Η Check Point Research αναφέρει ότι το Trickbot, που χρησιμοποιείται συχνά στα αρχικά στάδια των επιθέσεων ransomware, είναι το πιο διαδεδομένο κακόβουλο λογισμικό για δεύτερο συνεχόμενο μήνα.
Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd. (NASDAQ: CHKP), μια εκ των κορυφαίων παρόχων λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Ιούνιο του 2021. Οι ερευνητές αναφέρουν ότι το Trickbot εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό, έχοντας καταλάβει για πρώτη φορά την πρώτη θέση τον Μάιο.
Το Trickbot είναι ένα botnet και ένα τραπεζικό trojan που μπορεί να κλέψει οικονομικά στοιχεία, διαπιστευτήρια λογαριασμού και προσωπικές πληροφορίες, καθώς και να εξαπλωθεί σε ένα δίκτυο και να εξαπολύσει επιθέσεις ransomware. Τον περασμένο μήνα η CPR ανέφερε ότι ο μέσος εβδομαδιαίος αριθμός επιθέσεων ransomware αυξήθηκε κατά 93% τους τελευταίους 12 μήνες και προειδοποίησε επίσης ότι οι επιθέσεις ransomware συχνά δεν ξεκινούν με ransomware. Για παράδειγμα, στις επιθέσεις ransomware Ryuk, το κακόβουλο λογισμικό Emotet χρησιμοποιήθηκε για να διεισδύσει στο δίκτυο, το οποίο στη συνέχεια μολύνθηκε με το κορυφαίο κακόβουλο λογισμικό αυτού του μήνα, το Trickbot, πριν το ransomware κρυπτογραφήσει τελικά τα δεδομένα.
Από τότε που το botnet Emotet καταργήθηκε τον Ιανουάριο, το Trojan και το botnet Trickbot έχει κερδίσει δημοτικότητα. Πρόσφατα συνδέθηκε επίσης με ένα νέο στέλεχος ransomware με την ονομασία “Diavol”. Το Trickbot ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και φορείς διανομής, γεγονός που του επιτρέπει να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί στο πλαίσιο εκστρατειών πολλαπλών σκοπών.
“Γνωστές ομάδες ransomware, όπως οι Ryuk και REvil, στηρίζονται αρχικά σε διάφορες μορφές κακόβουλου λογισμικού για τα αρχικά στάδια της μόλυνσης – ένα από τα βασικά είναι το κορυφαίο κακόβουλο λογισμικό αυτού του μήνα, το Trickbot”, δήλωσε η Maya Horowitz, Director, Threat Intelligence & Research, Products at Check Point. “Οι οργανισμοί πρέπει να διατηρούν έντονη επίγνωση των κινδύνων και να διασφαλίζουν ότι υπάρχουν κατάλληλες λύσεις. Εκτός από το botnet και το τραπεζικό trojan, Trickbot, η λίστα αυτού του μήνα περιλαμβάνει ένα μεγάλο εύρος διαφορετικών τύπων κακόβουλου λογισμικού, όπως botnets, infostealers, backdoors, RATs και mobile. Είναι ζωτικής σημασίας για τους οργανισμούς να διαθέτουν τις κατάλληλες τεχνολογίες για την αντιμετώπιση μιας τόσο μεγάλης ποικιλίας απειλών. Εάν το κάνουν, η πλειονότητα των επιθέσεων, ακόμη και οι πιο προηγμένες όπως το REvil, μπορούν να αποτραπούν χωρίς να διαταράξουν την κανονική ροή της επιχείρησης”.
Η CPR αποκάλυψε επίσης αυτό το μήνα ότι το “HTTP Headers Remote Code Execution” είναι η πιο συχνά εκμεταλλεύσιμη ευπάθεια, επηρεάζοντας το 47% των οργανισμών παγκοσμίως, ακολουθούμενη από την “MVPower DVR Remote Code Execution” που επηρεάζει το 45% των οργανισμών παγκοσμίως. Το “Dasan GPON Router Authentication Bypass” καταλαμβάνει την τρίτη θέση στη λίστα με τις ευπάθειες με τις περισσότερες εκμεταλλεύσεις, με παγκόσμιο αντίκτυπο 44%.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Αυτό το μήνα, το Trickbot είναι το πιο δημοφιλές κακόβουλο λογισμικό με παγκόσμιο αντίκτυπο 7% των οργανισμών, ακολουθούμενο από τα XMRig και Formbook με αντίκτυπο 3% των οργανισμών παγκοσμίως το καθένα.
- ↔ Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
- ↔ XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
3. ↔ Formbook – Το Formbook είναι ένα Infostealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει screenshots, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές του C&C.
Αυτόν τον μήνα το “ HTTP Headers Remote Code Execution ” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 47% των οργανισμών παγκοσμίως, ακολουθούμενη από την “ MVPower DVR Remote Code Execution ” που επηρεάζει το 45% των οργανισμών παγκοσμίως. Το “ Dasan GPON Router Authentication Bypass ” καταλαμβάνει την τρίτη θέση στη λίστα με τις ευπάθειες με τις περισσότερες εκμεταλλεύσεις, με παγκόσμιο αντίκτυπο 44%.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Συγκεκριμένα πεδία στους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.
