Το Emotet κυριάρχησε ως κορυφαία απειλή κακόβουλου λογισμικού παρά την κατάργηση του
Check Point Research αναφέρει ότι το trojan Emotet κυριάρχησε ως το κορυφαίο κακόβουλο λογισμικό για τον Ιανουάριο, παρόλο που η διεθνής υπηρεσία πήρε τον έλεγχο της υποδομής του, με αποτέλεσμα να καταγράψει μείωση 14% στον παγκόσμιο αντίκτυπο
Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd. (NASDAQ: CHKP), μια εκ των κορυφαίων παρόχων λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Ιανουάριο του 2021. Οι ερευνητές αναφέρουν ότι το Trojan Emotet παρέμεινε στην πρώτη θέση στην λίστα κακόβουλων προγραμμάτων για δεύτερο μήνα, επηρεάζοντας το 6% των οργανισμών παγκοσμίως, παρά τη διεθνή αστυνομική επιχείρηση η οποία κατάφερε και πήρε τον έλεγχο του botnet στις 27 Ιανουαρίου.
Η επιχείρηση αυτή συνέβαλε στη μείωση κατά 14% στον αριθμό των οργανισμών που επηρεάστηκαν από τη δραστηριότητα του Emotet ενώ κρατικές υπηρεσίες σχεδιάζουν να απεγκαταστήσουν μαζικά το Emotet από μολυσμένους κεντρικούς υπολογιστές στις 25 Απριλίου. Παρόλα αυτά, το Emotet διατήρησε την πρώτη θέση στο Global Threat Index, επισημαίνοντας τον τεράστιο παγκόσμιο αντίκτυπο που είχε αυτό το botnet. Η καμπάνια κακόβουλων ανεπιθύμητων μηνυμάτων του Emotet χρησιμοποιεί διαφορετικές τεχνικές παράδοσης για τη διάδοση του, συμπεριλαμβανομένων ενσωματωμένων συνδέσμων, συνημμένων εγγράφων ή αρχείων Zip που προστατεύονται με κωδικό πρόσβασης.
Το Emotet εντοπίστηκε πρώτη φορά το 2014, και από τότε ενημερώθηκε τακτικά από τους προγραμματιστές του για να διατηρήσει την αποτελεσματικότητά του για κακόβουλη δραστηριότητα. Το Υπουργείο Εσωτερικής Ασφάλειας της Αμερικής έχει εκτιμήσει ότι κάθε περιστατικό που αφορά το Emotet κοστίζει στους οργανισμούς άνω του 1 εκατομμυρίου δολαρίων για να διορθωθεί.
«Το Emotet είναι μία από τις πιο δαπανηρές και καταστροφικές παραλλαγές κακόβουλου λογισμικού που έχουμε δει ποτέ, η κοινή προσπάθεια που κατέβαλαν οι υπηρεσίες να το καταργήσουν ήταν απαραίτητη και ένα τεράστιο επίτευγμα», δήλωσε η Maya Horowitz, Διευθύντρια, Threat Intelligence & Research, Products at Σημείο ελέγχου. «Ωστόσο, αναπόφευκτα θα προκύψουν νέες απειλές που θα αντικαταστήσουν αυτή, έτσι οι οργανισμοί πρέπει ακόμη να προστατευθούν με ισχυρότερα συστήματα ασφαλείας για να αποτρέψουν την παραβίαση των δικτύων τους. Όπως πάντα, η ολοκληρωμένη εκπαίδευση στους υπαλλήλους είναι ζωτικής σημασίας, καθώς έτσι είναι σε θέση να εντοπίσουν τους τύπους κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου που διαδίδουν κρυφά trojans και bots.»
