Η Check Point Research αποκαλύπτει ότι το Emotet είναι πλέον το έβδομο πιο διαδεδομένο κακόβουλο λογισμικό και η επιστροφή του θεωρείται “εξαιρετικά ανησυχητική”. Το Trickbot παραμένει στην πρώτη θέση. Ο κλάδος εκπαίδευσης και έρευνας εξακολουθεί να αποτελεί κορυφαίο στόχο των χάκερ.
Η Check Point Research, το Threat Intelligence τμήμα της Check Point Software Technologies (NASDAQ: CHKP), κορυφαίου πάροχου λύσεων ασφάλειας στον κυβερνοχώρο σε παγκόσμιο επίπεδο, δημοσίευσε το Global Threat Index για το μήνα Νοέμβριο του 2021. Οι ερευνητές αναφέρουν ότι ενώ το Trickbot παραμένει στην κορυφή της λίστας με τα πιο διαδεδομένα κακόβουλα προγράμματα, επηρεάζοντας το 5% των οργανισμών παγκοσμίως, το πρόσφατα αναγεννημένο Emotet επιστρέφει στην έβδομη θέση της λίστας. Η CPR αποκαλύπτει επίσης ότι ο κλάδος που δέχεται τις περισσότερες επιθέσεις είναι αυτός της Εκπαίδευσης/Έρευνας.
Παρά τις σημαντικές προσπάθειες της Europol και πολλών άλλων φορέων επιβολής του νόμου νωρίτερα φέτος για την καταστολή του Emotet, το διαβόητο botnet επιβεβαιώθηκε ότι επανήλθε σε δράση τον Νοέμβριο και είναι ήδη το έβδομο πιο συχνά χρησιμοποιούμενο κακόβουλο λογισμικό. Το Trickbot βρίσκεται στην κορυφή της λίστας για έκτη φορά αυτόν τον μήνα και εμπλέκεται ακόμη και με τη νέα παραλλαγή του Emotet, η οποία εγκαθίσταται σε μολυσμένους υπολογιστές χρησιμοποιώντας την υποδομή του Trickbot.
Το Emotet εξαπλώνεται μέσω phishing emails που περιέχουν μολυσμένα αρχεία Word, Excel και Zip, τα οποία αναπτύσσουν το Emotet στον υπολογιστή του θύματος. Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν ενδιαφέροντες τίτλους όπως τρέχουσες ειδήσεις, τιμολόγια και ψεύτικα εταιρικά σημειώματα για να δελεάσουν τα θύματα να τα ανοίξουν. Πιο πρόσφατα, το Emotet άρχισε επίσης να εξαπλώνεται μέσω κακόβουλων πακέτων Windows App Installer προσποιούμενα λογισμικό Adobe.
“Το Emotet είναι ένα από τα πιο επιτυχημένα botnet στην ιστορία του κυβερνοχώρου και ευθύνεται για την έκρηξη των στοχευμένων επιθέσεων ransomware που παρατηρούμε τα τελευταία χρόνια”, δήλωσε η Maya Horowitz, VP Research στην Check Point Software. “Η επιστροφή του botnet τον Νοέμβριο είναι εξαιρετικά ανησυχητική, καθώς μπορεί να οδηγήσει σε περαιτέρω αύξηση τέτοιων επιθέσεων. Το γεγονός ότι χρησιμοποιεί την υποδομή του Trickbot σημαίνει ότι συντομεύει τον χρόνο που θα χρειαζόταν για να αποκτήσει ένα αρκετά σημαντικό έρεισμα σε δίκτυα σε όλο τον κόσμο. Καθώς εξαπλώνεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing με κακόβουλα συνημμένα αρχεία, είναι ζωτικής σημασίας τόσο η ευαισθητοποίηση όσο και η εκπαίδευση των χρηστών να βρίσκονται στην κορυφή της λίστας προτεραιοτήτων των οργανισμών όσον αφορά την ασφάλεια στον κυβερνοχώρο. Και όποιος θέλει να κατεβάσει λογισμικό Adobe θα πρέπει να θυμάται, όπως και με κάθε εφαρμογή, να το κάνει μόνο μέσω επίσημων μέσων”.
Η CPR αποκάλυψε επίσης ότι ο κλάδος εκπαίδευσης/έρευνας είναι αυτός με τις περισσότερες επιθέσεις παγκοσμίως για τον μήνα Νοεμβριο, ακολουθούμενος από τους επικοινωνίες και κυβέρνησης/στρατού. Το “Web Servers Malicious URL Directory Traversal” εξακολουθεί να είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 44% των οργανισμών παγκοσμίως, ακολουθούμενο από το “Web Server Exposed Git Repository Information Disclosure” που επηρεάζει το 43,7% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” παραμένει στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 42%.
