Η Check Point Research, το Threat Intelligence τμήμα της Check Point Software Technologies Ltd. δημοσίευσε το Global Threat Index για το μήνα Ιανουάριο του 2022.
Οι ερευνητές αναφέρουν ότι το Emotet έχει πλέον εκτοπίσει το Trickbot από την πρώτη θέση, μετά την παρατεταμένη παραμονή του στην κορυφή και είναι το πιο διαδεδομένο κακόβουλο λογισμικό του μήνα, επηρεάζοντας το 6% των οργανισμών παγκοσμίως. Το Log4j εξακολουθεί επίσης, να παραμένει πρόβλημα, επηρεάζοντας το 47,4% των οργανισμών παγκοσμίως, ενώ ως ο κλάδος με τις περισσότερες επιθέσεις εξακολουθεί να είναι αυτός της Εκπαίδευσης/Έρευνας.
Μετά από μόλις δυόμισι μήνες από την επιστροφή του, το Emotet έχει κατακτήσει την πρώτη θέση. Το διαβόητο botnet εξαπλώνεται συνήθως μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους. Η αυξημένη χρήση του έχει βοηθηθεί ακόμα περισσότερο από την επικράτηση του Trickbot που λειτουργεί ως καταλύτης, εξαπλώνοντας το κακόβουλο λογισμικό περαιτέρω. Παράλληλα, έχουμε αποχώρηση του Dridex από την πρώτη δεκάδα της λίστας και αντικατάστασή του από το Lokibot, ένα InfoStealer που χρησιμοποιείται για την απόκτηση δεδομένων όπως διαπιστευτήρια ηλεκτρονικού ταχυδρομείου, κωδικοί πρόσβασης σε πορτοφόλια CryptoCoin και διακομιστές FTP.
“Δεν αποτελεί έκπληξη το γεγονός ότι το Emotet επέστρεψε εκδικητικά. Πρόκειται για ένα κακόβουλο λογισμικό που υπεκφεύγει καθιστώντας δύσκολη την ανίχνευσή του, ενώ το γεγονός ότι χρησιμοποιεί πολλαπλές μεθόδους για να μολύνει τα δίκτυα συμβάλλει περαιτέρω στη συνεχή άνοδο αυτής της απειλής. Είναι απίθανο να πρόκειται για ένα βραχύβιο πρόβλημα”, δήλωσε η Maya Horowitz, VP Research στην Check Point Software. “Αυτόν τον μήνα είδαμε επίσης το Dridex να εξαφανίζεται από τη λίστα με τα δέκα κορυφαία και το Lokibot να επανεμφανίζεται. Το Lokibot εκμεταλλεύεται τα θύματα στις πιο πολυάσχολες στιγμές τους, καθώς διανέμεται μέσω καλά μεταμφιεσμένων phishing emails. Αυτές οι απειλές, μαζί με τη συνεχιζόμενη μάχη με την ευπάθεια Log4j, υπογραμμίζουν τη σημασία της ύπαρξης της καλύτερης ασφάλειας σε δίκτυα, cloud, κινητά και τελικά σημεία χρηστών”.
Η Check Point Research (CPR) αποκάλυψε αυτό το μήνα ότι ο τομέας Εκπαίδευση/Έρευνα παραμένει αυτός με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τον Κυβέρνηση/Ένοπλες Δυνάμεις και τον ISP/MSP. Η “Apache Log4j Remote Code Execution” εξακολουθεί να είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 47,4% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Web Server Exposed Git Repository Information Disclosure” που επηρεάζει το 45% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” βρίσκεται στην τρίτη θέση της λίστας με τις πιο συχνά προς εκμετάλλευση ευπάθειες, με παγκόσμιο αντίκτυπο 42%.
Οι κυριότερες οικογένειες κακόβουλου λογισμικού
*Τα βέλη σχετίζονται με τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Αυτόν τον μήνα, το Emotet είναι το πιο δημοφιλές κακόβουλο λογισμικό που επηρεάζει το 6% των οργανισμών παγκοσμίως, ακολουθούμενο στενά από το Trickbot με αντίκτυπο 4% και στη συνέχεια το Formbook με αντίκτυπο 3%.
- ↑ Emotet – Το Emotet είναι ένα προηγμένο, αυτοδιαδοτικό και αρθρωτό Trojan. Το Emotet, που κάποτε χρησιμοποιούνταν για να απασχολεί ως τραπεζικό Trojan, έχει πρόσφατα χρησιμοποιηθεί ως διανομέας σε άλλα κακόβουλα προγράμματα ή κακόβουλες εκστρατείες. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της εμμονής και τεχνικές αποφυγής για να αποφύγει την ανίχνευση. Επιπλέον, μπορεί να διαδοθεί μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου spam τύπου phishing που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.
- ↓ Trickbot – Το Trickbot είναι ένα modular Botnet και τραπεζικό Trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και διαύλους διανομής. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί στο πλαίσιο εκστρατειών πολλαπλών σκοπών.
