Οι ερευνητές της Check Point αναφέρουν ότι το διαβόητο botnet έχει επανενεργοποιηθεί και χρησιμοποιείται ξανά σε καμπάνιες
Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd., ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Σεπτέμβριο του 2019. Η ερευνητική ομάδα προειδοποιεί τους οργανισμούς ότι το botnet Emotet, μετά από μια παύση τριών μηνών, χρησιμοποιείται ξανά σε εκστρατείες ανεπιθύμητης αλληλογραφίας. Οι ερευνητές ενημέρωσαν για την παύση λειτουργιών του botnet τον Ιούνιο του 2019 και επανήλθαν τον Αύγουστο, αναφέροντας την εκ νέου ενεργοποίησή του.
Σε ορισμένες από τις καμπάνιες στις οποίες αξιοποιήθηκε το Emotet, οι χρήστες λάμβαναν μηνύματα ηλεκτρονικού ταχυδρομείου που περιείχαν έναν σύνδεσμο για τη λήψη ενός κακόβουλου αρχείου Word, ενώ ορισμένα μηνύματα περιλάμβαναν το ίδιο το κακόβουλο έγγραφο. Κατά το άνοιγμα του αρχείου, τα θύματα παρασύρονταν και ενεργοποιούσαν τις μακροεντολές του εγγράφου, οι οποίες στη συνέχεια εγκαθιστούσαν το κακόβουλο λογισμικό Emotet στον υπολογιστή του θύματος. Το Emotet ήταν το πέμπτο πιο διαδεδομένο κακόβουλο λογισμικό παγκοσμίως τον Σεπτέμβριο.
«Δεν είναι ξεκάθαρο γιατί το botnet Emotet παρέμεινε αδρανές για 3 μήνες, αλλά μπορούμε να υποθέσουμε ότι οι προγραμματιστές που βρίσκονται «πίσω» από αυτό, αναβάθμιζαν τις δυνατότητες και τις λειτουργίες του. Είναι σημαντικό οι οργανισμοί να προειδοποιούν τους υπαλλήλους τους σχετικά με τους κινδύνους που «κρύβουν» τα ηλεκτρονικά μηνύματα phishing και το άνοιγμα συνημμένων αρχείων ηλεκτρονικού ταχυδρομείου ή το κλικ σε συνδέσμους που δεν προέρχονται από αξιόπιστη πηγή ή επαφή. Θα πρέπει επίσης να υιοθετήσουν τελευταίας γενιάς λύσεις κατά των κακόβουλων λογισμικών, που μπορούν να αφαιρέσουν αυτόματα ύποπτο περιεχόμενο από μηνύματα ηλεκτρονικού ταχυδρομείου, προτού φτάσουν στους τελικούς χρήστες», δήλωσε η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών της Check Point.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Σεπτέμβριο 2019:
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα
Το cryptominer Jsecoin βρίσκεται στην κορυφή της λίστας επηρεάζοντας το 8% των οργανισμών σε παγκόσμιο επίπεδο. Το XMRig βρίσκεται στη δεύτερη θέση ενώ ακολουθεί το AgentTesla. Τα δυο τελευταία επηρέασαν το 7% των οργανισμών παγκοσμίως.
- ↑ Jsecoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.
- ↓ XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
- ↑ Agentesla– Το AgentTesla είναι ένα εξελιγμένο RAT που λειτουργεί ως keylogger και ως λογισμικό κλοπής κωδικών πρόσβασης μολύνοντας υπολογιστές από το 2014. Το AgentTesla έχει τη δυνατότητα να παρακολουθεί και να συλλέγει τις καταχωρήσεις του πληκτρολογίου του θύματος και το system clipboard, να λαμβάνει στιγμιότυπα οθόνης και να απομακρύνει τα credentials από λογισμικό εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένου του Google Chrome, του Mozilla Firefox και του email client του Microsoft Outlook).
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές τον Σεπτέμβριο του 2019:
Κατά τη διάρκεια του Σεπτεμβρίου, το Lotoor αποτέλεσε το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ενώ ακολούθησαν τα AndroidBauts και Hiddad.
- Lotoor – Εργαλείο κυβερνοπειρατείας (χάκινγκ) που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για την απόκτηση δικαιωμάτων πλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.
- AndroidBauts – Πρόκειται για Adware που στοχεύει τους χρήστες Android. Το λογισμικό απαλείφει το IMEI, το IMSI, το GPS location και άλλες πληροφορίες της συσκευής και επιτρέπει την εγκατάσταση τρίτων εφαρμογών στη συσκευή.
- Hiddad – Κακόβουλο λογισμικό Android που ανασυσκευάζει νόμιμες εφαρμογές και εν συνεχεία τις καθιστά διαθέσιμες σε third-party κατάστημα. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, ωστόσο, είναι επίσης ικανό να αποκτήσει πρόσβαση σε σημαντικά στοιχεία ασφάλειας που ενσωματώνονται στο λειτουργικό σύστημα, επιτρέποντας σε κάποιον εισβολέα να αποκτήσει ευαίσθητα δεδομένα του χρήστη.
Οι 3 ευπάθειες «που έγιναν συχνότερα αντικείμενο εκμετάλλευσης» τον Σεπτέμβριο του 2019:
Η ευπάθεια MVPower DVR Remote Code Execution βρέθηκε στην κορυφή της λίστας για το Σεπτέμβριο, επηρεάζοντας το 37% των οργανισμών σε όλο τον κόσμο. Η ευπάθεια Linux System Files Information Disclosure βρέθηκε στη δεύτερη θέση, ακολουθούμενη από την ευπάθεια Web Server Exposed Git Repository Information Disclosure. Και οι δύο είχαν αντίκτυπο στο 35% των οργανισμών σε παγκόσμιο επίπεδο.