- ↑ MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας από απόσταση επιτιθέμενος μπορεί να εκμεταλλευτεί αυτή την αδυναμία και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
- ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Υπάρχει ευπάθεια παράκαμψης ελέγχου ταυτότητας στους δρομολογητές Dasan GPON. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επέτρεπε σε απομακρυσμένους εισβολείς να αποκτήσουν ευαίσθητες πληροφορίες και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο επηρεαζόμενο σύστημα.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές
Αυτόν τον μήνα το xHelper καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από τα Hiddad και XLoader.
- xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
- Hiddad – Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.
- XLoader – Το XLoader είναι ένα Android Spyware και Banking Trojan που αναπτύχθηκε από την Yanbian Gang, μια κινεζική ομάδα χάκερ. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί DNS spoofing για τη διανομή μολυσμένων εφαρμογών Android, προκειμένου να συλλέξει προσωπικές και οικονομικές πληροφορίες.
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Iούνιο είναι:
Trickbot – Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.
FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.
Vidar- Το Vidar είναι ένα infolstealer που στοχεύει λειτουργικά συστήματα Windows. Για πρώτη φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού που κατεβάζει το GandCrab ransomware ως δευτερεύον ωφέλιμο φορτίο του.
xHelper – Μια κακόβουλη εφαρμογή που παρατηρείται από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και να επανεγκαθίσταται σε περίπτωση που έχει απεγκατασταθεί.
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Glupteba– Γνωστό από το 2011, το Glupteba είναι ένα backdoor που σταδιακά εξελίχθηκε σε botnet. Μέχρι το 2019 περιλάμβανε έναν μηχανισμό ενημέρωσης διευθύνσεων C&C μέσω δημόσιων λιστών BitCoin, μια ολοκληρωμένη δυνατότητα κλοπής προγραμμάτων περιήγησης και ένα πρόγραμμα εκμετάλλευσης δρομολογητών.
Jocker– Το Jocker είναι ένα κακόβουλο λογισμικό για Android, το οποίο διαδίδεται στο επίσημο Google Play Store με τη μεταμφίεση πολλών διαφορετικών ψευδών εφαρμογών. Το Joker προσπαθεί να εγγράψει τους χρήστες σε επί πληρωμή υπηρεσίες και μπορεί να δει τα μηνύματα κειμένου του θύματος, γεγονός που του δίνει τη δυνατότητα να εγγράψει το θύμα σε διάφορες ανεπιθύμητες υπηρεσίες χρησιμοποιώντας τον κωδικό επιβεβαίωσης που λαμβάνει μέσω SMS.
Lokibot– Το LokiBot εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2016 και είναι ένας infostealer με εκδόσεις τόσο για τα Windows όσο και για το Android OS. Συλλέγει διαπιστευτήρια από διάφορες εφαρμογές, προγράμματα περιήγησης στο διαδίκτυο, προγράμματα ηλεκτρονικού ταχυδρομείου, εργαλεία διαχείρισης IT όπως το PuTTY και άλλα. Το LokiBot πωλείται σε φόρουμ hacking και πιστεύεται ότι ο πηγαίος κώδικάς του διέρρευσε, επιτρέποντας έτσι την εμφάνιση πολυάριθμων παραλλαγών. Από τα τέλη του 2017, ορισμένες εκδόσεις του LokiBot για Android περιλαμβάνουν λειτουργικότητα ransomware εκτός από τις δυνατότητες κλοπής πληροφοριών.
Mobok– Το Mobok είναι ένα backdoor Trojan, που εξαπλώνεται μέσω εφαρμογών επεξεργασίας φωτογραφιών στο Google Play Store. Μόλις ο χρήστης κατεβάσει την εφαρμογή και επιβεβαιώσει ότι δίνει άδεια για τις πληροφορίες της συσκευής, ο επιτιθέμενος εγγράφει το θύμα σε ψεύτικες επί πληρωμή υπηρεσίες που έχουν δημιουργήσει οι επιτιθέμενοι.
Masslogger- Το Masslogger είναι ένα infostealer .NET. Αυτή η απειλή είναι ένα εργαλείο αναγνώρισης που μπορεί να χρησιμοποιηθεί για την απόσπαση δεδομένων από στοχευμένους κεντρικούς υπολογιστές.
Nanocore– Το NanoCore είναι ένα Trojan απομακρυσμένης πρόσβασης, το οποίο παρατηρήθηκε για πρώτη φορά στη φύση το 2013 και στοχεύει σε χρήστες του λειτουργικού συστήματος Windows. Όλες οι εκδόσεις του RAT διαθέτουν βασικά πρόσθετα και λειτουργίες, όπως καταγραφή οθόνης, εξόρυξη κρυπτογραφικού νομίσματος, απομακρυσμένο έλεγχο της επιφάνειας εργασίας και κλοπή συνεδρίας webcam.
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point Software, βασίζονται στο ThreatCloud intelligence της; Εταιρείας, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.
Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Ιούνιο βρίσκεται στο ιστότοπο της Check Point εδώ