Οι ερευνητές της Check Point αναφέρουν ότι το trojan XHelper, μια από τις μεγαλύτερες απειλές για κινητά τηλέφωνα, εξαπλώνεται πολύ γρήγορα ενώ ο αντίκτυπος του Emotet φθίνει
Η Check Point Research, το τμήμα έρευνας τηςCheck Point® Software Technologies Ltd., ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Νοέμβριο του 2019. Η ερευνητική ομάδα αναφέρει πως για πρώτη φορά μετά από τρία χρόνια, ένα κακόβουλο λογισμικό για κινητές συσκευές συμπεριλαμβάνεται στη λίστα με τα πιο διαδεδομένα malwares παγκοσμίως καθώς αποτέλεσε την κυρίαρχή απειλή για κινητά τηλέφωνα τον προηγούμενο μήνα.
Το mobile trojan για το οποίο γίνεται λόγος είναι το XHelper, μια απειλή που εντοπίστηκε για πρώτη φορά τον Μάρτιο του 2019. Το XHelper είναι ένα trojan πολλαπλών χρήσεων που στοχεύει σε χρήστες Android. Το Xhelper έχει τη δυνατότητα να κάνει λήψη άλλων επικίνδυνων εφαρμογών καθώς και να προβάλλει κακόβουλες διαφημίσεις. Αναφέρεται επίσης πως πρόκειται για μια επίμονη εφαρμογή, ικανή να επανεγκατασταθεί ακόμα και αν απεγκατασταθεί από τη συσκευή του θύματος. Κατά τους τελευταίους έξι μήνες, ο κώδικας του κακόβουλου λογισμικού ενημερώνεται συνεχώς, γεγονός που το βοηθάει να διαφεύγει των ελέγχων που πραγματοποιούν οι λύσεις που προστατεύουν κινητές συσκευές από ιούς και να συνεχίζει να μολύνει νέα θύματα. Ως αποτέλεσμα, συσκευές συμπεριλαμβάνεται στη λίστα με τα δέκα πιο διαδεδομένα malwares παγκοσμίως, στο νούμερο 8.
Το πιο διαδεδομένο κακόβουλο λογισμικό για το Νοέμβριο ήταν το botnet Emotet, παραμένοντας στην πρώτη θέση από τον Οκτώβριο. Ωστόσο, κατά τη διάρκεια του Νοεμβρίου, επηρέασε το 9% των οργανισμών παγκοσμίως, εν αντιθέσει με τον προηγούμενο μήνα που επηρέασε το 14%.
«Τόσο το Emotet όσο και το xHelper είναι ευέλικτα, κακόβουλα λογισμικά πολλαπλών χρήσεων, που μπορούν να προσαρμοστούν στις ανάγκες των κυβερνοεγκληματιών, όπως η διανομή λογισμικού ransomware, η διάδοση εκστρατειών ανεπιθύμητης αλληλογραφίας ή η διανομή malvertising στις συσκευές των χρηστών. Αυτό δείχνει ότι οι εγκληματίες προσπαθούν να χρησιμοποιήσουν πολλαπλές παράνομες τακτικές για να εξασφαλίσουν έσοδα από τις δραστηριότητές τους, αντί να ακολουθήσουν ένα συγκεκριμένο trend που επικρατεί, όπως για παράδειγμα το cryptomining, που κυριάρχησε στον κλάδο το 2018», δήλωσε η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών της Check Point. «Ως εκ τούτου, είναι σημαντικό οι οργανισμοί να αναπτύξουν λύσεις τελευταίας γενιάς στα δίκτυά τους καθώς και στις κινητές συσκευές των εργαζομένων, για την προστασία όλων των τελικών σημείων της επιχείρησης από κακόβουλα προγράμματα. Θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για τους κινδύνους που σχετίζονται με το «άνοιγμα» συνημμένων αρχείων ηλεκτρονικού ταχυδρομείου ή με τα κλικ σε συνδέσμους που δεν προέρχονται από αξιόπιστη πηγή ή επαφή».
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Νοέμβριο του 2019:
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα
Το Emotet παρέμεινε για δεύτερο μήνα στην πρώτη θέση της λίστας malware με παγκόσμιο αντίκτυπο 9%. Το XMRig ήταν το δεύτερο πιο διαδεδομένο κακόβουλο λογισμικό και έπληξε το 7% των οργανισμών παγκοσμίως, ακολουθούμενο από το Trickbot, το οποίο επηρέασε το 6% των οργανισμών σε παγκόσμιο επίπεδο.
1. ↔ Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
2. ↔ XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
3. ↔ Trickbot – Το Trickbot είναι μια παραλλαγή του Dyre που εμφανίστηκε τον Οκτώβριο του 2016. Από τότε, έχει στοχεύσει κυρίως στους τραπεζικούς χρήστες στην Αυστραλία και το Ηνωμένο Βασίλειο ενώ πρόσφατα άρχισε να εμφανίζεται και στην Ινδία, τη Σιγκαπούρη και τη Μαλεσία.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές τον Νοέμβριο του 2019:
Το Νοέμβριο, το xHelper ήταν το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα Guerilla και Lotoor.
