Οι ερευνητές της Check Point επιβεβαιώνουν πολλαπλές προσπάθειες σάρωσης σε παγκόσμιο επίπεδο για τον εντοπισμό συστημάτων που είναι ευάλωτα στην ευπάθεια BlueKeep RDP, οι οποίες ενδέχεται να είναι επιθέσεις αναγνώρισης

Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd., ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Μάιο του 2019. Η ερευνητική ομάδα προειδοποιεί τους οργανισμούς να ελέγχουν και να ενημερώνουν συστήματα που είναι ευάλωτα στην ευπάθεια BlueKeep Microsoft RDP (CVE-2019-0708) σε μηχανήματα που λειτουργούν με Windows 7 και Windows Server 2008, για να αποφευχθεί ο κίνδυνος εκμετάλλευσης για επιθέσεις ransomware και cryptomining.

H ευπάθεια BlueKeep επηρεάζει περίπου 1 εκατομμύριο μηχανήματα που έχουν πρόσβαση στο διαδίκτυο, και ακόμα περισσότερα τα οποία βρίσκονται εντός δικτύων οργανισμών. Η ευπάθεια είναι κρίσιμη επειδή δεν απαιτεί την αλληλεπίδραση με τον χρήστη για να αξιοποιηθεί για κακόβουλο σκοπό. Το RDP είναι ένας καθιερωμένος, δημοφιλής φορέας επιθέσεων ο οποίος έχει χρησιμοποιηθεί για την εγκατάσταση ransomware όπως το SamSam και το Dharma. Η ομάδα της Check Point Research έχει εντοπίσει τις τελευταίες εβδομάδες πολλαπλές απόπειρες σάρωσης για το συγκεκριμένο ελάττωμα, που προέρχονται από διάφορες χώρες παγκοσμίως, γεγονός που θα μπορούσε να αποτελεί την αρχική φάση αναγνώρισης μιας επίθεσης. Επιπλέον των σχετικών ενημερώσεων της Microsoft, η Check Point παρέχει προστασία τόσο στο δίκτυο όσο και στο endpoint για τη συγκεκριμένη επίθεση.

Η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών της Check Point, σχολίασε: «Η μεγαλύτερη απειλή που παρατηρήσαμε τον προηγούμενο μήνα αφορούσε το BlueKeep. Παρόλο που δεν έχουν παρατηρηθεί ακόμη επιθέσεις εκμετάλλευσης, υπάρχουν αρκετά στοιχεία δημοσίως που αποδεικνύουν ότι το project είναι σε εξέλιξη. Συμφωνούμε με τη Microsoft και άλλους παρατηρητές του κλάδου του cybersecurity ότι το BlueKeep θα μπορούσε να χρησιμοποιηθεί για την πραγματοποίηση επιθέσεων αντίστοιχης κλίμακας με τις καμπάνιες WannaCry και NotPetya, που υλοποιήθηκαν το 2017. Ένας μόνο υπολογιστής με το συγκεκριμένο ελάττωμα μπορεί να χρησιμοποιηθεί για να μολύνει ένα ολόκληρο δίκτυο. Στη συνέχεια, όλοι οι μολυσμένοι υπολογιστές με πρόσβαση στο Διαδίκτυο μπορούν να μολύνουν άλλες ευάλωτες συσκευές σε όλο τον κόσμο – επιτρέποντας την επίθεση να εξαπλωθεί εκθετικά, με ασταμάτητο ρυθμό. Είναι λοιπόν καθοριστικής σημασίας οι οργανισμοί να προστατεύουν τον εαυτό τους -και τους άλλους- επιδιορθώνοντας το ελάττωμα τώρα, πριν να είναι πολύ αργά».

Σε ακόμα μια σημαντική είδηση από τον κλάδο του cybersecurity τον Μάιο, οι προγραμματιστές του affiliate program GandCrab Ransomware-as-a-Service, κατά τη διάρκεια της τελευταίας ημέρας του Μαΐου, ανακοίνωσαν ότι τερματίζουν τη λειτουργία του και ζήτησαν από τους συνεργάτες τους να σταματήσουν τη διανομή του ransomware εντός 20 ημερών. Η επιχείρηση ήταν ενεργή από τον Ιανουάριο του 2018 και σε μόλις δύο μήνες είχε μολύνει πάνω από 50.000 θύματα. Τα συνολικά κέρδη για τους προγραμματιστές και τους συνεργάτες τους ανέρχονται σε δισεκατομμύρια δολάρια. Αποτελώντας ένα από τα κακόβουλα λογισμικά που πολύ συχνά βρισκόταν στη λίστα με τα 10 πιο διαδεδομένα, το GandCrab ενημερωνόταν συχνά αποκτώντας νέες δυνατότητες για να αποφεύγει τα εργαλεία ανίχνευσης.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Μάιο 2019:

*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα.

