Most Wanted Malware Ιούνιος 2024: Το RansomHub Κυριαρχεί ως η Πιο Επικίνδυνη Ομάδα Ransomware Μετά την Πτώση του LockBit3

Στο Threat Index του Ιουνίου που πέρασε, η Check Point υπογραμμίζει μια αλλαγή στο τοπίο του Ransomware–as–a–Service (RaaS), με το RansomHub να ξεπερνά το LockBit3 και να παίρνει  την πρώτη θέση στη λίστα με πιο διαδεδομένες ομάδες ransomware.Εν τω μεταξύ, οι ερευνητές εντόπισαν μια καμπάνια backdoor BadSpace Windows που εξαπλώθηκε μέσω ψεύτικων ενημερώσεων του προγράμματος περιήγησης

 Η Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίος πάροχος πλατφόρμας ασφάλειας στον κυβερνοχώρο που τροφοδοτείται από AI και παρέχεται από το cloud, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών (Global Threat Index) για τον Ιούνιο του 2024. Το μήνα που πέρασε, οι ερευνητές σημείωσαν μια αλλαγή στο τοπίο του Ransomware-as-a-Service (RaaS), με το σχετικό νεοφερμένο RansomHub να εκτοπίζει το LockBit3 και να γίνεται η πιο διαδεδομένη ομάδα σύμφωνα με δημοσιεύσεις σε ιστότοπους ντροπής. Εν τω μεταξύ, εντοπίστηκε μια κερκόπορτα των Windows που ονομάστηκε BadSpace, που περιλαμβάνει μολυσμένους ιστότοπους WordPress και ψεύτικες ενημερώσεις προγράμματος περιήγησης.

Τον περασμένο μήνα, το RansomHub έγινε η πιο διαδεδομένη ομάδα RaaS μετά τη δράση επιβολής του νόμου εναντίον του LockBit3 τον περασμένο Φεβρουάριο, που την έκανε να χάσει την πίστη των θυγατρικών της. Ως αποτέλεσμα, το LockBit3 ανέφερε ένα χαμηλό ρεκόρ μόνο 27 θυμάτων τον Απρίλιο, ακολουθούμενο από έναν ανεξήγητο υψηλό αριθμό τον Μάιο άνω των 170 και λιγότερο από 20 τον Ιούνιο κάτι ου σηματοδοτεί την πιθανή πτώση του.

Πολλές θυγατρικές του LockBit3 χρησιμοποιούν τώρα κρυπτογραφητές άλλων ομάδων RaaS, οδηγώντας σε αυξημένες αναφορές θυμάτων από άλλους φορείς απειλής. Το RansomHub, το οποίο εμφανίστηκε για πρώτη φορά τον Φεβρουάριο του 2024 και φέρεται να είναι μετενσάρκωση του ransomware Knight, σημείωσε σημαντική άνοδο τον Ιούνιο με σχεδόν 80 νέα θύματα. Συγκεκριμένα, μόνο το 25% των δημοσιευμένων θυμάτων είναι από τις ΗΠΑ, με σημαντικούς αριθμούς από τη Βραζιλία, την Ιταλία, την Ισπανία και το Ηνωμένο Βασίλειο.

Σε άλλες εξελίξεις, οι ερευνητές τόνισαν μια πρόσφατη καμπάνια FakeUpdates (επίσης γνωστή ως SocGholish), η οποία κατατάχθηκε ως το πιο διαδεδομένο κακόβουλο λογισμικό, παρέχοντας τώρα μια νέα κερκόπορτα που ονομάζεται BadSpace. Ο πολλαπλασιασμός των FakeUpdates διευκολύνθηκε μέσω ενός δικτύου συνεργατών τρίτων, το οποίο ανακατευθύνει την επισκεψιμότητα από παραβιασμένους ιστότοπους σε σελίδες προορισμού FakeUpdates. Στη συνέχεια, αυτές οι σελίδες ζητούν από τους χρήστες να κατεβάσουν αυτό που φαίνεται να είναι μια ενημέρωση του προγράμματος περιήγησης. Ωστόσο, αυτό το στοιχείο λήψης περιέχει στην πραγματικότητα ένα πρόγραμμα φόρτωσης που βασίζεται σε JScript που στη συνέχεια κατεβάζει και εκτελεί την κερκόπορτα BadSpace. Το BadSpace χρησιμοποιεί εξελιγμένες τεχνικές συσκότισης και anti-sandbox για να αποφύγει τον εντοπισμό και διατηρεί την επιμονή μέσω προγραμματισμένων εργασιών. Η επικοινωνία εντολών και ελέγχου είναι κρυπτογραφημένη, καθιστώντας δύσκολη την υποκλοπή.