Η Check Point Research προειδοποιεί επίσης ότι το “MVPower DVR Remote Code Execution” είναι η πιο συνηθισμένη εκμετάλλευση ευπάθεια, η οποία επηρέασε το 43% των οργανισμών, ενώ ακολουθεί “HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει το 42% των οργανισμών παγκοσμίως . Το “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” είναι στην 3η θέση στη λίστα με τα πιο εκτεθειμένα τρωτά σημεία, με παγκόσμιο αντίκτυπο 41%.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα
- ↔ Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
- ↑ Phorpiex – Το Phorpiex είναι ένα botnet που είναι γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω καμπανιών ανεπιθύμητων μηνυμάτων, καθώς και για την τροφοδότηση εκστρατειών Sextortion μεγάλης κλίμακας.
- ↓ Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
Οι πιο εκμεταλλεύσιμες ευπάθειες
Τον Ιανουάριο, το “MVPower DVR Remote Code Execution“ ήταν η ευπάθεια που χρησιμοποιήθηκε περισσότερο, επηρεάζοντας το 43% των οργανισμών παγκοσμίως, ακολουθεί το “HTTP Headers Remote Code Execution (CVE-2020-13756)” το οποίο επηρέασε το 42% των οργανισμών παγκοσμίως. Το Dasan GPON Router Authentication Bypass (CVE-2018-10561) βρίσκεται στην τρίτη θέση στη λίστα με τα πιο ευάλωτα σημεία εκμετάλλευσης, με συνολικό αντίκτυπο 41%.
- ↔ MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτή την αδυναμία και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Συγκεκριμένα πεδία σταους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.
- ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Μια ευπάθεια παράκαμψης ελέγχου ταυτότητας που υπάρχει στους δρομολογητές Dasan GPON. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας επιτρέπει στους απομακρυσμένους εισβολείς να αποκτήσουν ευαίσθητες πληροφορίες και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο επηρεαζόμενο σύστημα.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές
Αυτό το μήνα, το Hiddad κατέχει την 1η θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα xHelper και Triada.
- Hiddad -Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.
- xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
- Triada – ένα Modular Backdoor για Android, το οποίο παρέχει δικαιώματα superuser για λήψη κακόβουλου λογισμικού
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Ιανουάριο είναι:
Emotet – Ένα εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
Dridex – Το Dridex είναι ένα Banking Trojan που στοχεύει την πλατφόρμα των Windows μέσω ανεπιθύμητης αλληλογραφίας και Exploit Kits, το οποίο βασίζεται σε WebInjects για να παρακολουθεί και να ανακατευθύνει τραπεζικά διαπιστευτήρια σε διακομιστή που ελέγχεται από τους εισβολείς. Το Dridex έρχεται σε επαφή με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Phorpiex – Το Phorpiex είναι ένα botnet (γνωστό και ως Trik) από το 2010 το οποίο στην κορύφωση του έλεγχε περισσότερους από ένα εκατομμύριο μολυσμένους κεντρικούς υπολογιστές. Γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω καμπανιών ανεπιθύμητης αλληλογραφίας, καθώς και για την τροφοδότηση καμπανιών ανεπιθύμητης αλληλογραφίας και εκστρατειών μεγάλης κλίμακας.
NJRat– Το njRAT είναι ένα remote access Trojan, στοχεύει κυρίως κυβερνητικούς φορείς και οργανισμούς στη Μέση Ανατολή. Το Trojan εμφανίστηκε για πρώτη φορά το 2012 και έχει πολλές δυνατότητες: καταγραφή πλήκτρων, πρόσβαση στην κάμερα του θύματος, κλοπή διαπιστευτηρίων που είναι αποθηκευμένα σε προγράμματα περιήγησης, μεταφόρτωση και λήψη αρχείων, εκτέλεση διαδικασιών και χειρισμοί αρχείων και προβολή της επιφάνειας εργασίας του θύματος. Το njRAT μολύνει τα θύματα μέσω επιθέσεων ηλεκτρονικού ψαρέματος (phishing) και λήψεων μέσω δίσκου, και διαδίδεται μέσω μολυσμένων κλειδιών USB ή δικτυακών δίσκων, με την υποστήριξη του λογισμικού διακομιστή Command & Control.
