Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd, μιας εκ των κορυφαίων παρόχων λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τονΔεκέμβριο του 2020. Οι ερευνητές ανέφεραν ότι το trojan Emotet επέστρεψε στην πρώτη θέση στην λίστα των topmalwares, επηρεάζοντας το 7% των οργανισμών παγκοσμίως, μετά από μια καμπάνια ανεπιθύμητης αλληλογραφίας που στόχευσε περισσότερους από 100.000 χρήστες την ημέρα κατά τη διάρκεια της εορταστικής περιόδου.
Τον Σεπτέμβριο και τον Οκτώβριο του 2020, το Emotet ήταν σταθερά στην κορυφή του Global Threat Index και συνδέθηκε με ένα κύμα επιθέσεων ransomware, αλλά το Νοέμβριο ήταν πολύ λιγότερο διαδεδομένο, πέφτοντας στην 5η θέση του Global Threat Index. Οι ερευνητές δηλώνουν ότι έχει πλέον ενημερωθεί με νέα κακόβουλα ωφέλιμα φορτία και βελτιωμένες δυνατότητες διαφυγής εντοπισμού: η τελευταία έκδοση του δημιουργεί ένα πλαίσιο διαλόγου, το οποίο το βοηθά να αποφεύγει τον εντοπισμό από τους χρήστες. Η νέα καμπάνια κακόβουλου ανεπιθύμητου περιεχομένου του Emotet χρησιμοποιεί διαφορετικές τεχνικές παράδοσης για τη διάδοση του, συμπεριλαμβανομένων ενσωματωμένων συνδέσμων, συνημμένων εγγράφων ή αρχείων Zip που προστατεύονται με κωδικό πρόσβασης.
Το πρωτοεμφανιζόμενο κατά το 2014 Emotet, ενημερώνεται τακτικά από τους προγραμματιστές του για να διατηρήσει την αποτελεσματικότητά του για κακόβουλη δραστηριότητα. Το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ έχει εκτιμήσει ότι κάθε περιστατικό που αφορά στο Emotet κοστίζει στους οργανισμούς άνω του 1 εκατομμυρίου δολαρίων για να διορθωθεί.
«Το Emotet αναπτύχθηκε αρχικά ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών, το οποίο κρυβόταν στους υπολογιστές των χρηστών για να κλέψει ιδιωτικές και ευαίσθητες πληροφορίες. Ωστόσο, έχει εξελιχθεί με την πάροδο του χρόνου και τώρα θεωρείται ως μία από τις πιο δαπανηρές και καταστροφικές παραλλαγές κακόβουλου λογισμικού», δήλωσε η Maya Horowitz, Director Threat Intelligence & Research, Products, στην Check Point. «Είναι επιτακτική ανάγκη οι οργανισμοί να γνωρίζουν την απειλή που δημιουργεί το Emotet και ότι διαθέτουν ισχυρά συστήματα ασφαλείας για να αποτρέψουν μια σημαντική παραβίαση των δεδομένων τους. Θα πρέπει επίσης να παρέχουν ολοκληρωμένη εκπαίδευση στους υπαλλήλους, ώστε να είναι σε θέση να εντοπίσουν τους τύπους κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου που διαδίδουν το Emotet.”
Η ερευνητική ομάδα προειδοποιεί επίσης ότι το “MVPower DVR Remote Code Execution” είναι η πιο συνηθισμένη εκμεταλλεύσιμη ευπάθεια, επηρεάζοντας το 42% των οργανισμών παγκοσμίως, ενώ ακολουθεί το “HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει το 42% των οργανισμών παγκοσμίως .
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα
Αυτόν το μήνα, το Emotet παραμένει το πιο δημοφιλές κακόβουλο λογισμικό το οποίο επηρέασε το 7% των οργανισμών, ενώ ακολουθούν το Trickbot και το Formbook – τα οποία επηρέασαν το 4% των οργανισμών παγκοσμίως αντιστοίχως.
- ↑ Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
- ↑Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
- ↑ Formbook – Το Formbook είναι ένα InfoStealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης ιστού, στιγμιότυπα οθόνης, πληροφορίες, καταγράφει ότι πληκτρολογεί ο χρήστης και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες command and control (C&C) που του έχουν δοθεί.
Οι πιο εκμεταλλεύσιμες ευπάθειες
Τον Δεκέμβριο, το “MVPower DVR Remote Code Execution” είναιη ευπάθεια που χρησιμοποιήθηκε περισσότερο, επηρεάζοντας το 42% των οργανισμών παγκοσμίως, ακολουθεί το “HTTP Headers Remote Code Execution (CVE-2020-13756)” το οποίο επηρέασε το 42% των οργανισμών παγκοσμίως. Το Web Server Exposed Git Repository Information Disclosure βρίσκεται στην τρίτη θέση στη λίστα με τα πιο ευάλωτα σημεία εκμετάλλευσης, με συνολικό αντίκτυπο 41%.
