Η Check Point Research, το τμήμα ερευνας της Check Point® Software Technologies Ltd., πάροχος λύσεων ασφάλειας στον κυβερνοχώρο παγκοσμίως, δημοσίευσε το Global Threat Index για τον Φεβρουάριο του 2022. Οι ερευνητές αναφέρουν ότι το Emotet εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό, επηρεάζοντας το 5% των οργανισμών παγκοσμίως, ενώ το Trickbot έχει υποχωρήσει ακόμη περισσότερο στον δείκτη και βρίσκεται στην έκτη θέση.
Το Trickbot είναι ένα botnet και ένα τραπεζικό trojan που μπορεί να κλέψει οικονομικά στοιχεία, διαπιστευτήρια λογαριασμού και προσωπικά δεδομένα, καθώς και να εξαπλωθεί πλευρικά σε ένα δίκτυο και να ρίξει ransomware. Κατά τη διάρκεια του 2021, εμφανίστηκε στην κορυφή της λίστας με τα πιο διαδεδομένα κακόβουλα προγράμματα επτά φορές. Κατά τη διάρκεια των τελευταίων εβδομάδων, ωστόσο, η Check Point Research, δεν σημείωσε καμία νέα εκστρατεία Trickbot και το κακόβουλο λογισμικό κατατάσσεται πλέον στην έκτη θέση του δείκτη. Αυτό θα μπορούσε να οφείλεται εν μέρει στο γεγονός ότι ορισμένα μέλη του Trickbot εντάχθηκαν στην ομάδα του Conti ransomware, όπως υποδηλώνεται στην πρόσφατη διαρροή δεδομένων της Conti.
Αυτόν τον μήνα, η CPR είδε εγκληματίες του κυβερνοχώρου να εκμεταλλεύονται τη σύγκρουση Ρωσίας/Ουκρανίας για να παρασύρουν τον κόσμο να κατεβάσει κακόβουλα συνημμένα αρχεία, και το πιο διαδεδομένο κακόβουλο λογισμικό του Φεβρουαρίου, το Emotet, έκανε πράγματι ακριβώς αυτό, με μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν κακόβουλα αρχεία και το θέμα “Recall: Ukraine -Russia Military conflict: Welfare of our Ukrainian Crew member”.
“Επί του παρόντος, βλέπουμε έναν αριθμό κακόβουλων προγραμμάτων, συμπεριλαμβανομένου του Emotet, να εκμεταλλεύονται το ενδιαφέρον του κοινού γύρω από τη σύγκρουση Ρωσίας/Ουκρανίας, δημιουργώντας εκστρατείες ηλεκτρονικού ταχυδρομείου σχετικά με το θέμα που παρασύρουν τους χρήστες να κατεβάσουν κακόβουλα συνημμένα αρχεία. Είναι σημαντικό να ελέγχετε πάντα ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου ενός αποστολέα είναι αυθεντική, να προσέχετε τυχόν ορθογραφικά λάθη στα μηνύματα ηλεκτρονικού ταχυδρομείου και να μην ανοίγετε συνημμένα αρχεία ή να μην κάνετε κλικ σε συνδέσμους, εκτός αν είστε σίγουροι ότι το μήνυμα ηλεκτρονικού ταχυδρομείου είναι ασφαλές”, δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software
Η CPR αποκάλυψε αυτό το μήνα ότι η Εκπαίδευση/Ερευνα συνεχίζει να είναι ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από την Κυβέρνηση/Στρατιωτικό και τον ISP/MSP. Η “Web Server Exposed Git Repository Information Disclosure” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Apache Log4j Remote Code Execution”, η οποία έπεσε από την πρώτη στη δεύτερη θέση και επηρεάζει το 44% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” είναι η τρίτη πιο συχνά αξιοποιούμενη ευπάθεια, με αντίκτυπο 41% παγκοσμίως.
Οι κυριότερες οικογένειες κακόβουλου λογισμικού
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Αυτόν τον μήνα, το Emotet εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό που επηρεάζει το 5% των οργανισμών παγκοσμίως, ακολουθούμενο στενά από το Formbook που επηρεάζει το 3% των οργανισμών και το Glupteba που επηρεάζει το 2%.
- ↔ Emotet – εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
- ↑ Formbook – το Formbook είναι ένας Info Stealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.