- ↓ Formbook – Το Formbook είναι ένας Info Stealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.
Οι κλάδοι που δέχονται τις περισσότερες επιθέσεις παγκοσμίως
Αυτόν τον μήνα ο τομέας Εκπαίδευση/Έρευνα βρίσκεται στην πρώτη θέση των κλάδων που δέχονται τις μεγαλύτερες επιθέσεις παγκοσμίως, ακολουθούμενος από τους τον Κυβέρνηση/Ένοπλες Δυνάμεις και ISP/MSP
- Εκπαίδευση/Ερευνα
- Κυβέρνηση/Ένοπλες Δυνάμεις
3. ISP/MSP
Τα πιο συχνά εκμεταλλεύσιμα τρωτά σημεία
Αυτόν τον μήνα η Apache Log4j Remote Code Execution ” εξακολουθεί να είναι η πιο συχνά αξιοποιούμενη ευπάθεια, επηρεάζοντας το 47,4% των οργανισμών παγκοσμίως, ακολουθούμενη από την ““Web Server Exposed Git Repository Information Disclosure ” που επηρεάζει το 45% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” βρίσκεται στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 42%.
- ↔ Απομακρυσμένη εκτέλεση κώδικα Apache Log4j (CVE-2021-44228) – Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υπάρχει στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
- ↔ Web Server Exposed Git Repository Information Disclosure – Έχει αναφερθεί μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – επιτρέπει στον πελάτη και τον διακομιστή να διαβιβάζουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Κορυφαία κακόβουλα προγράμματα για κινητά
Αυτόν τον μήνα το xHelper έρχεται στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα AlienBot και FluBot.
- xHelper – Μια κακόβουλη εφαρμογή που δεν έχει εμφανιστεί στη φύση από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και να επανεγκαθίσταται σε περίπτωση που έχει απεγκατασταθεί.
- AlienBot – Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα, σε πρώτο στάδιο, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
- FluBot – Το FluBot είναι ένα κακόβουλο λογισμικό Android botnet που διανέμεται μέσω μηνυμάτων SMS phishing, τα οποία τις περισσότερες φορές υποδύονται μάρκες παράδοσης logistics. Μόλις ο χρήστης κάνει κλικ στο σύνδεσμο μέσα στο μήνυμα, το FluBot εγκαθίσταται και αποκτά πρόσβαση σε όλες τις ευαίσθητες πληροφορίες του τηλεφώνου.
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Ιανουάριο του 2022 είναι:
Emotet- Το Emotet είναι ένα προηγμένο, αυτοδιαδοτικό και αρθρωτό Trojan που κάποτε χρησιμοποιήθηκε ως τραπεζικό Trojan και σήμερα διανέμει άλλα κακόβουλα προγράμματα ή κακόβουλες καμπάνιες. Το Emotet χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της εμμονής και τεχνικές αποφυγής για να αποφύγει τον εντοπισμό και μπορεί να διαδοθεί μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου spam που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.
Lokibot – Το LokiBot εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2016 και είναι ένα commodity infostealer με εκδόσεις τόσο για τα Windows όσο και για το Android OS. Συλλέγει διαπιστευτήρια από διάφορες εφαρμογές, προγράμματα περιήγησης στο διαδίκτυο, προγράμματα ηλεκτρονικού ταχυδρομείου, εργαλεία διαχείρισης IT όπως το PuTTY και άλλα. Το LokiBot πωλείται σε φόρουμ hacking και πιστεύεται ότι ο πηγαίος κώδικάς του διέρρευσε, επιτρέποντας έτσι την εμφάνιση πολυάριθμων παραλλαγών. Από τα τέλη του 2017, ορισμένες εκδόσεις του LokiBot για Android περιλαμβάνουν λειτουργικότητα ransomware εκτός από τις δυνατότητες κλοπής πληροφοριών.
Formbook- Το FormBook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε underground hacking forums για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορους περιηγητές ιστού, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
AgentTesla- Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης και είναι ενεργό από το 2014. Το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου και το πρόχειρο συστήματος του θύματος, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια για διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (όπως το Google Chrome, το Mozilla Firefox και το Microsoft Outlook email client). Το AgentTesla πωλείται σε διάφορες διαδικτυακές αγορές και φόρουμ hacking.
Nanocore- Το NanoCore είναι ένα Trojan απομακρυσμένης πρόσβασης που στοχεύει σε χρήστες του λειτουργικού συστήματος Windows και παρατηρήθηκε για πρώτη φορά στη φύση το 2013. Όλες οι εκδόσεις του RAT περιέχουν βασικά πρόσθετα και λειτουργίες όπως καταγραφή οθόνης, εξόρυξη κρυπτονομισμάτων, απομακρυσμένο έλεγχο της επιφάνειας εργασίας και κλοπή συνεδρίας κάμερας.
