Ανεξέλεγκτα τα Remcos και RansomHub

Στο τελευταίο της Threat Index, η Check Point αποκάλυψε ότι το RansomHub παραμένει η πιο διαδεδομένη ομάδα Ransomware. Εν τω μεταξύ, οι ερευνητές της εντόπισαν μια κακόβουλη εκστρατεία Remcos σε Windows που εκμεταλλεύεται μια πρόσφατη ενημέρωση λογισμικού ασφαλείας

Η Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίος πάροχος πλατφόρμας κυβερνοασφάλειας που υποστηρίζεται από AI και παρέχεται από το cloud,, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών (Global Threat Index) για τον Ιούλιο του 2024. Παρά τη σημαντική πτώση που σημειώθηκε τον Ιούνιο, το LockBit επανεμφανίστηκε τον περασμένο μήνα και έγινε η δεύτερη πιο διαδεδομένη ομάδα ransomware, ενώ το RansomHub διατήρησε την πρώτη θέση. Εν τω μεταξύ, οι ερευνητές εντόπισαν τόσο μια εκστρατεία που διανέμει κακόβουλο λογισμικό Remcos μετά από ένα πρόβλημα ενημέρωσης της CrowdStrike, όσο και μια σειρά νέων τακτικών FakeUpdates, η οποία κατέλαβε και πάλι την πρώτη θέση στη λίστα με τα κορυφαία κακόβουλα προγράμματα για τον Ιούλιο.

Ένα πρόβλημα στον CrowdStrike Falcon αισθητήρα για Windows έχει ως αποτέλεσμα οι εγκληματίες του κυβερνοχώρου να διανέμουν ένα κακόβουλο αρχείο ZIP με την ονομασία crowdstrike-hotfix.zip. Αυτό το αρχείο περιείχε το HijackLoader, το οποίο στη συνέχεια ενεργοποίησε το κακόβουλο λογισμικό Remcos που κατατάσσεται ως το έβδομο πιο κακόβουλο λογισμικό τον Ιούλιο. Η εκστρατεία στόχευε επιχειρήσεις που χρησιμοποιούσαν οδηγίες στην ισπανική γλώσσα και περιελάμβανε τη δημιουργία ψεύτικων domains για επιθέσεις phishing.

Εν τω μεταξύ, οι ερευνητές αποκάλυψαν μια σειρά νέων τακτικών που χρησιμοποιούν το FakeUpdates, το οποίο βρέθηκε στην κορυφή της κατάταξης κακόβουλου λογισμικού για έναν ακόμη μήνα. Οι χρήστες που επισκέπτονταν εκτεθειμένους ιστότοπους αντιμετώπιζαν ψεύτικες προτροπές ενημέρωσης του προγράμματος περιήγησης, οι οποίες οδηγούσαν στην εγκατάσταση Trojan απομακρυσμένης πρόσβασης (RAT) όπως το AsyncRAT, που σήμερα κατατάσσεται στην ένατη θέση του δείκτη της Check Point. Είναι ανησυχητικό ότι οι εγκληματίες του κυβερνοχώρου άρχισαν τώρα να εκμεταλλεύονται το BOINC, μια πλατφόρμα που προορίζεται για εθελοντική πληροφορική, για να αποκτήσουν απομακρυσμένο έλεγχο μολυσμένων συστημάτων.

«Η συνεχιζόμενη επιμονή και αναζωπύρωση ομάδων ransomware όπως το Lockbit και το RansomHub υπογραμμίζει τη συνεχή εστίαση των κυβερνοεγκληματιών στο ransomware, μια σημαντική, χωρίς παύση πρόκληση για τους οργανισμούς με εκτεταμένες επιπτώσεις στη λειτουργική τους συνέχεια και την ασφάλεια των δεδομένων τους. Η πρόσφατη εκμετάλλευση μιας ενημερωμένης έκδοσης λογισμικού ασφαλείας για τη διανομή του κακόβουλου λογισμικού Remcos αναδεικνύει περαιτέρω τον καιροσκοπικό χαρακτήρα των κυβερνοεγκληματιών για ανάπτυξη κακόβουλου λογισμικού, με αποτέλεσμα να διακυβεύεται περαιτέρω η άμυνα των οργανισμών. Για να αντιμετωπίσουν αυτές τις απειλές, οι οργανισμοί θα πρέπει να υιοθετήσουν μια πολυεπίπεδη στρατηγική ασφάλειας που θα περιλαμβάνει ισχυρή προστασία των τελικών σημείων, άγρυπνη παρακολούθηση και εκπαίδευση των χρηστών για να μειώσουν την επίθεση αυτών των ολοένα και μαζικότερων κυβερνοεπιθέσεων», δήλωσε η Maya Horowitz, VP of Research στην Check Point Software.

Top malware families

*Τα βέλη αφορούν την αλλαγή στην κατάταξη σε σχέση με τον προηγούμενο μήνα.
Το FakeUpdates ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 7% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Androxgh0st με παγκόσμιο αντίκτυπο 5% και το AgentTesla με παγκόσμιο αντίκτυπο 3%.