- ↑ Glupteba – το Glupteba είναι μια κερκόπορτα που σταδιακά εξελίχθηκε σε botnet. Μέχρι το 2019 περιλάμβανε έναν μηχανισμό ενημέρωσης διευθύνσεων C&C μέσω δημόσιων λιστών BitCoin, μια ολοκληρωμένη δυνατότητα κλοπής προγραμμάτων περιήγησης και ένα πρόγραμμα εκμετάλλευσης δρομολογητών.
Κορυφαίοι επιτιθέμενοι κλάδοι παγκοσμίως
Αυτόν τον μήνα η Εκπαίδευση/Ερευνα είναι ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από Kυβερνητικούς/Στρατιωτικούς οργανισμούς και ISP/MSP.
- Εκπαίδευση/ Ερευνα
- Kυβερνητικοί/Στρατιωτικοί οργανισμοί
- ISP/MSP
Οι πιο εκτεθειμένες ευπάθειες
Αυτόν τον μήνα η ” Web Server Exposed Git Repository Information Disclosure ” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη από την ” Apache Log4j Remote Code Execution “, η οποία έπεσε από την πρώτη θέση στη δεύτερη και επηρεάζει το 44% των οργανισμών παγκοσμίως. Η ” HTTP Headers Remote Code Execution” είναι η τρίτη πιο συχνά εκμεταλλευόμενη ευπάθεια, με αντίκτυπο 41% παγκοσμίως.
- ↑ Web Server Exposed Git Repository Information Disclosure – Αναφέρθηκε μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
- ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υπάρχει στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι κεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να διαβιβάζουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Τα κυριότερα κακόβουλα προγράμματα για κινητά
Αυτόν τον μήνα το XLoader είναι το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα xHelper και AlienBot.
- XLoader – το XLoader είναι ένα Android Spyware και τραπεζικό Trojan που αναπτύχθηκε από την Yanbian Gang, μια κινεζική ομάδα χάκερ. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί DNS spoofing για τη διανομή μολυσμένων εφαρμογών Android για τη συλλογή προσωπικών και οικονομικών πληροφοριών.
- xHelper – μια κακόβουλη εφαρμογή που κυκλοφορεί από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή μπορεί να κρυφτεί από τον χρήστη και να επανεγκατασταθεί σε περίπτωση που απεγκατασταθεί.
- AlienBot – η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα να εισάγει αρχικά κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές και στη συνέχεια επιτρέπει στον εισβολέα να αποκτήσει πρόσβαση στους λογαριασμούς των θυμάτων και τελικά να ελέγξει πλήρως τη συσκευή τους.
Emotet – εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
Formbook – Το Formbook είναι ένας Info Stealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.
AgentTesla -Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης και είναι ενεργό από το 2014. Το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου και το πρόχειρο συστήματος του θύματος, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια για διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (όπως το Google Chrome, το Mozilla Firefox και το Microsoft Outlook email client). Το AgentTesla πωλείται σε διάφορες διαδικτυακές αγορές και φόρουμ hacking.
XLoader – Το XLoader είναι ένα Android Spyware και Banking Trojan που αναπτύχθηκε από την Yanbian Gang, μια κινεζική ομάδα χάκερ. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί DNS spoofing για τη διανομή μολυσμένων εφαρμογών Android για τη συλλογή προσωπικών και οικονομικών πληροφοριών.
XMRig – Το XMRig είναι λογισμικό εξόρυξης CPU ανοικτού κώδικα που χρησιμοποιείται για την εξόρυξη του κρυπτονομίσματος Monero. Οι φορείς απειλών συχνά κάνουν κατάχρηση αυτού του λογισμικού ανοιχτού κώδικα ενσωματώνοντάς το στο κακόβουλο λογισμικό τους για να διεξάγουν παράνομη εξόρυξη σε συσκευές των θυμάτων.