- ↑ MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτό το ελάττωμα και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
- ↑ Linux System Files Information Disclosure – Το λειτουργικό σύστημα Linux περιέχει αρχεία συστήματος με ευαίσθητες πληροφορίες. Εάν δεν τεθούν οι σωστές ρυθμίσεις, απομακρυσμένοι εισβολείς μπορούν να δουν τις πληροφορίες σχετικά με τέτοια αρχεία Linux operating system contains system files with sensitive information. If not properly configured, remote attackers can view the information on such files.
- ↑ Web Server Exposed Git Repository Information Disclosure – Υπάρχουν αναφορές για ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση της συγκεκριμένης ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμών χρηστών.
Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Σεπτέμβριο είναι:
AgentTesla – Το AgentTesla είναι ένα εξελιγμένο RAT που λειτουργεί ως keylogger και ως λογισμικό κλοπής κωδικών πρόσβασης μολύνοντας υπολογιστές από το 2014. Το AgentTesla έχει τη δυνατότητα να παρακολουθεί και να συλλέγει τις καταχωρήσεις του πληκτρολογίου του θύματος και το system clipboard, να λαμβάνει στιγμιότυπα οθόνης και να απομακρύνει τα credentials από λογισμικό εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένου του Google Chrome, του Mozilla Firefox και του email client του Microsoft Outlook). Το AgentTesla πωλείται ως νόμιμο RAT με τους ενδιαφερόμενους να πληρώνουν 15 – 69 δολάρια για μια άδεια χρήστη.
Lokibot – Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσω email ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για την υποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώς και κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων και διακομιστές FTP.
Trickbot – Το Trickbot είναι μια παραλλαγή του Dyre που εμφανίστηκε τον Οκτώβριο του 2016. Από τότε, έχει στοχεύσει κυρίως στους τραπεζικούς χρήστες στην Αυστραλία και το Ηνωμένο Βασίλειο ενώ πρόσφατα άρχισε να εμφανίζεται και στην Ινδία, τη Σιγκαπούρη και τη Μαλαισία.
Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
Hawkeye – Το Hawkeye είναι ένα κακόβουλο Info Stealer, το οποίο σχεδιάστηκε κυρίως για να αποσπά στοιχεία χρηστών από μολυσμένες πλατφόρμες που λειτουργούν με Windows. Μέσα στους τελευταίους μήνες, το Hawkeye έχει βελτιωθεί συμπεριλαμβάνοντας πλέον, εκτός από την κλοπή κωδικών email και web browser, δυνατότητες keylogging. Συχνά πωλείται στην αγορά ως MaaS (Malware as a Service) μέσω διαφόρων infection chain τεχνικών.
Pony – Το Pony είναι ένα κακόβουλο Info Stealer, το οποίο σχεδιάστηκε κυρίως για να αποσπά στοιχεία χρηστών από μολυσμένες πλατφόρμες που λειτουργούν με Windows και είναι επίσης γνωστό ως Pony Stealer, Pony Loader, FareIT και πολλά άλλα. Το Pony δημιουργήθηκε το 2011 και μέχρι το 2013 ο πηγαίος κώδικάς του κυκλοφόρησε δημοσίως, επιτρέποντας έτσι την εξέλιξη των decentralized εκδόσεων. Εκτός από τη λειτουργία του Stealer, οι λειτουργίες του Pony επιτρέπουν στους επιτιθέμενους να παρακολουθούν τις δραστηριότητες του συστήματος και του δικτύου του χρήστη, να «κατεβάζουν» και να εγκαθιστούν επιπλέον κακόβουλο λογισμικό, ακόμη και να μολύνουν επιπλέον υπολογιστές δημιουργώντας ένα δίκτυο από bots. Λόγω της φύσης του, το Pony έχει αξιοποιηθεί από πολλούς φορείς επιθέσεων.
Jsecoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.
Cryptoloot – Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για την παραγωγή κρυπτονομισμάτων – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive.
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Οικογένεια κακόβουλου λογισμικού | Παγκόσμια επίδραση | Επίδραση Ελλάδα |
AgentTesla | 6.59% | 17.65% |
Lokibot | 3.12% | 16.39% |
Trickbot | 4.91% | 13.03% |
Emotet | 5.33% | 11.34% |
Hawkeye | 3.03% | 11.34% |
Pony | 2.24% | 10.08% |
Jsecoin | 7.74% | 9.24% |
Phoenix | 2.58% | 8.82% |
Cryptoloot | 4.49% | 7.98% |
XMRig | 7.37% | 7.98% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει περισσότερες από 250 εκατομμύρια διευθύνσεις που αναλύονται για τον εντοπισμό bot, περισσότερες από 11 εκατομμύρια υπογραφές κακόβουλου λογισμικού και περισσότερους από 5,5 εκατομμύρια μολυσμένους ιστότοπους, ενώ αναγνωρίζει εκατομμύρια τύπους κακόβουλου λογισμικού καθημερινά.
Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως για το Σεπτέμβριο μπορεί να βρεθεί εδώ.
Οι Πηγές Πρόληψης Απειλών της Check Point είναι διαθέσιμες στον ιστότοπο:
http://www.checkpoint.com/threat-prevention-resources/index.html