↔ FakeUpdates – Το FakeUpdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα ωφέλιμα φορτία στο δίσκο πριν από την εκτόξευσή τους. Το FakeUpdates οδήγησε σε περαιτέρω συμβιβασμό μέσω πολλών πρόσθετων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.
↔ Androxgh0st – Το Androxgh0st είναι ένα botnet που στοχεύει σε πλατφόρμες Windows, Mac και Linux. Για την αρχική μόλυνση, το Androxgh0st εκμεταλλεύεται πολλαπλές ευπάθειες, στοχεύοντας συγκεκριμένα- το PHPUnit, το Laravel Framework και τον Apache Web Server. Το κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες, όπως πληροφορίες λογαριασμού Twilio, διαπιστευτήρια SMTP, κλειδί AWS κ.λπ. Χρησιμοποιεί αρχεία Laravel για να συλλέξει τις απαιτούμενες πληροφορίες. Διαθέτει διαφορετικές παραλλαγές οι οποίες σαρώνουν για διαφορετικές πληροφορίες.

↔ AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει την είσοδο του πληκτρολογίου του θύματος και το ίδιο το πληκτρολόγιο, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και του προγράμματος ηλεκτρονικού ταχυδρομείου Microsoft Outlook).

↑ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.

↓ Qbot – Το Qbot AKA Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα διαπιστευτήρια ενός χρήστη, να καταγράφει πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκοπεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email και χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση. Ξεκινώντας το 2022, αναδείχθηκε ως ένα από τα πιο διαδεδομένα Trojans.

↔ Remcos – Το Remcos είναι ένα RAT που εμφανίστηκε για πρώτη φορά το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office, τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM, και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windows και να εκτελεί κακόβουλο λογισμικό με προνόμια υψηλού επιπέδου.

↔ Phorpiex – Το Phorpiex είναι ένα botnet γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω εκστρατειών spam, καθώς και για την τροφοδότηση εκστρατειών Sextortion μεγάλης κλίμακας.

↑ Vidar – Το Vidar είναι ένα κακόβουλο λογισμικό infostealer που λειτουργεί ως malware-as-a-service και ανακαλύφθηκε για πρώτη φορά στα τέλη του 2018. Το κακόβουλο λογισμικό εκτελείται σε Windows και μπορεί να συλλέξει ένα ευρύ φάσμα ευαίσθητων δεδομένων από προγράμματα περιήγησης και ψηφιακά πορτοφόλια.

Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιείται ως πρόγραμμα λήψης για ransomware.

↓ AsyncRat – Το Asyncrat είναι ένα Trojan που στοχεύει την πλατφόρμα των Windows. Αυτό το κακόβουλο λογισμικό αποστέλλει πληροφορίες σχετικά με το στοχευόμενο σύστημα σε έναν απομακρυσμένο διακομιστή. Λαμβάνει εντολές από τον διακομιστή για να κατεβάσει και να εκτελέσει πρόσθετα, να σκοτώσει διεργασίες, να απεγκαταστήσει/ενημερώσει τον εαυτό του και να καταγράψει στιγμιότυπα οθόνης του μολυσμένου συστήματος.

↓ NJRat – Το NJRat είναι ένα Trojan απομακρυσμένης πρόσβασης, που στοχεύει κυρίως κυβερνητικές υπηρεσίες και οργανισμούς στη Μέση Ανατολή. Το Trojan εμφανίστηκε για πρώτη φορά το 2012 και έχει πολλαπλές δυνατότητες: καταγραφή πληκτρολογήσεων, πρόσβαση στην κάμερα του θύματος, κλοπή διαπιστευτηρίων που είναι αποθηκευμένα σε προγράμματα περιήγησης, μεταφόρτωση και λήψη αρχείων, εκτέλεση χειρισμών διεργασιών και αρχείων και προβολή της επιφάνειας εργασίας του θύματος. Το NJRat μολύνει τα θύματα μέσω επιθέσεων phishing και drive-by downloads και διαδίδεται μέσω μολυσμένων κλειδιών USB ή δικτυακών δίσκων, με την υποστήριξη λογισμικού διακομιστή Command & Control.

Top exploited vulnerabilities 

↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Έχει αναφερθεί μια ευπάθεια που αφορά την εισαγωγή εντολών μέσω HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το πρόβλημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.

↑ Zyxel ZyWALL Command Injection (CVE-2023-28771( – Μια ευπάθεια έγχυσης εντολών υπάρχει στο Zyxel ZyWALL. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επιτρέψει σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετες εντολές του λειτουργικού συστήματος στο σύστημα που επηρεάζεται.

↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) –  Οι επικεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.

↔ Apache HTTP Server Directory Traversal (CVE-2021-41773) – Μια ευπάθεια διάσχισης καταλόγου υπάρχει στον Apache HTTP Server. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει πρόσβαση σε αυθαίρετα αρχεία στο επηρεαζόμενο σύστημα.

↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει μια ευπάθεια διάσχισης καταλόγου σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.

↓ TP-Link Archer AX21 Command Injection (CVE-2023-1389) – Μια ευπάθεια έγχυσης εντολών υπάρχει στο TP-Link Archer AX21. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετες εντολές στο επηρεαζόμενο σύστημα.

↑ MVPower CCTV DVR Remote Code Execution (CVE-2016-20016) – Υπάρχει ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο MVPower CCTV DVR. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
↓ Dasan GPON Router Authentication Bypass (CVE-2024-3273) – Υπάρχει ευπάθεια έγχυσης εντολών στο PHPUnit. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επέτρεπε σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετες εντολές στο επηρεαζόμενο σύστημα.

↔ PHP Easter Egg Information Disclosure (CVE-2015-2051) – Έχει αναφερθεί μια ευπάθεια αποκάλυψης πληροφοριών στις σελίδες PHP. Η ευπάθεια οφείλεται σε λανθασμένη διαμόρφωση του διακομιστή ιστού. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτή την ευπάθεια στέλνοντας μια ειδικά διαμορφωμένη διεύθυνση URL σε μια επηρεαζόμενη σελίδα PHP.

↑ NETGEAR DGN Command Injection – Υπάρχει ευπάθεια έγχυσης εντολών στο NETGEAR DGN. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.

Top Mobile Malwares

Τον περασμένο μήνα το Joker ήταν στην πρώτη θέση των πιο διαδεδομένων κακόβουλων προγραμμάτων για κινητά, ακολουθούμενο από τα Anubis και AhMyth.

↔ Joker – Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό εγγράφει το θύμα, χωρίς αυτό να το γνωρίζει, για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.
↔ Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
↔   AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
Top-Attacked Industries Globally

Top-Attacked Industries Globally

Τον περασμένο μήνα η Εκπαίδευση/Ερευνα παρέμεινε στην πρώτη θέση των επιτιθέμενων κλάδων παγκοσμίως, ακολουθούμενη από την Κυβέρνηση/Στρατό και τις Επικοινωνίες.
1. Εκπαίδευση/Ερευνα
2. Κυβέρνηση/Στρατός
3. Επικοινωνίες


Top Ransomware Groups

Τα δεδομένα βασίζονται σε πληροφορίες από τους γνωστούς ως “shame sites” ιστότοπους που τους διαχειριζονται από ομάδες double-extortion ransomware και δημοσιεύουν πληροφορίες για τα θύματα. Το RansomHub είναι η πιο διαδεδομένη ομάδα ransomware αυτόν τον μήνα, υπεύθυνη για το 11% των δημοσιευμένων επιθέσεων, ακολουθούμενη από το Lockbit3 με 8% και το Akira με 6%.
RansomHub – Το RansomHub είναι μια επιχείρηση Ransomware-as-a-Service (RaaS) που προέκυψε ως μια αναβαθμισμένη έκδοση του προηγουμένως γνωστού ransomware Knight. Το RansomHub, που εμφανίστηκε στις αρχές του 2024 σε υπόγεια φόρουμ ηλεκτρονικού εγκλήματος, απέκτησε γρήγορα φήμη για τις επιθετικές εκστρατείες του που στόχευαν διάφορα συστήματα, συμπεριλαμβανομένων των Windows, macOS, Linux και ιδιαίτερα περιβάλλοντα VMware ESXi. Αυτό το κακόβουλο λογισμικό είναι γνωστό για τη χρήση εξελιγμένων μεθόδων κρυπτογράφησης.

Lockbit3 – Το LockBit είναι ένα ransomware, που λειτουργεί σε μοντέλο RaaS και αναφέρθηκε για πρώτη φορά τον Σεπτέμβριο του 2019. Το LockBit στοχεύει μεγάλες επιχειρήσεις και κυβερνητικούς φορείς από διάφορες χώρες και δεν στοχεύει ιδιώτες στη Ρωσία ή στην Κοινοπολιτεία Ανεξάρτητων Κρατών.

Akira – Το Akira Ransomware, που αναφέρθηκε για πρώτη φορά στις αρχές του 2023, στοχεύει τόσο σε συστήματα Windows όσο και σε συστήματα Linux. Χρησιμοποιεί συμμετρική κρυπτογράφηση με CryptGenRandom() και Chacha 2008 για την κρυπτογράφηση αρχείων και είναι παρόμοιο με το ransomware Conti v2. Το Akira διανέμεται με διάφορα μέσα, συμπεριλαμβανομένων μολυσμένων συνημμένων email και exploits σε τελικά σημεία VPN. Μετά τη μόλυνση, κρυπτογραφεί δεδομένα και προσθέτει μια επέκταση «.akira» στα ονόματα των αρχείων, και στη συνέχεια παρουσιάζει ένα σημείωμα λύτρων που απαιτεί πληρωμή για την αποκρυπτογράφηση.