“Φαίνεται ότι οι ενέργειες κατά του LockBit3 είχαν τον επιθυμητό αντίκτυπο. Ωστόσο,, η πτώση του δείχνει να ανοίγει μόνο το δρόμο για άλλες ομάδες να αναλάβουν τον έλεγχο και να συνεχίσουν τς εκστρατείες ransomware εναντίον οργανισμών παγκοσμίως “, δήλωσε η Maya Horowitz, VP of Research στην Check Point Software

 Top malware families 

*Τα βέλη αφορούν την αλλαγή κατάταξης σε σχέση με τον προηγούμενο μήνα.

Το FakeUpdates ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον Ιούνιο με αντίκτυπο 7% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Androxgh0st με 6% και το  AgentTesla με 3%.

1. ↔ FakeUpdates – Το FakeUpdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα payloads στο δίσκο πριν από την εκκίνησή τους. Το FakeUpdates οδήγησε σε περαιτέρω συμβιβασμό μέσω πολλών πρόσθετων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.

2. ↔ Androxgh0st – Το Androxgh0st είναι ένα botnet που στοχεύει πλατφόρμες Windows, Mac και Linux. Για την αρχική μόλυνση, το Androxgh0st εκμεταλλεύεται πολλαπλές ευπάθειες, στοχεύοντας συγκεκριμένα – το PHPUnit, το Laravel Framework και τον διακομιστή Web Apache. Το κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες όπως πληροφορίες λογαριασμού Twilio, διαπιστευτήρια SMTP, κλειδί AWS κ.λπ. Χρησιμοποιεί αρχεία Laravel για τη συλλογή των απαιτούμενων πληροφοριών. Έχει διαφορετικές παραλλαγές που σαρώνουν για διαφορετικές πληροφορίες.

3. ↑ AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει την είσοδο πληκτρολογίου του θύματος, το πληκτρολόγιο συστήματος, τη λήψη στιγμιότυπων οθόνης και την εξαγωγή διαπιστευτηρίων σε μια ποικιλία λογισμικού που είναι εγκατεστημένο στο μηχάνημα ενός θύματος (συμπεριλαμβανομένου του Google Chrome, του Mozilla Firefox και του προγράμματος-πελάτη ηλεκτρονικού ταχυδρομείου του Microsoft Outlook).

Top exploited vulnerabilities 

Τον περασμένο μήνα, το “Check Point VPN Information Disclosure” ήταν η πιο εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 51% των οργανισμών παγκοσμίως, ακολουθούμενη στενά από το “Web Servers Malicious URL Directory Traversal“ με 49% και το “HTTP Headers Remote Code Execution“ με παγκόσμιο αντίκτυπο 44%. 

1. ↑ Check Point VPN Information Disclosure (CVE-2024-24919) – Ανακαλύφθηκε μια ευπάθεια αποκάλυψης πληροφοριών στο Check Point VPN. Το θέμα ευπάθειας επιτρέπει ενδεχομένως σε έναν εισβολέα να διαβάσει ορισμένες πληροφορίες σε πύλες συνδεδεμένες στο Internet με ενεργοποιημένη την απομακρυσμένη πρόσβαση, το VPN ή την πρόσβαση μέσω κινητής τηλεφωνίας.

2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει μια ευπάθεια διέλευσης καταλόγου Σε διαφορετικούς διακομιστές ιστού. Το θέμα ευπάθειας οφείλεται σε σφάλμα επικύρωσης εισόδου σε διακομιστή web που δεν απολυμαίνει σωστά το URI για τα μοτίβα διέλευσης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει στους απομακρυσμένους εισβολείς χωρίς έλεγχο ταυτότητας να αποκαλύπτουν ή να έχουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή. 

3. ↑ Απομακρυσμένη εκτέλεση κώδικα κεφαλίδων HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Οι κεφαλίδες HTTP επιτρέπουν στον υπολογιστή-πελάτη και τον διακομιστή να περάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη κεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στον υπολογιστή του θύματος. 

