojan and ZeroAccess botnet onto systems that visited a number of NBC’s digital properties. At the time of the attack, only three out of 46 popular antivirus applications were able to detect and mitigate this threat, and Fortinet’s FortiClient was one of them.
“The reports of signature-based antivirus’ death have been greatly exaggerated,” said Derek Manky, global security strategist for Fortinet’s FortiGuard Labs. “A signature is often used loosely to refer to a simple pattern to match a virus. But, as we’ve seen recently, that’s not always the case. Fortinet signatures, for example, are highly intelligent, as they work with our antivirus engine to identify the intent of a virus. In a case like the NBC.com attack, advanced signatures are proven to be proactive and can help in the fight against advanced persistent threats (APTs) and zero-day attacks.”
Today’s APTs are able to defeat many technologies, including next generation firewalls. Building a network defense strategy that includes multiple layers of security is the best way to protect an infrastructure from attack. In the case of NBC, layers of security beyond traditional NGFW apply here – Webfiltering, antivirus, intrusion prevision and application control all were involved.
Spamhaus
In March, global spam fighter The Spamhaus Project placed CyberBunker on their spam blacklist, which caused some groups sympathetic to the Dutch Web hosting provider to launch a sustained DDoS attack on Spamhaus. Content delivery provider CloudFlare was recruited to assist Spamhaus to help keep their blacklisting services available, but they, too, came under attack. At its peak, the attack on Spamhaus, CloudFlare and other groups reached a whopping 300 billion bits per second (Gbps), the largest online attack ever recorded. In what is referred to as a DNS Amplification attack, an attacking bot sends a spoofed request to an open DNS server and asks it to send back a large DNS file.
“As long as misconfigured or intentionally left open DNS servers exist, these types of attacks will continue and be difficult to protect against,” Henderson maintained. “As botnet owners grow the size of their armies and diversify the ways in which they launch attacks, we’re likely to see even larger attacks like this in the future,” Henderson said.
About FortiGuard Labs
FortiGuard Labs compiled threat statistics and trends for this threat period based on data collected from FortiGate® network security appliances and intelligence systems in production worldwide. Customers who use Fortinet's FortiGuard Services should be protected against the vulnerabilities outlined in this report as long as the appropriate configuration parameters are in place.
FortiGuard Services offer broad security solutions including antivirus, intrusion prevention, Web content filtering and anti-spam capabilities. These services help protect against threats on both application and network layers. FortiGuard Services are updated by FortiGuard Labs, which enables Fortinet to deliver a combination of multi-layered security intelligence and zero-day protection from new and emerging threats. For customers with a subscription to FortiGuard, these updates are delivered to all FortiGate, FortiMail™ and FortiClient™ products.
Ongoing research can be found in the FortiGuard Center or via FortiGuard Labs' RSS feed. Additional discussion on security technologies and threat analysis can be found at the FortiGuard Blog.
Follow Fortinet Online: Twitter at: www.twitter.com/fortinet; Facebook at: www.facebook.com/fortinet; YouTube at: http://www.youtube.com/user/SecureNetworks.
فيروس الشبكة "زيرو آكسيس" يأتي في مقدمة التهديدات الأمنية خلال هذا الربع من العام
فريق مخابر "فورتي غارد" المختص في الشركة يكشف معلومات عن هجمات الإنترنت في كوريا الجنوبية ونوعين جديدين من البرامج الضارة بنظام التشغيل "آندرويد"
دبي، الإمارات – 22 أبريل، 2013 – أعلنت "فورتينت" (Fortinet)، الشركة العالمية الرائدة في مجال توفير الحلول عالية الأداء لأمن الشبكات والمدرجة في سوق أسهم ناسداك تحت الرمز (NASDAQ: FTNT)، مؤخراً عن نتائج بحث مخابر "فورتي غارد" (FortiGuard) المتعلق بواقع التهديدات الأمنية للفترة من 1 يناير/كانون الثاني وحتى 31 مارس/آذار 2013. وكشفت مخابر "فورتي غارد" بأن فيروس الشبكة "زيرو آكسيس بيت كوين" (ZeroAccess Bitcoin) هو التهديد الأمني الذي إحتل المرتبة الأولى خلال هذا الربع من العام وفقاً لما ورد عن أجهزة "فورتي غيت" (FortiGate) المنتشرة حول العالم. كما قدم التقرير تحليلاً لهجمات الإنترنت في كوريا الجنوبية واثنين من البرامج الضارة بنظام التشغيل "آندرويد" (Android) والتي تصدرت قائمة المراقبة خلال الأيام التسعين الماضية.
الفيروس "زيرو آكسيس" لا يبدي أي علامات على التباطؤ
قال ريتشارد هندرسون، استراتيجي الحماية والباحث في مجال التهديدات لدى "مخابر فورتي غيت" في "فورتينت": "شهدنا خلال الربع الأول من العام الجاري أن أصحاب فيروس الشبكة "زيرو آكسيس" يزيدون من عدد أجهزة الكمبيوتر المصابة الخاضعة لسيطرتهم. وخلال التسعين يوماً الماضية، أرسل أصحاب الفيروس "زيرو آكسيس" 20 تحديثاً برمجياً للأجهزة المصابة بالفيروس".
وبناءً على التقارير الواردة من أجهزة "فورتي غيت" المنتشرة حول العالم، فإن الفيروس "زيرو آكسيس" يعد التهديد الشبكي الأول الذي عاينه الفريق المختص. ويستخدم هذا الفيروس بشكل أساسي من أجل ما يعرف بـ "النقرة الاحتيالية" (click fraud) واستخراج "النقود الافتراضية" (Bitcoin mining). وتواصل قيمة العملة الرقمية مفتوحة المصدر ارتفاعها الصاروخي، وهو ما يعني أن المبلغ المالي الذي تم جمعه بواسطة "زيرو آكسيس" يقدر بملايين الدولارات وأكثر.