Κορυφαίες οικογένειες κακόβουλων λογισμικών
*Τα βέλη αφορούν στη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Αυτόν τον μήνα, το Trickbot είναι το πιο δημοφιλές κακόβουλο λογισμικό που επηρεάζει το 5% των οργανισμών παγκοσμίως, ακολουθούμενο από τον Agent Tesla και το Formbook, και τα δύο με παγκόσμιο αντίκτυπο 4%.
- ↔Trickbot – Το Trickbot είναι ένα modular Botnet και Τραπεζικό Trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και διαύλους διανομής. Αυτό του επιτρέπει να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί ως μέρος καμπανιών πολλαπλών χρήσεων.
- ↑ Agent Tesla – Το Agent Tesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και υποκλοπέας πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει στοιχεία του πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook).
- ↑ Formbook – Το Formbook είναι ένα InfoStealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.
Κορυφαίες επιθέσεις σε βιομηχανίες παγκοσμίως:
This month, Education/Research is the most attacked industry globally, followed by Communications and Government/Military.
Αυτόν τον μήνα, η Εκπαίδευση/Έρευνα είναι ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τις Επικοινωνίες και την Κυβέρνηση/Στρατό
- Εκπαίδευση/Ερευνα
- Επικοινωνίες
- Κυβέρνηση/Στρατός
Τα κορυφαία εκμεταλλευόμενα τρωτά σημεία
Αυτόν τον μήνα, η ” Web Servers Malicious URL Directory Traversal” εξακολουθεί να είναι η πιο συχνά αξιοποιούμενη ευπάθεια, επηρεάζοντας το 44% των οργανισμών παγκοσμίως, ακολουθούμενη από την ” Web Server Exposed Git Repository Information Disclosure “, η οποία επηρεάζει το 43,7% των οργανισμών παγκοσμίως. Η ” HTTP Headers Remote Code Execution” παραμένει στην τρίτη θέση της λίστας με τις ευπάθειες με τις περισσότερες εκμεταλλεύσεις, με παγκόσμιο αντίκτυπο 42%.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει ευπάθεια διάσχισης καταλόγου σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά τη διεύθυνση URL για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
- ↔ Web Server Exposed Git Repository Information Disclosure – Έχει αναφερθεί ένα κενό ασφαλείας για την αποκάλυψη πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
- ↔HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι κεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Κορυφαία κακόβουλα προγράμματα για κινητά
Αυτόν τον μήνα, το AlienBot καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από το xHelper και το FluBot.
- AlienBot – Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα, ως πρώτο βήμα, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
- xHelper – Μια κακόβουλη εφαρμογή που παρατηρείται στη φύση από τον Μάρτιο του 2019, η οποία χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και μπορεί ακόμη και να επανεγκατασταθεί σε περίπτωση που έχει απεγκατασταθεί.
- FluBot – Το FluBot είναι ένα botnet Android που διανέμεται μέσω μηνυμάτων SMS phishing, τα οποία τις περισσότερες φορές υποδύονται μάρκες παράδοσης logistics. Μόλις ο χρήστης κάνει κλικ στο σύνδεσμο μέσα στο μήνυμα, το FluBot εγκαθίσταται και αποκτά πρόσβαση σε όλες τις ευαίσθητες πληροφορίες του τηλεφώνου.
AgentTesla- Το AgentTesla είναι ένα προηγμένο RAT (Trojan απομακρυσμένης πρόσβασης) που λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου και το πρόχειρο συστήματος του θύματος, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια που εισάγονται για μια ποικιλία λογισμικού που είναι εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν $15 – $69 για άδειες χρήσης.
Formbook- Το FormBook εντοπίστηκε για πρώτη φορά το 2016 και είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα Windows. Διατίθεται στην αγορά ως MaaS σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορους περιηγητές ιστού, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
Trickbot- Το Trickbot είναι ένα αρθρωτό Botnet και τραπεζικό Trojan που στοχεύει την πλατφόρμα των Windows, το οποίο διανέμεται κυρίως μέσω εκστρατειών spam ή άλλων οικογενειών κακόβουλου λογισμικού όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετες ενότητες από μια μεγάλη γκάμα διαθέσιμων ενοτήτων: από μια ενότητα VNC για απομακρυσμένο έλεγχο, μέχρι μια ενότητα SMB για εξάπλωση μέσα σε ένα παραβιασμένο δίκτυο. Μόλις μολυνθεί ένα μηχάνημα, η συμμορία Trickbot, οι απειλητικοί φορείς που βρίσκονται πίσω από αυτό το κακόβουλο λογισμικό, χρησιμοποιούν αυτό το ευρύ φάσμα ενοτήτων όχι μόνο για να κλέψουν τραπεζικά διαπιστευτήρια από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση του ίδιου του οργανισμού-στόχου, πριν από την πραγματοποίηση μιας στοχευμένης επίθεσης ransomware σε ολόκληρη την εταιρεία.
