Η Check Point Research, το Threat Intelligence τμήμα έρευνας της Check Point® Software Technologies Ltd., του κορυφαίου παρόχου λύσεων ασφάλειας στον κυβερνοχώρο σε παγκόσμιο επίπεδο, δημοσίευσε το Global Threat Index για τον Δεκέμβριο του 2021. Σε έναν μήνα που είδαμε την ευπάθεια Apache Log4j να σαρώνει το διαδίκτυο, οι ερευνητές ανέφεραν ότι το Trickbot εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό, αν και με ελαφρώς χαμηλότερο ποσοστό, 4%, επίδρασης των οργανισμών παγκοσμίως, από 5% τον Νοέμβριο. Πρόσφατα επανάκαμψε και το Emotet, το οποίο ανέβηκε γρήγορα από την έβδομη στη δεύτερη θέση. Η CPR αποκαλύπτει επίσης ότι ο κλάδος που δέχεται τις περισσότερες επιθέσεις εξακολουθεί να είναι αυτός της Εκπαίδευσης/ Έρευνας.
Τον μήνα Δεκέμβριο, η “Apache Log4j Remote Code Execution” είναι η ευπάθεια με τη μεγαλύτερη συχνότητα εκμετάλλευσης, επηρεάζοντας το 48,3% των οργανισμών παγκοσμίως. Η ευπάθεια αναφέρθηκε για πρώτη φορά στις 9 Δεκεμβρίου στο πακέτο καταγραφής του Apache Log4j – την πιο δημοφιλή βιβλιοθήκη καταγραφής Java που χρησιμοποιείται σε πολλές υπηρεσίες και εφαρμογές του Διαδικτύου με πάνω από 400.000 λήψεις από το GitHub Project. Η ευπάθεια προκάλεσε μια νέα μάστιγα, επηρεάζοντας τις μισές σχεδόν εταιρείες παγκοσμίως, σε πολύ σύντομο χρονικό διάστημα. Οι επιτιθέμενοι είναι σε θέση να εκμεταλλευτούν τις ευάλωτες εφαρμογές για να εκτελέσουν cryptojackers και άλλο κακόβουλο λογισμικό σε παραβιασμένους servers. Μέχρι τώρα, οι περισσότερες επιθέσεις επικεντρώνονταν στη χρήση άντλησης κρυπτονομισμάτων εις βάρος των θυμάτων, ωστόσο, οι πιο εξελιγμένοι δράστες άρχισαν να δρουν επιθετικά και να εκμεταλλεύονται την παραβίαση σε στόχους υψηλής αξίας.
“Η Log4j κυριάρχησε στις σχετικά με την κυβερνοασφάλεια ειδήσεις τον Δεκέμβριο. Πρόκειται για μία από τις πιο σοβαρές ευπάθειες που έχουμε δει ποτέ, και λόγω της πολυπλοκότητας στην επιδιόρθωσή της και της ευκολίας εκμετάλλευσής της, είναι πιθανό να παραμείνει μαζί μας για πολλά χρόνια, εκτός αν οι εταιρείες λάβουν άμεσα μέτρα για την αποτροπή επιθέσεων”, δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software. “Τον ίδιο μήνα είδαμε επίσης το botnet Emotet να μετακινείται από την εβδόμη θέση στη δεύτερη ως το πιο διαδεδομένο κακόβουλο λογισμικό. Όπως ακριβώς υποψιαζόμασταν, το Emotet δεν άργησε καθόλου να θέσει ισχυρά θεμέλια από την επανεμφάνισή του τον περασμένο Νοέμβριο. Είναι παραπλανητικό και εξαπλώνεται γρήγορα μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing με κακόβουλα συνημμένα αρχεία ή συνδέσμους. Είναι τώρα πιο σημαντικό από ποτέ να κατέχουν όλοι μια ισχυρή λύση ασφάλειας του ηλεκτρονικού ταχυδρομείου τους και να διασφαλίσουμε ότι οι χρήστες γνωρίζουν πώς να αναγνωρίζουν ένα ύποπτο μήνυμα ή συνημμένο αρχείο”.