وأضاف هندرسون: "مع ارتفاع شعبية "النقود الافتراضية" وقيمتها، فإننا قد نرى محاولة من أصحاب الفيروسات الشبكية الأخرى للإستفادة من برمجياتهم الضارة في أنماط مماثلة، أو إعاقة وتعطيل سوق "النقود الافتراضية".
وخلال الفترة من شهر مارس/آذار وحتى أبريل/نيسان، كافحت "أم. تي. غوكس" (Mt. Gox)، وهي أكبر بورصة للنقود الافتراضية في العالم، هجمات مستمرة لحجب الخدمة الموزعة (DDoS) في محاولة منها لزعزعة استقرار العملة و/أو الاستفادة منها. وكشفت تحاليل مخابر "فورتي غارد" للفيروس "زيرو آكسيس"، الذي يمتلك القدرة على تحميل وحدات هجمات حجب الخدمة الموزعة إلى الأجهزة المصابة، بأن هذا الفيروس الشبكي لا يمتلك حالياً وحدة لهجمات حجب الخدمة الموزعة ضمن ترسانته. وهذا يشير إلى أن أصحاب الفيروسات الشبكية الآخرين يحاولون الإستفادة من التقلبات الحاصلة في سوق العملة الافتراضية.
وبقي معدل نمو عدوى الإصابات الجديدة بفيروس "زيرو آكسيس" ثابتاً خلال التسعين يوماً الماضية. ومنذ أن بدأت مخابر "فورتي غارد" بمراقبة نشاط "زيرو آكسيس" في شهر أغسطس/آب من العام 2012، شهد الفريق المختص نمواً كبيراً في معدل الإصابات الجديدة. وفي الآونة الأخيرة، يلحظ الفريق ارتفاعاً لافتاً وبمعدل 100.000 إصابة جديدة إسبوعياً، بالإضافة إلى حوالي 3 ملايين عنوان لبروتوكول الإنترنت تقوم بالإبلاغ عن إصابات جديدة. وتشير التقديرات إلى أن فيروس "زيرو آكسيس" يؤمن لأصحابه ما يصل إلى 100.000 دولار يومياً كإيرادات من الإعلانات الإحتيالية.
هجمة إلكترونية بفيروس "وايبر" تضرب الشركات في كوريا الجنوبية
تسببت تسونامي من الهجمات الإلكترونية التي ضربت المؤسسات المالية والشبكات التلفزيونية في كوريا الجنوبية في مسح الآلاف من محركات الأقراص الصلبة وإلحاق أضرار واسعة النطاق. ومن خلال شراكاتها مع مؤسسات القطاعين العام والخاص في كوريا الجنوبية، كشفت مختبرات "فورتي غارد" معلومات تتعلق بطبيعة الهجوم وكيف تم نشر البرمجيات الخبيثة. وأظهرت أبحاث فريق العمل أنّ من كان وراء هذه الهجمات تمكن من السيطرة على أنظمة إدارة التصحيح والاستفادة من التقييمات الأمنية العالية لهذه النظم لنشر البرمجيات الضارة ضمن الشبكات المستهدفة. وتتواصل أعمال الإصلاح واستعادة النظم، لكن من يقف وراء هذه الهجمات لا يزال مجهولا.
نوعان مختلفان من البرمجيات المدعومة إعلاميا "أدوير" يتغلغلان في الأجهزة العاملة بنظام تشغيل أندرويد
شهد نوعان مختلفان من البرمجيات المدعومة إعلاميا "أدوير" وهما "أندرويد نيويير إل. بي" و"أندرويد بلانكتون. بي" إرتفاعا كبيرا في حجم الهجمات على مستوى العالم خلال الـ 90 يوما الماضية.
وقال ديفيد ماكيجاك، باحث أول في مختبرات "فورتي غارد" التابعة لـ "فورتينت": "إنّ البرمجيات والمجموعات الدعائية التي نقوم بمراقبتها تشير إلى أنّ من قام بإطلاق هذه الفيروسات يعمل جاهدا لكي يبقى بعيدا عن الأضواء ولا ينكشف. ومن المحتمل أن يكون من قام بإطلاق فيروسي "نيويير" و"بلانتكون" هو شخص واحد، لكن يتم تحديث الفيروسين بشكل منفصل لكي يلحقا الضرر بعدد أكبر من الأجهزة والمؤسسات."
ويتكامل هذان النوعان المختلفان من البرمجيات المدعومة إعلاميا مع مختلف التطبيقات ويملكان القدرة على عرض الإعلانات وتتبع المستخدمين من خلال الرقم التسلسلي المميز للجهاز وتعديل واجهة الهاتف.
وقال غيوم لوفيت، مدير أول في مختبرات "فورتي غارد": "يعود الإرتفاع الكبير في حجم البرمجيات المدعومة إعلاميا "أدوير" على الأجهزة العاملة بنظام تشغيل أندرويد إلى قيام المستخدمين بتحميل ما يحلو لهم من التطبيقات التي يعتقدون بأنها برمجيات شرعية لكنّها تحتوي على رموز شفرية مضمنة. ويشير ذلك إلى أنّ أحدهم أو إحدى المجموعات قد تمكنت من تحقيق أرباح من وراء هذه الهجمات، على الأرجح من خلال البرمجيات الدعائية الفرعية غير المشروعة."
ويمكن للمستخدمين حماية أنفسهم عبر الإهتمام بشكل كبير بالمعلومات التي يتطلبها التطبيق أثناء تنصيبه. كما يوصى أيضا بتحميل التطبيقات النقالة التي حصدت تقديرا عاليا ومراجعات عديدة.
