Το πιο διαδεδομένο κακόβουλο λογισμικό για τον Αύγουστο: Το Echobot εξαπολύει ευρεία επίθεση εναντίον συσκευών IoT
Οι ερευνητές της Check Point αναφέρουν επίσης ότι το botnet Emotet έχει επανενεργοποιηθεί
Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd., ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Αύγουστο του 2019. Η ερευνητική ομάδα προειδοποιεί τους οργανισμούς για το Echobot, μια νέα παραλλαγή του Mirai IoT Botnet, το οποίο έχει εξαπολύσει εκτεταμένες επιθέσεις εναντίον μια σειράς συσκευών ΙοΤ. Το Echobot, το οποίο εμφανίστηκε πρώτη φορά το Μάιο του 2019, έχει εκμεταλλευτεί περισσότερες από 50 διαφορετικές ευπάθειες, και είναι ο λόγος για τον οποίο παρατηρήθηκε απότομη άνοδος της ευπάθειας “Command Injection Over HTTP”, που έχει επηρεάσει το 34% των οργανισμών σε παγκόσμιο επίπεδο.
Κατά τη διάρκεια του Αυγούστου, δυο μήνες μετά την παύση των λειτουργιών του, παρατηρήθηκε επίσης η επανενεργοποίηση του botnet Emotet. Το Emotet ήταν το μεγαλύτερο σε λειτουργία botnet κατά το πρώτο εξάμηνο του 2019. Αν και δεν έχουν παρατηρηθεί ακόμη σημαντικές επιθέσεις που αξιοποιούν το συγκεκρικένο malware, είναι πιθανό να χρησιμοποιηθεί σύντομα σε καμπάνιες ανεπιθύμητης αλληλογραφίας.
«Η απότομη αύξηση των περιστατικών εκμετάλλευσης είναι ένα γεγονός που πρέπει να τονιστεί, καθώς το Echobot παρουσιάστηκε για πρώτη φορά στα μέσα Μαΐου ως μια νέα παραλλαγή του διαβόητου Mirai IoT Botnet, και τώρα στοχεύει περισσότερες από 50 διαφορετικές ευπάθειες. Το Echobot έχει επηρεάσει το 34% των εταιρειών σε όλο τον κόσμο, γεγονός που αποδεικνύει ότι οι ενημερώσεις δικτύων, τωον λογισμικών και των συσκευών IoΤ είναι ζωτικής σημασίας για τους οργανισμούς», δήλωσε η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών της Check Point.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Αύγουστο 2019:
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα.
Το XMRig συνεχίζει να βρίσκεται στην κορυφή της λίστας, με το Jsecoin, να ακολουθεί. Τα δύο malwares επηρέασαν το 7% των οργανισμών παγκοσμίως, ενώ στην τρίτη θέση βρέθηκε το Dorkbot, επηρεάζοντας το 6% των οργανισμών παγκοσμίως.
- ↔ XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
- ↔ Jsecoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.
- ↔ Dorkbot – Worm που βασίζεται στο IRC, σχεδιασμένο για να επιτρέπει την απομακρυσμένη εκτέλεση κώδικα από το χειριστή του, καθώς και τη λήψη πρόσθετου κακόβουλου λογισμικού στο μολυσμένο σύστημα, με βασικό σκοπό την υποκλοπή ευαίσθητων πληροφοριών και την πραγματοποίηση επιθέσεων άρνησης υπηρεσιών.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές τον Αύγουστο του 2019:
Κατά τη διάρκεια του Αυγούστου, το Lotoor αποτέλεσε το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ενώ ακολούθησαν τα AndroidBauts και Triada.
- Lotoor – Εργαλείο κυβερνοπειρατείας (χάκινγκ) που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για την απόκτηση δικαιωμάτων πλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.
- AndroidBauts – Πρόκειται για Adware που στοχεύει τους χρήστες Android. Το λογισμικό απαλείφει το IMEI, το IMSI, το GPS location και άλλες πληροφορίες της συσκευής και επιτρέπει την εγκατάσταση τρίτων εφαρμογών στη συσκευή.
- Triada – Μodular backdoor για Android που εκχωρεί δικαιώματα super user σε κακόβουλο λογισμικό που έχει ληφθεί, βοηθώντας το να ενσωματωθεί σε διαδικασίες του συστήματος. Το Triada έχει παρατηρηθεί επίσης ότι παραποιεί διευθύνσεις URL που φορτώνονται στο πρόγραμμα περιήγησης.
Οι 3 ευπάθειες «που έγιναν συχνότερα αντικείμενο εκμετάλλευσης» τον Αύγουστο του 2019
Τον Αύγουστο οι τεχνικές SQL Injection συνέχισαν να βρίσκονται στην πρώτη θέση της σχετικής λίστας, ακολουθούμενες από την ευπάθεια OpenSSL TLS DTLS Heartbeat Information Disclosure. Η αξιοποίηση των συγκεκριμένων τεχνικών και η εκμετάλλευση της προαναφερόμενης ευπάθειας επηρέασαν το 39% των οργανισμών σε όλο τον κόσμο. Στην τρίτη θέση βρέθηκε η ευπάθεια MVPower DVR Remote Code Execution με αντίκτυπο στο 38% των οργανισμών παγκοσμίως.
- ↔ SQL Injection (διάφορες τεχνικές) – Πρόκειται για την εισαγωγή ενός SQL query στα δεδομένα που παρέχει ο client σε μια εφαρμογή, με συνέπεια την εκμετάλλευση μιας ευπάθειας που υπάρχει στον κώδικα της εφαρμογής αυτής.
- ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Μια ευπάθεια αποκάλυψης πληροφοριών που υπάρχει στο OpenSSL. Η ευπάθεια οφείλεται σε ένα σφάλμα κατά το χειρισμό πακέτων heartbeat TLS/DTLS. Ένας εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια για να αποκαλύψει περιεχόμενα της μνήμης ενός συνδεδεμένου συστήματος-πελάτη ή διακομιστή.
- ↔ MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτό το ελάττωμα και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
*Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως μπορεί να βρεθεί εδώ.
Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Αύγουστο είναι:
AgentTesla – Το AgentTesla είναι ένα εξελιγμένο RAT που λειτουργεί ως keylogger και ως λογισμικό κλοπής κωδικών πρόσβασης μολύνοντας υπολογιστές από το 2014. Το AgentTesla έχει τη δυνατότητα να παρακολουθεί και να συλλέγει τις καταχωρήσεις του πληκτρολογίου του θύματος και το system clipboard, να λαμβάνει στιγμιότυπα οθόνης και να απομακρύνει τα credentials από λογισμικό εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένου του Google Chrome, του Mozilla Firefox και του email client του Microsoft Outlook). Το AgentTesla πωλείται ως νόμιμο RAT με τους ενδιαφερόμενους να πληρώνουν 15 – 69 δολάρια για μια άδεια χρήστη.
Lokibot – Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσω email ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για την υποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώς και κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων και διακομιστές FTP.
Jsecoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Hawkeye – Το Hawkeye είναι ένα κακόβουλο Info Stealer, το οποίο σχεδιάστηκε κυρίως για να αποσπά στοιχεία χρηστών από μολυσμένες πλατφόρμες που λειτουργούν με Windows. Μέσα στους τελευταίους μήνες, το Hawkeye έχει βελτιωθεί συμπεριλαμβάνοντας πλέον, εκτός από την κλοπή κωδικών email και web browser, δυνατότητες keylogging. Συχνά πωλείται στην αγορά ως MaaS (Malware as a Service) μέσω διαφόρων infection chain τεχνικών.
NanoCore – Το NanoCore είναι ένα trojan απομακρυσμένης πρόσβασης, το οποίο παρατηρήθηκε πρώτη φορά το 2013 και στοχεύει στους χρήστες του λειτουργικού συστήματος των Windows. Όλες οι εκδόσεις του περιλαμβάνουν χαρακτηριστικά όπως καταγραφή οθόνης, εξόρυξη κρυπτονομισμάτων, απομακρυσμένος έλεγχος κ.α.
Nanobot – Το Nanobot είναι ένα botnet με hosts που ελέγχονται από το NanoCore RAT, ένα Trojan απομακρυσμένης πρόσβασης που στοχεύει τους χρήστες του λειτουργικού συστήματος των Windows. Όλες οι εκδόσεις του RAT περιλαμβάνουν βασικές λειτουργίες, όπως η καταγραφή οθόνης, η εξόρυξη κρυπτονομισμάτων, ο απομακρυσμένος χειρισμός της επιφάνειας εργασίας και η κλοπή της κάμερας webcam. Το NanoCore πωλείται σε φόρουμ στο dark web για 25 δολάρια περίπου, en;v διάφορες εκδόσεις του RAT έχουν διαρρεύσει με την πάροδο του χρόνου.
Trickbot – Το Trickbot είναι μια παραλλαγή του Dyre που εμφανίστηκε τον Οκτώβριο του 2016. Από τότε, έχει στοχεύσει κυρίως στους τραπεζικούς χρήστες στην Αυστραλία και το Ηνωμένο Βασίλειο ενώ πρόσφατα άρχισε να εμφανίζεται και στην Ινδία, τη Σιγκαπούρη και τη Μαλεσία.
Cryptoloot – Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για την παραγωγή κρυπτονομισμάτων – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive.
Ramnit – To Ramnit είναι ένα worm που μολύνει και εξαπλώνεται κυρίως μέσω αφαιρούμενων μονάδων δίσκου και αρχείων που φορτώνονται σε δημόσιες υπηρεσίες FTP. Το κακόβουλο λογισμικό δημιουργεί ένα αντίγραφο του εαυτού του για να μολύνει αφαιρούμενα και μόνιμα προγράμματα οδήγησης. Το κακόβουλο λογισμικό λειτουργεί επίσης ως backdoor.
Οικογένεια κακόβουλου λογισμικού | Παγκόσμια επίδραση | Επίδραση Ελλάδα |
AgentTesla | 5.20% | 24.07% |
Lokibot | 2.60% | 13.69% |
Jsecoin | 7.14% | 10.37% |
XMRig | 7.26% | 7.47% |
Hawkeye | 2.50% | 7.05% |
Nanocore | 0.68% | 7.05% |
Nanobot | 0.68% | 7.05% |
Trickbot | 5.40% | 4.98% |
Cryptoloot | 3.32% | 4.56% |
Ramnit | 3.77% | 4.15% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει περισσότερες από 250 εκατομμύρια διευθύνσεις που αναλύονται για τον εντοπισμό bot, περισσότερες από 11 εκατομμύρια υπογραφές κακόβουλου λογισμικού και περισσότερους από 5,5 εκατομμύρια μολυσμένους ιστότοπους, ενώ αναγνωρίζει εκατομμύρια τύπους κακόβουλου λογισμικού καθημερινά.
Οι Πηγές Πρόληψης Απειλών της Check Point είναι διαθέσιμες στον ιστότοπο: http://www.checkpoint.com/threat-prevention-resources/index.html