 Top Mobile Malwares

Τον περασμένο μήνα  το Joker ήταν στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από το Anubis και το AhMyth.

1. ↑ Joker – Ένα Android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες συσκευής. Επιπλέον, το κακόβουλο λογισμικό εγγράφει το θύμα σιωπηλά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.

2. ↓ Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan σχεδιασμένο για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργικότητα Trojan Remote Access (RAT), keylogger, δυνατότητες εγγραφής ήχου και διάφορες δυνατότητες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.

3. ↓ AhMyth – Το AhMyth είναι ένας Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.

Top-Attacked Industries Globally

Τον περασμένο μήνα, η Εκπαίδευση / Έρευνα παρέμεινε στην πρώτη θέση στις πιο επιτιθέμενες βιομηχανίες παγκοσμίως, ακολουθούμενη από την Κυβέρνηση / Στρατό και την Υγειονομική Περίθαλψη.

1. Εκπαίδευση/Έρευνα
2. Κυβέρνηση/Στρατός
3. Υγειονομική περίθαλψη

Top Ransomware Groups

Τα δεδομένα βασίζονται σε πληροφορίες από ransomware “ιστότοπους ντροπής” που διευθύνονται από ομάδες ransomware διπλού εκβιασμού που δημοσίευσαν πληροφορίες θυμάτων. Το RansomHub ήταν η πιο διαδεδομένη ομάδα ransomware τον περασμένο μήνα, υπεύθυνη για  το 21% των δημοσιευμένων επιθέσεων, ακολουθούμενη από την Play με 8% και  την Akira με 5%.

1. RansomHub – Το RansomHub είναι μια λειτουργία Ransomware-as-a-Service (RaaS) που προέκυψε ως μια μετονομασμένη έκδοση του προηγουμένως γνωστού ransomware Knight. Εμφανιζόμενο σε περίοπτη θέση στις αρχές του 2024 σε υπόγεια φόρουμ εγκλήματος στον κυβερνοχώρο, το RansomHub απέκτησε γρήγορα φήμη για τις επιθετικές καμπάνιες του που στοχεύουν διάφορα συστήματα, όπως Windows, macOS, Linux και ιδιαίτερα περιβάλλοντα VMware ESXi. Αυτό το κακόβουλο λογισμικό είναι γνωστό για τη χρήση εξελιγμένων μεθόδων κρυπτογράφησης.

2. Play – Το Play Ransomware, που αναφέρεται επίσης ως PlayCrypt, είναι ένα ransomware που εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022. Αυτό το ransomware έχει στοχεύσει ένα ευρύ φάσμα επιχειρήσεων και κρίσιμων υποδομών σε όλη τη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη, επηρεάζοντας περίπου 300 οντότητες έως τον Οκτώβριο του 2023. Το Play Ransomware συνήθως αποκτά πρόσβαση σε δίκτυα μέσω παραβιασμένων έγκυρων λογαριασμών ή εκμεταλλευόμενο ευπάθειες που δεν έχουν επιδιορθωθεί, όπως αυτές στα Fortinet SSL VPN. Μόλις εισχωρήσει, χρησιμοποιεί τεχνικές όπως η χρήση δυαδικών αρχείων που ζουν εκτός (LOLBins) για εργασίες όπως η εξαγωγή δεδομένων και η κλοπή διαπιστευτηρίων.

3. Akira – Το Akira Ransomware, που αναφέρθηκε για πρώτη φορά στις αρχές του 2023, στοχεύει τόσο σε συστήματα Windows όσο και σε Linux. Χρησιμοποιεί συμμετρική κρυπτογράφηση με το CryptGenRandom() και το Chacha 2008 για κρυπτογράφηση αρχείων και είναι παρόμοιο με το ransomware Conti v2 που διέρρευσε. Το Akira διανέμεται με διάφορα μέσα, συμπεριλαμβανομένων μολυσμένων συνημμένων email και εκμεταλλεύσεων σε τελικά σημεία VPN. Μετά τη μόλυνση, κρυπτογραφεί δεδομένα και προσθέτει μια επέκταση “.akira” σε ονόματα αρχείων και στη συνέχεια, παρουσιάζει ένα σημείωμα λύτρων που απαιτεί πληρωμή για αποκρυπτογράφηση.