Η CPR αναφέρει πως τον μήνα Δεκέμβριο η Εκπαίδευση/Έρευνα είναι ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τον κλάδο Κυβέρνηση/Ένοπλες Δυνάμεις και αυτόν των ISP/MSP. Η ευπάθεια “Apache Log4j Remote Code Execution” είναι η πιο συχνά εκμεταλλευόμενη, επηρεάζοντας το 48,3% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Web Server Exposed Git Repository Information Disclosure” που επηρεάζει το 43,8% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” παραμένει στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 41,5%.
Top malware ομάδες
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Αυτόν τον μήνα, το Trickbot είναι το πιο διαδεδομένο κακόβουλο λογισμικό με επιπτώσεις στο 4% των οργανισμών παγκοσμίως, ακολουθούμενο από τα Emotet και Formbook, και τα δύο με παγκόσμιο αντίκτυπο 3%.
1. ↔ Trickbot – Το Trickbot είναι ένα modular Botnet και Banking Trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και διαύλους διανομής. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλαπλών χρήσεων.
2. ↑ Emotet – Το Emotet είναι ένα προηγμένο, αυτο-αναπαραγόμενο και modular Trojan. Το Emotet χρησιμοποιήθηκε κάποτε ως τραπεζικό Trojan, αλλά πρόσφατα χρησιμοποιείται ως διανομέας σε άλλα κακόβουλα προγράμματα ή κακόβουλες εκστρατείες. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της εμμονής και τεχνικές αποφυγής για να αποφύγει τον εντοπισμό. Επιπλέον, μπορεί να εξαπλωθεί μέσω μηνυμάτων spam phishing που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.
3. ↔ Formbook – Το Formbook είναι ένα InfoStealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.
Κορυφαίες επιθέσεις σε βιομηχανίες παγκοσμίως:
Αυτόν τον μήνα, η Εκπαίδευση/Έρευνα είναι ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τον κλάδο Κυβέρνηση/Ένοπλες Δυνάμεις και τον κλάδο ISP/MSP.
1. Εκπαίδευση/Ερευνα
2. Κυβέρνηση/Ένοπλες Δυνάμεις
3. ISP/MSP
Οι κορυφαία εκμεταλλευόμενες ευπάθειες
Τον μήνα Δεκέμβριο, η “Απομακρυσμένη εκτέλεση κώδικα Apache Log4j” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 48,3% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Αποκάλυψη πληροφοριών Git Repository Web Server Exposed” που επηρεάζει το 43,8% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” παραμένει στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 41,5%.
1. ↑ Απομακρυσμένη εκτέλεση κώδικα Apache Log4j (CVE-2021-44228) – Υπάρχει ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
2. ↔ Web Server Exposed Git Repository Information Disclosure- Αναφέρθηκε μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι επικεφαλίδες HTTP επιτρέπουν στον χρήστη και τον διακομιστή να διαβιβάζουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Κορυφαία κακόβουλα προγράμματα για κινητά
Το AlienBot καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από το xHelper και το FluBot.
1. AlienBot – Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα, ως πρώτο βήμα, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
2. xHelper – Μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και μπορεί ακόμη και να επανεγκατασταθεί σε περίπτωση που έχει απεγκατασταθεί.
3. FluBot – Το FluBot είναι ένα botnet Android που διανέμεται μέσω μηνυμάτων SMS phishing, τα οποία τις περισσότερες φορές υποδύονται εταιρείες παράδοσης ειδών. Μόλις ο χρήστης κάνει κλικ στο σύνδεσμο μέσα στο μήνυμα, το FluBot εγκαθίσταται και αποκτά πρόσβαση σε όλες τις ευαίσθητες πληροφορίες του τηλεφώνου.
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Δεκέμβριο του 2021 είναι:
Formbook – Το FormBook εντοπίστηκε για πρώτη φορά το 2016 και είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα Windows. Διατίθεται στην αγορά ως MaaS σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορους περιηγητές ιστού, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
Emotet- Το Emotet είναι ένα προηγμένο, αυτο-αναπαραγόμενο και modular Trojan που κάποτε χρησιμοποιήθηκε ως τραπεζικό Trojan και σήμερα διανέμει άλλα κακόβουλα προγράμματα ή κακόβουλες καμπάνιες. Το Emotet χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της εμμονής και τεχνικές αποφυγής για να αποφύγει τον εντοπισμό και μπορεί να διαδοθεί μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου spam που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.