- xHelper – Μια κακόβουλη εφαρμογή που στοχεύει σε συσκευές με Android OS. Εντοπίστηκε για πρώτη φορά τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και τα προγράμματα προστασίας από ιούς για κινητές συσκευές ενώ εφόσον απεγκατασταθεί μπορεί να επανεγκατασταθεί αυτόματα.
- Guerrilla – Ένα trojan που βρέθηκε ενσωματωμένο σε πολλές νόμιμες εφαρμογές και έχει τη δυνατότητα να κατεβάσει επιπλέον κακόβουλα λογισμικά. Το Guerrilla δημιουργεί με δόλιο τρόπο έσοδα από διαφημίσεις για τους προγραμματιστές της εφαρμογής.
- Lotoor – Εργαλείο κυβερνοπειρατείας (χάκινγκ) που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για την απόκτηση δικαιωμάτων πλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.
Οι 3 ευπάθειες «που έγιναν συχνότερα αντικείμενο εκμετάλλευσης» τον Νοέμβριο του 2019:
Αυτός ο μήνας οι τρεις ευπάθειες που έγιναν συχνότερα αντικείμενο εκμετάλλευσης παρέμειναν ίδιες με τον προηγούμενο μήνα – οι τεχνικές SQL injection συνεχίζουν να βρίσκονται στην κορυφή της λίστας, επηρεάζοντας το 39% των οργανισμών σε παγκόσμιο επίπεδο. Ακολουθεί η ευπάθεια OpenSSL TLS DTLS Heartbeat Disclosure Information και η ευπάθεια MVPower DVR Remote Code Execution επηρεάζοντας το 34% και 33% των οργανισμών παγκοσμίως αντίστοιχα.
- SQL Injection (διάφορες τεχνικές) – Πρόκειται για την εισαγωγή ενός SQL query στα δεδομένα που παρέχει ο client σε μια εφαρμογή, με συνέπεια την εκμετάλλευση μιας ευπάθειας που υπάρχει στον κώδικα της εφαρμογής αυτής.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Μια ευπάθεια αποκάλυψης πληροφοριών που υπάρχει στο OpenSSL. Η ευπάθεια οφείλεται σε ένα σφάλμα κατά το χειρισμό πακέτων heartbeat TLS/DTLS. Ένας εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια για να αποκαλύψει περιεχόμενα της μνήμης ενός συνδεδεμένου συστήματος-πελάτη ή διακομιστή.
- MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτό το ελάττωμα και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Νοέμβριο είναι:
Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.
Magecart – Το Magecart είναι ένας τύπος επίθεσης κατά την οποία κακόβουλος κώδικας JavaScript εισάγεται σε ιστότοπους ηλεκτρονικού εμπορίου και τρίτους προμηθευτές σχετικών συστημάτων, προκειμένου να υποκλέψουν πληροφορίες πληρωμών.
SDrop
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Lokibot – Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσω email ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για την υποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώς και κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων και διακομιστές FTP.
Joker
Kryptik – Το Kryptik είναι ένας δούρειος ίππος που έχει ως στόχο την πλατφόρμα Windows. Συλλέγει πληροφορίες για το σύστημα και τις αποστέλλει στον απομακρυσμένο διακομιστή. Μπορεί να λαμβάνει και να εκτελεί πρόσθετα αρχεία κακόβουλου λογισμικού σε ένα μολυσμένο σύστημα.
Οικογένεια κακόβουλου λογισμικού | Παγκόσμια επίδραση | Επίδραση Ελλάδα |
Emotet | 9.00% | 11.79% |
Formbook | 5.03% | 11.41% |
Trickbot | 6.20% | 10.65% |
Magecart | 1.89% | 7.60% |
SDrop | 0.54% | 7.60% |
XMRig | 6.90% | 6.46% |
Lokibot | 1.20% | 5.70% |
Joker | 0.55% | 5.32% |
Kryptik | 0.55% | 5.32% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει περισσότερες από 250 εκατομμύρια διευθύνσεις που αναλύονται για τον εντοπισμό bot, περισσότερες από 11 εκατομμύρια υπογραφές κακόβουλου λογισμικού και περισσότερους από 5,5 εκατομμύρια μολυσμένους ιστότοπους, ενώ αναγνωρίζει εκατομμύρια τύπους κακόβουλου λογισμικού καθημερινά.
Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως για τον Νοέμβριο μπορεί να βρεθεί εδώ.
Οι Πηγές Πρόληψης Απειλών της Check Point είναι διαθέσιμες στον ιστότοπο:
http://www.checkpoint.com/threat-prevention-resources/index.html