Trickbot- Το Trickbot είναι ένα αρθρωτό τραπεζικό Trojan, που αποδίδεται στη συμμορία κυβερνοεγκλήματος WizardSpider. Παραδίδεται κυρίως μέσω εκστρατειών spam ή άλλων οικογενειών κακόβουλου λογισμικού, όπως το Emotet και το BazarLoader. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετες ενότητες από μια μεγάλη γκάμα διαθέσιμων ενοτήτων, συμπεριλαμβανομένης μιας ενότητας VNC για απομακρυσμένο έλεγχο και μιας ενότητας SMB για εξάπλωση εντός ενός μολυσμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι απειλητικοί φορείς που βρίσκονται πίσω από αυτό το κακόβουλο λογισμικό, χρησιμοποιούν αυτό το ευρύ φάσμα ενοτήτων όχι μόνο για να κλέψουν τραπεζικά διαπιστευτήρια από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση του ίδιου του οργανισμού-στόχου, πριν από την πραγματοποίηση μιας στοχευμένης επίθεσης ransomware σε ολόκληρη την εταιρεία.
Remcos- Ο Remcos είναι ένα RAT που πρωτοεμφανίστηκε στη φύση το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windowss και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.
Vidar- Το Vidar είναι ένα infostealer που στοχεύει σε λειτουργικά συστήματα Windows. Εντοπίστηκε για πρώτη φορά στα τέλη του 2018 και έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης στο διαδίκτυο και ψηφιακά πορτοφόλια. Το Vidar πωλείται σε διάφορα διαδικτυακά φόρουμ και χρησιμοποιείται ως dropper κακόβουλου λογισμικού για τη λήψη του ransomware GandCrab ως δευτερεύον payload.
MassLogger- Το MassLogger είναι ένας κλέφτης διαπιστευτηρίων .NET. Αυτή η απειλή είναι ένα εργαλείο αναγνώρισης που μπορεί να χρησιμοποιηθεί για την απόσπαση δεδομένων από στοχευμένους κεντρικούς υπολογιστές.
Danabot- Το Danabot είναι ένα αρθρωτό τραπεζικό Trojan γραμμένο σε Delphi που στοχεύει στην πλατφόρμα των Windows. Το κακόβουλο λογισμικό, το οποίο παρατηρήθηκε για πρώτη φορά το 2018, διανέμεται μέσω κακόβουλων μηνυμάτων spam. Μόλις μολυνθεί μια συσκευή, το κακόβουλο λογισμικό κατεβάζει ενημερωμένο κώδικα διαμόρφωσης και άλλες ενότητες από τον διακομιστή C&C. Οι διαθέσιμες ενότητες περιλαμβάνουν ένα ¿sniffer¿ για την υποκλοπή διαπιστευτηρίων, ένα ¿stealer¿ για την κλοπή κωδικών πρόσβασης από δημοφιλείς εφαρμογές, μια ενότητα ¿VNC¿ για απομακρυσμένο έλεγχο και άλλα.
Ramnit- Το Ramnit είναι ένα αρθρωτό τραπεζικό Trojan που ανακαλύφθηκε για πρώτη φορά το 2010. Το Ramnit υποκλέπτει πληροφορίες για τη διαδικτυακή συνεδρία, δίνοντας στους χειριστές του τη δυνατότητα να υποκλέψουν τα διαπιστευτήρια λογαριασμού για όλες τις υπηρεσίες που χρησιμοποιεί το θύμα, συμπεριλαμβανομένων των τραπεζικών λογαριασμών και των εταιρικών λογαριασμών και των λογαριασμών κοινωνικών δικτύων. Το Trojan χρησιμοποιεί τόσο σκληρά κωδικοποιημένα domains όσο και domains που δημιουργούνται από έναν DGA (Domain Generation Algorithm) για να επικοινωνήσει με τον διακομιστή C&C και να κατεβάσει πρόσθετες ενότητες.
Joker- Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό υπογράφει στο θύμα σιωπηλά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.
| Τα top 10 ανα χώρα | ||
| Malware | Παγκόσμιος αντίκτυπος | Ελλάδα |
| Emotet | 5.77% | 25.30% |
| Lokibot | 1.16% | 8.33% |
| Formbook | 3.27% | 7.74% |
| AgentTesla | 1.87% | 7.14% |
| Nanocore | 0.91% | 2.68% |
| Trickbot | 3.50% | 2.38% |
| Remcos | 1.83% | 2.38% |
| Vidar | 0.96% | 2.38% |
| MassLogger | 0.14% | 2.08% |
| Danabot | 0.08% | 2.08% |
| Ramnit | 1.68% | 2.08% |
| Joker | 0.05% | 2.08% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point Software, βασίζονται στο ThreatCloud intelligence της; Εταιρείας, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.
Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Ιανουάριο βρίσκεται στο blog της Check Point.