  1. Cryptoloot – Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για cryptomining – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive, προσπαθώντας να το εκτοπίσει ζητώντας μικρότερο ποσοστό των εσόδων από τους ιστότοπους.
  2. XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
  3. JSEcoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές τον Μάιο 2019:

Για το μήνα Μάιο το Lotoor ήταν το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ενώ τον Απρίλιο βρισκόταν στη δεύτερη θέση. Το Triada πέφτει από την πρώτη θέση στην τρίτη, ενώ το Hiddad ανεβαίνει από την τρίτη θέση στη δεύτερη. 

  1. Lotoor– Εργαλείο κυβερνοπειρατείας (χάκινγκ) που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για την απόκτηση δικαιωμάτων πλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.
  1. Hiddad – Κακόβουλο λογισμικό Android που ανασυσκευάζει νόμιμες εφαρμογές και εν συνεχεία τις καθιστά διαθέσιμες σε third-party κατάστημα. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, ωστόσο, είναι επίσης ικανό να αποκτήσει πρόσβαση σε σημαντικά στοιχεία ασφάλειας που ενσωματώνονται στο λειτουργικό σύστημα, επιτρέποντας σε κάποιον εισβολέα να αποκτήσει ευαίσθητα δεδομένα του χρήστη.
  1. Triada – Μodular backdoor για Android που εκχωρεί δικαιώματα super user σε κακόβουλο λογισμικό που έχει ληφθεί, βοηθώντας το να ενσωματωθεί σε διαδικασίες του συστήματος. Το Triada έχει παρατηρηθεί επίσης ότι παραποιεί διευθύνσεις URL που φορτώνονται στο πρόγραμμα περιήγησης.

Οι ερευνητές της Check Point ανέλυσαν επίσης τις κυβερνο-ευπάθειες που γίνονται συχνότερα αντικείμενο εκμετάλλευσης. Το OpenSSL TLS DTLS Heartbeat Information Disclosure βρίσκεται στην κορυφή, επηρεάζοντας το 44% των οργανισμών παγκοσμίως. Για πρώτη φορά μετά από 12 μήνες η ευπάθεια CVE-2017-7269 βρέθηκε στη δεύτερη θέση, επηρεάζοντας το 40% των οργανισμών παγκοσμίως ενώ την τρίτη θέση καταλαμβάνει η ευπάθεια CVE-2017-5638  επηρεάζοντας το 38% των οργανισμών σε όλο τον κόσμο.

Οι 3 ευπάθειες «που γίνονται συχνότερα αντικείμενο εκμετάλλευσης» για τον Μάιο 2019:

 Τον Μάιο παρατηρήθηκε επιστροφή στις παραδοσιακές τεχνικές επιθέσεων (πιθανώς λόγω της μείωσης της κερδοφορίας των cryptominers), με τις τεχνικές SQL Injections να βρίσκονται στην κορυφή της σχετικής λίστας επηρεάζοντας το 49% των οργανισμών παγκοσμίως. Οι ευπάθειες Web Server Exposed Git Repository Disclosure Information και OpenSSL TLS DTLS Heartbeat Information Disclosure βρίσκονται στη δεύτερη και την τρίτη θέση, επηρεάζοντας το 44% και το 41% των οργανισμών παγκοσμίως αντίστοιχα.

  1. SQL Injection Η επίθεση έγκειται σε crafted SQL queries σε φόρμες ώστε να ξεγελαστεί η εφαρμογή που τα επεξεργάζεται, παρακάμπτοντας όποιον έλεγχο και να τα εκτελέσει  επιτρέποντας με αυτόν τον τρόπο στον εισβολέα να δώσει εντολές στη βάση δεδομένων για να διαρρεύσει από αυτή  δεδομένα
  1. Web Server Exposed Git Repository Information Disclosure – Υπάρχουν αναφορές για ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση της συγκεκριμένης ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμών χρηστών.
  1. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Μια ευπάθεια αποκάλυψης πληροφοριών που υπάρχει στο OpenSSL. Η ευπάθεια οφείλεται σε ένα σφάλμα κατά το χειρισμό πακέτων heartbeat TLS/DTLS. Ένας εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια για να αποκαλύψει περιεχόμενα της μνήμης ενός συνδεδεμένου συστήματος-πελάτη ή διακομιστή.

* Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Μάιο είναι:

AgentTesla Το AgentTesla είναι ένα εξελιγμένο RAT που λειτουργεί ως keylogger και ως λογισμικό κλοπής κωδικών πρόσβασης μολύνοντας υπολογιστές από το 2014. Το AgentTesla έχει τη δυνατότητα να παρακολουθεί και να συλλέγει τις καταχωρήσεις του πληκτρολογίου του θύματος και το system clipboard, να λαμβάνει στιγμιότυπα οθόνης και να απομακρύνει τα credentials από λογισμικό εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένου του Google Chrome, του Mozilla Firefox και του email client του Microsoft Outlook). Το AgentTesla πωλείται ως νόμιμο RAT με τους ενδιαφερόμενους να πληρώνουν 15 – 69 δολάρια για μια άδεια χρήστη.

JSEcoin – Λογισμικό παραγωγής JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό παραγωγής απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.

Lokibot – Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσω email ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για την υποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώς και κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων και διακομιστές FTP.

TrickbotΤο Trickbot είναι μια παραλλαγή του Dyre που εμφανίστηκε τον Οκτώβριο του 2016. Από τότε, έχει στοχεύσει κυρίως στους τραπεζικούς χρήστες στην Αυστραλία και το Ηνωμένο Βασίλειο ενώ πρόσφατα άρχισε να εμφανίζεται και στην Ινδία, τη Σιγκαπούρη και τη Μαλεσία.

Cryptoloot – Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για την παραγωγή κρυπτονομισμάτων – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive.

Ramnit – To Ramnit είναι ένα worm που μολύνει και εξαπλώνεται κυρίως μέσω αφαιρούμενων μονάδων δίσκου και αρχείων που φορτώνονται σε δημόσιες υπηρεσίες FTP. Το κακόβουλο λογισμικό δημιουργεί ένα αντίγραφο του εαυτού του για να μολύνει αφαιρούμενα και μόνιμα προγράμματα οδήγησης. Το κακόβουλο λογισμικό λειτουργεί επίσης ως backdoor.

Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.

XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.

Nivdort – To Nivdort αποτελεί μια οικογένεια Trojan λογισμικού που έχει ως στόχο την πλατφόρμα Windows. Συλλέγει κωδικούς πρόσβασης και πληροφορίες συστήματος ή ρυθμίσεις όπως την έκδοση των Windows, τη διεύθυνση IP, τη διαμόρφωση του λογισμικού και την κατά προσέγγιση τοποθεσία. Ορισμένες εκδόσεις αυτού του κακόβουλου λογισμικού συλλέγουν στοιχεία πληκτρολόγησης.

AZORult – Το AZORult είναι ένα trojan που συγκεντρώνει και απομακρύνει δεδομένα από το μολυσμένο σύστημα. Μόλις το κακόβουλο λογισμικό εγκατασταθεί σε ένα σύστημα (συνήθως παραδίδεται από ένα κιτ εκμετάλλευσης όπως το RIG), μπορεί να στείλει αποθηκευμένους κωδικούς πρόσβασης, τοπικά αρχεία, κρυπτο-πορτοφόλια και πληροφορίες προφίλ υπολογιστή σε απομακρυσμένο command & control server.

Οι 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Μάιο 2019
Οικογένεια κακόβουλου λογισμικού Παγκόσμια επίδραση Επίδραση Ελλάδα
AgentTesla 1.25% 12.38%
Jsecoin 3.62% 11.15%
Lokibot 2.11% 8.98%
Trickbot 1.88% 8.67%
Cryptoloot 4.13% 8.05%
Ramnit 2.72% 7.12%
Emotet 2.99% 4.95%
XMRig 4.00% 4.95%
Nivdort 1.80% 4.64%
AZORult 0.69% 4.64%

Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει περισσότερες από 250 εκατομμύρια διευθύνσεις που αναλύονται για τον εντοπισμό bot, περισσότερες από 11 εκατομμύρια υπογραφές κακόβουλου λογισμικού και περισσότερους από 5,5 εκατομμύρια μολυσμένους ιστότοπους, ενώ αναγνωρίζει εκατομμύρια τύπους κακόβουλου λογισμικού καθημερινά.

Οι Πηγές Πρόληψης Απειλών της Check Point είναι διαθέσιμες στον ιστότοπο:

http://www.checkpoint.com/threat-prevention-resources/index.html

 Ακολουθήστε την Check Point Research:

Web: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_