RigEK- Το παλαιότερο και πιο γνωστό από τα Exploit Kits που λειτουργούν σήμερα, το RigEK υπάρχει από τα μέσα του 2014. Οι υπηρεσίες του προσφέρονται προς πώληση σε φόρουμ hacking και στο δίκτυο TOR. Κάποιοι ¨επιχειρηματίες¨ πωλούν ακόμη και μεταπωλήσεις χαμηλού όγκου μολύνσεων για εκείνους τους προγραμματιστές κακόβουλου λογισμικού που δεν είναι ακόμη αρκετά μεγάλοι για να αντέξουν οικονομικά την πλήρη υπηρεσία. Το RigEK έχει εξελιχθεί με την πάροδο των ετών για να παρέχει οτιδήποτε, από AZORult και Dridex μέχρι ελάχιστα γνωστά ransomware και cryptominers.
MassLogger- Το MassLogger είναι ένας κλέφτης διαπιστευτηρίων .NET. Αυτή η απειλή είναι ένα εργαλείο αναγνώρισης που μπορεί να χρησιμοποιηθεί για την απόσπαση δεδομένων από στοχευμένους κεντρικούς υπολογιστές.
Vidar- Το Vidar είναι ένας κλέφτης πληροφοριών που στοχεύει σε λειτουργικά συστήματα Windows. Εντοπίστηκε για πρώτη φορά στα τέλη του 2018 και έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης στο διαδίκτυο και ψηφιακά πορτοφόλια. Το Vidar πωλείται σε διάφορα διαδικτυακά φόρουμ και χρησιμοποιείται ως dropper κακόβουλου λογισμικού για τη λήψη του ransomware GandCrab ως δευτερεύον payload.
Teabot- Το κακόβουλο λογισμικό Teabot είναι μια απειλή Android Trojan που χρησιμοποιείται σε επιθέσεις phishing. Μόλις το Teabot εγκατασταθεί στην παραβιασμένη συσκευή, μπορεί να μεταδώσει μια ζωντανή ροή της οθόνης στον φορέα της απειλής, καθώς και να χρησιμοποιήσει τις Υπηρεσίες Προσβασιμότητας για να εκτελέσει άλλες κακόβουλες δραστηριότητες.
Ramnit -Το Ramnit είναι ένα modular τραπεζικό Trojan που ανακαλύφθηκε για πρώτη φορά το 2010. Το Ramnit υποκλέπτει πληροφορίες για τη διαδικτυακή συνεδρία, δίνοντας στους χειριστές του τη δυνατότητα να υποκλέψουν τα διαπιστευτήρια λογαριασμού για όλες τις υπηρεσίες που χρησιμοποιεί το θύμα, συμπεριλαμβανομένων των τραπεζικών λογαριασμών και των εταιρικών λογαριασμών και των λογαριασμών κοινωνικών δικτύων. Το Trojan χρησιμοποιεί τόσο σκληρά κωδικοποιημένα domains όσο και domains που δημιουργούνται από έναν DGA (Domain Generation Algorithm) για να επικοινωνήσει με τον διακομιστή C&C και να κατεβάσει πρόσθετες ενότητες.
Crackonosh – Το Crackonosh είναι ένα κακόβουλο λογισμικό εξόρυξης που ενσωματώθηκε σε δημοφιλή προϊόντα λογισμικού τα οποία είχαν σπάσει και διατεθεί σε πλατφόρμες διανομής που είναι γνωστές για τη φιλοξενία πειρατικού λογισμικού. Προκειμένου να ανοίξουν έναν μεγάλο αριθμό πιθανών θυμάτων, οι φορείς εκμετάλλευσης της απειλής χρησιμοποιούν ως όπλο τα σπασμένα βιντεοπαιχνίδια. Μόλις ξεκινήσει το Crackonosh, θα αντικαταστήσει βασικές υπηρεσίες των Windows. Η απειλή είναι επίσης εξοπλισμένη με ρουτίνες αντι-ανίχνευσης και μπορεί να διαγράψει λύσεις anti-malware από το μολυσμένο σύστημα.
Nanocore- Το NanoCore είναι ένα Trojan απομακρυσμένης πρόσβασης που στοχεύει σε χρήστες του λειτουργικού συστήματος Windows και παρατηρήθηκε για πρώτη φορά στη φύση το 2013. Όλες οι εκδόσεις του RAT περιέχουν βασικά πρόσθετα και λειτουργίες όπως καταγραφή οθόνης, εξόρυξη κρυπτονομισμάτων, απομακρυσμένο έλεγχο της επιφάνειας εργασίας και κλοπή συνεδρίας κάμερας.
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point Software, βασίζονται στο ThreatCloud intelligence της; Εταιρείας, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.