Η Check Point Research αναφέρει ότι το Trickbot είναι το πιο διαδεδομένο κακόβουλο λογισμικό για τρίτο συνεχόμενο μήνα, ενώ το Snake Keylogger εισέρχεται στη λίστα  για πρώτη φορά καταλαμβάνοντας τη δεύτερη θέση.

Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd. (NASDAQ: CHKP), μια εκ των κορυφαίων παρόχων λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Ιούλιο του 2021. Οι ερευνητές αναφέρουν ότι ενώ το Trickbot εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό, το Snake Keylogger, το οποίο εντοπίστηκε για πρώτη φορά τον Νοέμβριο του 2020, έχει εκτοξευθεί στη δεύτερη θέση μετά από μια έντονη εκστρατεία phishing.

Το Snake Keylogger είναι ένα modular .NET keylogger και στοχεύει στην υποκλοπή των διαπιστευτηρίων. Η κύρια λειτουργία του είναι να καταγράφει τις πληκτρολογήσεις των χρηστών σε υπολογιστές ή κινητές συσκευές και να μεταδίδει τα δεδομένα που συλλέγονται σε χάκερς. Τις τελευταίες εβδομάδες, το Snake αναπτύσσεται γρήγορα μέσω ηλεκτρονικών μηνυμάτων phishing με διαφορετική θεματολογία σε όλες τις χώρες και τους επιχειρηματικούς τομείς. 

Οι μολύνσεις από το Snake αποτελούν σημαντική απειλή για την ιδιωτικότητα και την ασφάλεια των χρηστών στο διαδίκτυο, καθώς το κακόβουλο λογισμικό μπορεί να κλέψει σχεδόν όλα τα είδη ευαίσθητων πληροφοριών και είναι ένα κακόβουλο και επίμονο keylogger. Αυτή τη στιγμή υπάρχουν παράνομα φόρουμ hacking όπου το Snake Keylogger είναι διαθέσιμο προς αγορά, και το κόστος απόκρισης  κυμαίνεται από 25 έως 500 δολάρια, ανάλογα με το επίπεδο των προσφερόμενων υπηρεσιών.

Οι επιθέσεις με keylogger μπορεί να είναι ιδιαίτερα επικίνδυνες επειδή τα άτομα τείνουν να χρησιμοποιούν τον ίδιο κωδικό πρόσβασης και το ίδιο όνομα χρήστη για διαφορετικούς λογαριασμούς και μόλις παραβιαστεί ένα διαπιστευτήριο σύνδεσης, τότε ο χάκερ αποκτά πρόσβαση σε όλους τους λογαριασμούς που έχουν τον ίδιο κωδικό πρόσβασης. Για να τους σταματήσετε, είναι απαραίτητο να χρησιμοποιείτε έναν μοναδικό κωδικό για κάθε ένα από τα διαφορετικά προφίλ. Για να γίνει αυτό πρέπει να γίνεται χρήση ενός συστήματος διαχείρισης κωδικών πρόσβασης, ο οποίος επιτρέπει τόσο τη διαχείριση όσο και τη δημιουργία διαφορετικών ισχυρών συνδυασμών κωδικών πρόσβασης για κάθε υπηρεσία με βάση τις κατευθυντήριες γραμμές που έχουν σχεδιαστεί.

“Όπου είναι δυνατόν, οι χρήστες θα πρέπει να μειώσουν την εξάρτηση μόνο από τους κωδικούς πρόσβασης, για παράδειγμα εφαρμόζοντας τεχνολογίες ελέγχου ταυτότητας πολλαπλών παραγόντων (Multi-Factor Authentication – MFA) ή Single-Sign on (SSO)”, δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software. “Επίσης, όσον αφορά τις πολιτικές κωδικών πρόσβασης, η επιλογή ενός ισχυρού, μοναδικού κωδικού πρόσβασης για κάθε υπηρεσία είναι η καλύτερη συμβουλή, τότε ακόμη και αν οι χάκερς πάρουν στα χέρια τους έναν από τους κωδικούς σας, δεν θα τους δώσει αμέσως πρόσβαση σε πολλούς ιστότοπους και υπηρεσίες. Τα Keyloggers όπως το Snake, διανέμονται συχνά μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ηλεκτρονικού “ψαρέματος”, οπότε είναι σημαντικό οι χρήστες να γνωρίζουν να προσέχουν μικρές ασυμφωνίες, όπως ορθογραφικά λάθη σε συνδέσμους και διευθύνσεις ηλεκτρονικού ταχυδρομείου, και να εκπαιδεύονται ώστε να μην κάνουν ποτέ κλικ σε ύποπτους συνδέσμους ή να μην ανοίγουν άγνωστα συνημμένα αρχεία”.