- ↑ MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτό το ελάττωμα και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
- HTTP Headers Remote Code Execution (CVE-2020-13756) – Συγκεκριμένα πεδία στα HTTP επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.
- ↑ Web Server Exposed Git Repository Information Disclosure– Η ευπάθεια αποκάλυψης πληροφοριών έχει αναφερθεί στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει μια ακούσια διαρροή πληροφοριών.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές
Για τον περασμένο μήνα, το Hiddad κατέχει την 1η θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα xHelper και Triada.
- Hiddad -Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.
- xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
- Triada – ένα Modular Backdoor για Android, το οποίο παρέχει δικαιώματα superuser για λήψη κακόβουλου λογισμικού
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Δεκέμβριο είναι:
Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
LimeRAT– Το LimeRAT είναι ένα Trojan σχεδιασμένο για υπολογιστές Windows. Το LimeRAT διαδόθηκε κυρίως ως συνημμένο email, κακόβουλες διαδικτυακές διαφημίσεις και social engineering. Αφού γίνει η μόλυνση, είναι σε θέση να προσθέσει υπολογιστές σε botnets, να εγκαταστήσει backdoors σε μολυσμένα μηχανήματα, να κρυπτογραφήσει αρχεία με τον ίδιο τρόπο όπως το ransomware και να εγκαταστήσει cryptocurrency miners.
Qbot AKA -Το Qakbot είναι τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials και στοιχεία που πληκτρολογούν οι χρήστες. Συχνά διανέμεται μέσω spam email. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.
Dridex – Το Dridex είναι ένα Banking Trojan που στοχεύει την πλατφόρμα των Windows μέσω ανεπιθύμητης αλληλογραφίας και Exploit Kits, το οποίο βασίζεται σε WebInjects για να παρακολουθεί και να ανακατευθύνει τραπεζικά διαπιστευτήρια σε διακομιστή που ελέγχεται από τους εισβολείς. Το Dridex έρχεται σε επαφή με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.
Trickbot – Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.
FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.
RigEK -Το Rig EK κυκλοφόρησε για πρώτη φορά τον Απρίλιο του 2014. Έκτοτε έχει λάβει πολλές και εκτενείς ενημερώσεις και συνεχίζει να είναι ενεργό μέχρι σήμερα. Το 2015, ως αποτέλεσμα εσωτερικής διαμάχης μεταξύ των χειριστών του, ο πηγαίος κώδικας διέρρευσε και διερευνήθηκε διεξοδικά από ερευνητές. Η Rig παρέχει εκδόσεις για Flash, Java, Silverlight και Internet Explorer. Η αλυσίδα μόλυνσης ξεκινά με μια ανακατεύθυνση σε μια σελίδα προορισμού που περιέχει JavaScript που ελέγχει για ευάλωτες προσθήκες και παρέχει την εκμετάλλευση.
LokiBot – Το LokiBot πρωτοεμφανίστηκε τον Φεβρουάριο του 2016, είναι ένα infostealer με εκδόσεις τόσο για λειτουργικό σύστημα Windows όσο και για Android. Συλλέγει διαπιστευτήρια από μια ποικιλία εφαρμογών, προγραμμάτων περιήγησης ιστού, πελατών email, εργαλείων διαχείρισης πληροφορικής όπως το PuTTY και άλλα. Το LokiBot πωλείται σε φόρουμ hacking και πιστεύεται ότι ο πηγαίος κώδικας του είχε διαρρεύσει, επιτρέποντας έτσι την εμφάνιση πολλών παραλλαγών. Από τα τέλη του 2017, ορισμένες εκδόσεις Android του LokiBot περιλαμβάνουν τη λειτουργία ransomware εκτός από τις δυνατότητες infostealing τους.
Agenttesla – Το AgentTesla είναι ένα προηγμένο RAT (Remote Access Trojan) που αποσπά κωδικούς και στοιχεία κατά την πληκτρολόγηση. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει στοιχεία από το θύμα την στιγμή που αυτό πληκτρολογεί, μπορεί επίσης να καταγράφει στιγμιότυπα από την οθόνη και διαπιστευτήρια εξακρίβωσης που έχουν εισαχθεί για πολλά προγράμματα λογισμικού που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν 15$ – 69$ για άδειες χρήσης.
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
| Οικογένεια κακόβουλου λογισμικού | Παγκόσμια επίδραση | Επίδραση στηνΕλλάδα |
| Emotet | 7.01% | 26.65% |
| LimeRAT | 0.66% | 10.97% |
| Qbot | 2.71% | 8.46% |
| Dridex | 4.06% | 7.84% |
| Trickbot | 4.29% | 5.02% |
| Formbook | 4.26% | 4.08% |
| RigEK | 1.90% | 3.76% |
| Lokibot | 0.61% | 3.45% |
| Agenttesla | 1.19% | 3.45% |
| XMRig | 2.93% | 2.51% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει τα αποτελέσματα ελέγχων για πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.
Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως για τον Δεκέμβριο είναι διαθέσιμη στο Check Point Blog