Vidar- Το Vidar είναι ένας infolstealer που στοχεύει σε λειτουργικά συστήματα Windows. Εντοπίστηκε για πρώτη φορά στα τέλη του 2018 και έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης στο διαδίκτυο και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και χρησιμοποιείται ως dropper κακόβουλου λογισμικού που κατεβάζει το ransomware GandCrab ως δευτερεύον ωφέλιμο φορτίο.
Remcos To Remcos είναι ένας RAT που εμφανίστηκε για πρώτη φορά στη φύση το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windowss και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.
Zapchast- Μια ελεγχόμενη μέσω IRC Backdoor που επιτρέπει σε έναν εισβολέα μη εξουσιοδοτημένη πρόσβαση και έλεγχο ενός επηρεαζόμενου μηχανήματος. Όταν εκτελείται το backdoor, εγκαθιστά σύνδεση με έναν διακομιστή IRC (Internet Relay Chat). Στη συνέχεια δημιουργεί ένα bot σε ένα συγκεκριμένο κανάλι ή διακομιστή IRC και χρησιμοποιεί το κανάλι για να ελέγχει τα πολλαπλά bots του και να εξαπολύει κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών (DDoS).
Danabot- Το Danabot είναι ένα Trickler που στοχεύει στην πλατφόρμα των Windows. Το κακόβουλο λογισμικό στέλνει πληροφορίες στον διακομιστή ελέγχου του και κατεβάζει και αποκρυπτογραφεί ένα αρχείο για να εκτελεστεί στον μολυσμένο υπολογιστή. Σύμφωνα με πληροφορίες, η κατεβασμένη μονάδα μπορεί να κατεβάσει άλλα κακόβουλα αρχεία στο δίκτυο. Επιπλέον, το κακόβουλο λογισμικό δημιουργεί μια συντόμευση στο φάκελο εκκίνησης του χρήστη για να επιτύχει την παραμονή του στο μολυσμένο σύστημα.
Joker- Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό υπογράφει στο θύμα σιωπηλά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.
Strrat- Το Strrat είναι ένα RAT (Remote Administration Trojan). Το RAT μπορεί να κλέψει πληκτρολογήσεις καταγραφής, διαπιστευτήρια σύνδεσης που αποθηκεύονται σε προγράμματα περιήγησης και μπορεί να ελέγχει εξ αποστάσεως τα μολυσμένα λειτουργικά συστήματα Windows.
xHelper- Μια κακόβουλη εφαρμογή που παρατηρείται στη φύση από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και να επανεγκαθίσταται σε περίπτωση που έχει απεγκατασταθεί.
Lokibot- Το LokiBot εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2016 και είναι ένας κλέφτης πληροφοριών με εκδόσεις τόσο για τα Windows όσο και για το Android OS. Συλλέγει διαπιστευτήρια από διάφορες εφαρμογές, προγράμματα περιήγησης στο διαδίκτυο, προγράμματα ηλεκτρονικού ταχυδρομείου, εργαλεία διαχείρισης IT όπως το PuTTY και άλλα. Το LokiBot πωλείται σε φόρουμ hacking και πιστεύεται ότι ο πηγαίος κώδικάς του διέρρευσε, επιτρέποντας έτσι την εμφάνιση πολυάριθμων παραλλαγών. Από τα τέλη του 2017, ορισμένες εκδόσεις του LokiBot για Android περιλαμβάνουν λειτουργικότητα ransomware εκτός από τις δυνατότητες κλοπής πληροφοριών.
Τα Global Threat Impact Index και ThreatCloud Map της Check Point Software, βασίζονται στο τμήμα ThreatCloud intelligence της εταιρείας. Το ThreatCloud παρέχει πληροφορίες απειλής σε πραγματικό χρόνο που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών συσκευών. Η νοημοσύνη είναι εμπλουτισμένη με AI-based engines και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, το τμήμα Intelligence & Research της Check Point Software Technologies.
Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Νοέμβριο βρίσκεται στο ιστολόγιο της Check Point.