AgentTesla- Το AgentTesla είναι ένα προηγμένο RAT (Trojan απομακρυσμένης πρόσβασης) που λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου και το πρόχειρο συστήματος του θύματος, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια που εισάγονται για μια ποικιλία λογισμικού που είναι εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν $15 – $69 για άδειες χρήσης.
Trickbot- Το Trickbot είναι ένα modular Botnet και Banking Trojan που στοχεύει στην πλατφόρμα των Windows, το οποίο διανέμεται κυρίως μέσω εκστρατειών spam ή άλλων οικογενειών κακόβουλου λογισμικού όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετες ενότητες από μια μεγάλη γκάμα διαθέσιμων ενοτήτων: από μια ενότητα VNC για απομακρυσμένο έλεγχο, μέχρι μια ενότητα SMB για εξάπλωση μέσα σε ένα παραβιασμένο δίκτυο. Μόλις μολυνθεί ένα μηχάνημα, η συμμορία Trickbot, οι απειλητικοί φορείς που βρίσκονται πίσω από αυτό το κακόβουλο λογισμικό, χρησιμοποιούν αυτό το ευρύ φάσμα ενοτήτων όχι μόνο για να κλέψουν τραπεζικά διαπιστευτήρια από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση του ίδιου του οργανισμού-στόχου, πριν από την πραγματοποίηση μιας στοχευμένης επίθεσης ransomware σε ολόκληρη την εταιρεία.
Joker- Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό υπογράφει στο θύμα σιωπηλά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.
Dridex- Το Dridex είναι ένα τραπεζικό Trojan που στοχεύει στην πλατφόρμα των Windows, το οποίο παρατηρείται να διανέμεται μέσω εκστρατειών spam και Exploit Kits, το οποίο βασίζεται σε WebInjects για την υποκλοπή και την ανακατεύθυνση τραπεζικών διαπιστευτηρίων σε έναν ελεγχόμενο από τον επιτιθέμενο διακομιστή. Το Dridex επικοινωνεί με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει πρόσθετες μονάδες για απομακρυσμένο έλεγχο.
Vidar- Το Vidar είναι ένας infolstealer που στοχεύει σε λειτουργικά συστήματα Windows. Εντοπίστηκε για πρώτη φορά στα τέλη του 2018 και έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης στο διαδίκτυο και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και χρησιμοποιείται ως dropper κακόβουλου λογισμικού που κατεβάζει το ransomware GandCrab ως δευτερεύον ωφέλιμο φορτίο.
Cryptbot- Το Cryptbot είναι ένα Trojan που μολύνει τα συστήματα μέσω της εγκατάστασης ενός ψεύτικου προγράμματος VPN και κλέβει τα αποθηκευμένα διαπιστευτήρια του προγράμματος περιήγησης.
Teabot- Το κακόβουλο λογισμικό Teabot είναι μια απειλή Android Trojan που χρησιμοποιείται σε επιθέσεις phishing. Μόλις το Teabot εγκατασταθεί στην παραβιασμένη συσκευή, μπορεί να μεταδώσει σε ζωντανή ροή την οθόνη στον δράστη , καθώς και να χρησιμοποιήσει τις Υπηρεσίες Προσβασιμότητας για να εκτελέσει άλλες κακόβουλες δραστηριότητες.
Triada- Το Triada είναι μια modular backdoor για το Android, η οποία παρέχει προνόμια υπερ-χρήστη για τη λήψη κακόβουλου λογισμικού. Το Triada έχει επίσης παρατηρηθεί να παραποιεί URL που φορτώνονται στο πρόγραμμα περιήγησης.
XMRig- Το XMRig, που πρωτοεμφανίστηκε τον Μάιο του 2017, είναι ένα λογισμικό εξόρυξης CPU ανοιχτού κώδικα που χρησιμοποιείται για την εξόρυξη του κρυπτονομίσματος Monero.
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point Software, βασίζονται στο ThreatCloud intelligence της Εταιρείας, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.