Trickbot – Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.
xHelper – Μια κακόβουλη εφαρμογή που εμφανίζεται από τον Μάρτιο του 2019, χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και για την προβολή διαφημίσεων. Η εφαρμογή μπορεί να κρύβεται από τον χρήστη και να επανεγκαθίσταται σε περίπτωση που απεγκατασταθεί.
Qbot AKA -Το Qakbot είναι τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials και στοιχεία που πληκτρολογούν οι χρήστες. Συχνά διανέμεται μέσω spam email. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.
FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.
Vidar– Το Vidar είναι ένα infolstealer που στοχεύει λειτουργικά συστήματα Windows. Για πρώτη φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού που κατεβάζει το GandCrab ransomware ως δευτερεύον ωφέλιμο φορτίο του.
Agenttesla – Το AgentTesla είναι ένα προηγμένο RAT (Remote Access Trojan) που αποσπά κωδικούς και στοιχεία κατά την πληκτρολόγηση. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει στοιχεία από το θύμα την στιγμή που αυτό πληκτρολογεί, μπορεί επίσης να καταγράφει στιγμιότυπα από την οθόνη και διαπιστευτήρια εξακρίβωσης που έχουν εισαχθεί για πολλά προγράμματα λογισμικού που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν 15$ – 69$ για άδειες χρήσης.
LimeRAT– Το LimeRAT είναι ένα Trojan σχεδιασμένο για υπολογιστές Windows. Το LimeRAT διαδόθηκε κυρίως ως συνημμένο email, κακόβουλες διαδικτυακές διαφημίσεις και social engineering. Αφού γίνει η μόλυνση, είναι σε θέση να προσθέσει υπολογιστές σε botnets, να εγκαταστήσει backdoors σε μολυσμένα μηχανήματα, να κρυπτογραφήσει αρχεία με τον ίδιο τρόπο όπως το ransomware και να εγκαταστήσει cryptocurrency miners.
Danabot– Το Danabot είναι ένα Trickler που στοχεύει στην πλατφόρμα των Windows. Το κακόβουλο λογισμικό στέλνει πληροφορίες στον διακομιστή ελέγχου του και κατεβάζει και αποκρυπτογραφεί ένα αρχείο για εκτέλεση στον μολυσμένο υπολογιστή. Σύμφωνα με πληροφορίες, η ληφθείσα ενότητα μπορεί να κατεβάσει άλλα κακόβουλα αρχεία στο δίκτυο. Επιπλέον, το κακόβουλο λογισμικό δημιουργεί μια συντόμευση στο φάκελο εκκίνησης του χρήστη για να επιτύχει παραμονή του στο μολυσμένο σύστημα.
Triada– Το Triada είναι είναι modular backdoor που στοχεύει το σύστημα Android δίνοντας της δυνατότητα στον hacker για λήψη και εγκατάσταση του κακόβουλου λογισμικού. Το Triada έχει επίσης πλαστογραφημένα URL φορτωμένα στο πρόγραμμα περιήγησης.
Οικογένεια κακόβουλου λογισμικού | Παγκόσμια επίδραση | Επίδραση στην Ελλάδα |
Emotet | 6.38% | 19.75% |
Dridex | 3.28% | 4.32% |
XMRig | 3.23% | 2.78% |
Phorpiex | 3.92% | 2.78% |
NJRat | 1.47% | 2.47% |
Trickbot | 3.67% | 2.16% |
xHelper | 0.91% | 2.16% |
Qbot | 1.90% | 2.16% |
Formbook | 2.79% | 2.16% |
Vidar | 0.74% | 1.85% |
Agenttesla | 0.25% | 1.85% |
Danabot | 0.41% | 1.85% |
Triada | 0.20% | 1.85% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως για τον Δεκέμβριο είναι διαθέσιμη στο Check Point Blog