Η Check Point® Software Technologies Ltd., κορυφαίος πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Μάρτιο του 2023. Τον περασμένο μήνα, οι ερευνητές αποκάλυψαν μια νέα κακόβουλη καμπάνια για το Trojan Emotet, το οποίο ανέβηκε στη δεύτερη θέση των πιο διαδεδομένων κακόβουλων προγραμμάτων τον περασμένο μήνα.
Όπως αναφέρθηκε νωρίτερα φέτος, οι δράστες των επιθέσεων Emotet εξερευνούν εναλλακτικούς τρόπους για τη διανομή κακόβουλων αρχείων από τότε που η Microsoft ανακοίνωσε ότι θα αποκλείσει τις μακροεντολές από τα office files. Σε αυτή την τελευταία εκστρατεία, οι επιτιθέμενοι υιοθέτησαν μια νέα στρατηγική αποστολής μηνυμάτων spam που περιέχουν ένα κακόβουλο αρχείο OneNote. Μόλις αυτό ανοιχτεί, εμφανίζεται ένα ψεύτικο μήνυμα που εξαπατά το θύμα ώστε να κάνει κλικ στο έγγραφο, το οποίο «κατεβάζει» τη μόλυνση Emotet. Με την εγκατάστασή του, το κακόβουλο λογισμικό μπορεί να συλλέξει δεδομένα ηλεκτρονικού ταχυδρομείου του χρήστη, όπως διαπιστευτήρια σύνδεσης και στοιχεία επικοινωνίας. Στη συνέχεια, οι επιτιθέμενοι χρησιμοποιούν τις πληροφορίες που συλλέγονται για να επεκτείνουν την εμβέλεια της εκστρατείας και να διευκολύνουν μελλοντικές επιθέσεις.
“Ενώ οι μεγάλες εταιρείες τεχνολογίας κάνουν ό,τι μπορούν για να αποκόψουν τους κυβερνοεγκληματίες όσο νωρίτερα γίνεται , είναι σχεδόν αδύνατο να σταματήσει κάθε επίθεση που παρακάμπτει τα μέτρα ασφαλείας. Γνωρίζουμε ότι το Emotet είναι ένα εξελιγμένο Trojan και δεν αποτελεί έκπληξη το γεγονός ότι κατάφερε να περιηγηθεί στις πλέον πρόσφατες άμυνες της Microsoft. Το πιο σημαντικό πράγμα που μπορούν να κάνουν οι άνθρωποι είναι να βεβαιωθούν ότι έχουν εφαρμόσει την κατάλληλη ασφάλεια ηλεκτρονικού ταχυδρομείου, να αποφεύγουν να κατεβάζουν μη αναμενόμενα αρχεία και να υιοθετούν υγιή σκεπτικισμό σχετικά με την προέλευση ενός email και του περιεχόμενού του” δήλωσε η Maya Horowitz, VP Research στην Check Point Software.
Η CPR αποκάλυψε επίσης ότι το “Apache Log4j Remote Code Execution” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 44% των οργανισμών παγκοσμίως, ακολουθούμενη από το “HTTP Headers Remote Code Execution” με ποσοστό επιρροής στο 43% των οργανισμών παγκοσμίως και το “MVPower DVR Remote Code Execution” με παγκόσμιο αντίκτυπο 40%.
Top malware families
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Το Qbot ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο πάνω από 10% σε παγκόσμιους οργανισμούς αντίστοιχα, ακολουθούμενο από τα Emotet και Formbook με 4% παγκόσμιο αντίκτυπο.
- ↔ Qbot – Το Qbot AKA Qakbot είναι ένα τραπεζικό Trojan που πρωτοεμφανίστηκε το 2008. Σχεδιάστηκε για να υποκλέψει τα τραπεζικά διαπιστευτήρια ή τις πληκτρολογήσεις ενός χρήστη και διανέμεται συχνά μέσω μηνυμάτων spam. Το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση.
- ↑ Emotet – Το Emotet είναι ένα προηγμένο, αυτοδιαδιδόμενο, αρθρωτό Trojan. Το Emotet χρησιμοποιούνταν ως τραπεζικό Trojan, αλλά πρόσφατα χρησιμοποιείται ως διανομέας σε άλλα κακόβουλα προγράμματα ή κακόβουλες εκστρατείες. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της εμμονής και τεχνικές αποφυγής για να αποφύγει την ανίχνευση. Επιπλέον, μπορεί να εξαπλωθεί μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου spam που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.
- ↓ FormBook – Το FormBook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε underground hacking forums για τις ισχυρές τεχνικές του αποφυγής και τη σχετικά χαμηλή τιμή του. Το Formbook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
Οι Βιομηχανίες με τις Περισσότερες Επιθέσεις Παγκοσμίως
Τον περασμένο μήνα, η Εκπαίδευση/Έρευνα παρέμεινε ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από την Κυβέρνηση/Στρατιωτικό τομέα και στη συνέχεια την Υγειονομική Περίθαλψη.
- Εκπαίδευση/Ερευνα
- Κυβέρνηση/Στρατός
- Υγειονομική Περίθαλψη
Οι Top Εκμεταλλευόμενες Ευπάθεια
Τον περασμένο μήνα, το “Apache Log4j Remote Code Execution” ήταν η πιο συχνά εκμεταλλευόμενη ευπάθεια, με επιπτώσεις στο 44% των οργανισμών παγκοσμίως, ακολουθούμενη από το “HTTP Headers Remote Code Execution” με επιπτώσεις στο 43% των οργανισμών παγκοσμίως και το “MVPower DVR Remote Code Execution” με παγκόσμιο αντίκτυπο 40%.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι κεφαλίδες HTTP επιτρέπουν στον πελάτη και στον διακομιστή να περάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη κεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στον υπολογιστή-θύμα.
- ↑MVPower DVR Remote Code Execution – Ευπάθεια απομακρυσμένης εκτέλεσης κώδικα σε συσκευές MVPower DVR. Ένας απομακρυσμένος εισβολέας μπορεί να εκμεταλλευτεί αυτή την αδυναμία για να εκτελέσει αυθαίρετο κώδικα στον επηρεαζόμενο δρομολογητή μέσω ενός δημιουργημένου αιτήματος.
Top Mobile Malwares
Τον περασμένο μήνα, το Ahmyth ανέβηκε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα Anubis και Hiddad.
- AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας.
- Anubis – Το Anubis είναι ένα κακόβουλο τραπεζικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορα ransomware χαρακτηριστικά. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- Hiddad – Το Hiddad είναι ένα κακόβουλο λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.
Top 5 Ελλάδας | |||
Malware_Family_Name | Περιγραφή | Impact | Country Impact |
Qbot | Το Qbot AKA Qakbot είναι ένα τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέψει τα τραπεζικά διαπιστευτήρια και τις πληκτρολογήσεις ενός χρήστη. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό. | 10.30% | 16.35% |
Formbook | Το FormBook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης ιστού, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολογήσεις και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με εντολές από το C &C. | 3.90% | 11.80% |
Emotet | Το Emotet είναι ένα προηγμένο, αυτο-διαδιδόμενο και αρθρωτό Trojan που κάποτε χρησιμοποιήθηκε ως τραπεζικό Trojan και επί του παρόντος διανέμει άλλο κακόβουλο λογισμικό ή κακόβουλες καμπάνιες. Το Emotet χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση τεχνικών επιμονής και αποφυγής για να αποφύγει τον εντοπισμό και μπορεί να εξαπλωθεί μέσω ανεπιθύμητων μηνυμάτων ηλεκτρονικού “ψαρέματος” που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. | 3.90% | 9.12% |
AgentTesla | Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης και δραστηριοποιείται από το 2014. Το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την είσοδο πληκτρολογίου και το πρόχειρο συστήματος του θύματος και μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια για μια ποικιλία λογισμικού που είναι εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Το AgentTesla πωλείται σε διάφορες διαδικτυακές αγορές και φόρουμ hacking. | 3.70% | 8.31% |
GuLoader | Το Guloader είναι ένα πρόγραμμα λήψης που χρησιμοποιείται ευρέως από τον Δεκέμβριο του 2019. Όταν εμφανίστηκε για πρώτη φορά, το GuLoader χρησιμοποιήθηκε για τη λήψη του Parallax RAT, αλλά έχει εφαρμοστεί σε άλλα trojans απομακρυσμένης πρόσβασης και κλέφτες πληροφοριών όπως το Netwire, το FormBook και το Agent Tesla. | 3.10% | 7.24% |
Ο Παγκόσμιος Δείκτης Επιπτώσεων Απειλών και ο Χάρτης ThreatCloud της Check Point τροφοδοτούνται από την τεχνολογία ThreatCloud της Check Point. Το ThreatCloud παρέχει πληροφορίες για απειλές σε πραγματικό χρόνο που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, σε δίκτυα, τερματικά σημεία και κινητά τηλέφωνα. Εμπλουτίζεται με μηχανές βασισμένες στην τεχνητή νοημοσύνη και αποκλειστικά δεδομένα ερευνών από την Check Point Research, τον τομέα πληροφοριών και ερευνών της Check Point Software Technologies.
Ο πλήρης κατάλογος των δέκα κορυφαίων οικογενειών κακόβουλου λογισμικού για τον μήνα Μάρτιο βρίσκεται στο ιστολόγιο της Check Point.