Η CPR αποκάλυψε επίσης αυτό το μήνα ότι το ” Web Server Exposed Git Repository Information Disclosure ” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 45% των οργανισμών παγκοσμίως, ακολουθούμενη από  ” HTTP Headers Remote Code Execution” που επηρεάζει το 44% των οργανισμών παγκοσμίως. Η “MVPower DVR Remote Code Execution” καταλαμβάνει την τρίτη θέση στη λίστα με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 42%.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού   

*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

Αυτόν τον μήνα, το Trickbot είναι το πιο δημοφιλές κακόβουλο λογισμικό που επηρεάζει το 4% των οργανισμών παγκοσμίως, ακολουθούμενο από τα Snake Keylogger και XMRig, το καθένα με παγκόσμιο αντίκτυπο 3%.

  1.   Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
  1. Snake -Το Snake είναι ένα modular .NET keylogger και ένα πρόγραμμα κλοπής διαπιστευτηρίων που εντοπίστηκε για πρώτη φορά στα τέλη Νοεμβρίου του 2020.Η κύρια λειτουργία του είναι να καταγράφει τις πληκτρολογήσεις των χρηστών και να διαβιβάζει τα δεδομένα που συλλέγονται σε χακερς.
  1. XMRig- Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.

  

Αυτόν τον μήνα, η ευπάθεια ” Web Server Exposed Git Repository Information Disclosure ” είναι η πιο συχνά εκμεταλλευόμενη, επηρεάζοντας το 45% των οργανισμών παγκοσμίως, ακολουθούμενη από την ” HTTP Headers Remote Code Execution ” που επηρεάζει το 44% των οργανισμών παγκοσμίως. Η ““MVPower DVR Remote Code Execution ” βρίσκεται στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 42%.

  1. 1.     Web Server Exposed Git Repository Information Disclosure – Έχει αναφερθεί μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
  2.   HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Συγκεκριμένα πεδία στους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.
  3.   MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας από απόσταση επιτιθέμενος μπορεί να εκμεταλλευτεί αυτή την αδυναμία και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές

Αυτόν τον μήνα το xHelper καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από τα AlienBot και Hiddad.

 

  1. xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
  2. AlienBot – Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα, ως πρώτο βήμα, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
  3. Hiddad- Το Hiddad είναι ένα κακόβουλο λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα άλλων κατασκευαστών. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.

Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Ιούλιο είναι:

Snake Keylogger- Το Snake είναι ένα modular .NET keylogger και ένα πρόγραμμα κλοπής διαπιστευτηρίων που εντοπίστηκε για πρώτη φορά στα τέλη Νοεμβρίου του 2020.Η κύρια λειτουργία του είναι να καταγράφει τις πληκτρολογήσεις των χρηστών και να διαβιβάζει τα δεδομένα που συλλέγονται στους φορείς απειλών. Οι μολύνσεις από το Snake συνιστούν σημαντική απειλή για την ιδιωτικότητα και την ασφάλεια των χρηστών στο διαδίκτυο, καθώς το κακόβουλο λογισμικό μπορεί να κλέψει σχεδόν όλα τα είδη ευαίσθητων πληροφοριών και είναι ένα ιδιαίτερα επιφυλακτικό και επίμονο keylogger.

Revil- Το REvil είναι ένα Ransomware-as-a-service που λειτουργεί ένα πρόγραμμα ” affiliates ” και εντοπίστηκε για πρώτη φορά το 2019. Το REvil κρυπτογραφεί τα δεδομένα στον κατάλογο του χρήστη και διαγράφει τα αντίγραφα ασφαλείας shadow copy, προκειμένου να κάνει πιο δύσκολη την ανάκτηση δεδομένων. Επιπλέον, οι συνεργάτες του REvil χρησιμοποιούν διάφορες τακτικές για τη διάδοσή του – μέσω spam και exploits σε διακομιστές, καθώς και hacking σε backends παρόχων διαχειριζόμενων υπηρεσιών (MSP), και μέσω κακόβουλων διαφημιστικών εκστρατειών που ανακατευθύνουν στο RIG exploit kit.

FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.

Trickbot – Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.

AveMaria- Το κακόβουλο λογισμικό AveMaria είναι ένα RAT (Remote Access Trojan). Αυτό το RAT επιτρέπει στους χάκερς να ελέγχουν το μηχάνημα του θύματος και να κλέβουν πληροφορίες από τα μολυσμένα μηχανήματα.

Qbot- Το Qbot AKA Qakbot είναι banking Trojan που πρωτοεμφανίστηκε το 2008, σχεδιασμένο για να κλέβει τα τραπεζικά στοιχεία και τις πληκτρολογήσεις των χρηστών.Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίζει την ανάλυση και να αποφεύγει την ανίχνευση.

Nanocore- Το NanoCore είναι ένα Trojan απομακρυσμένης πρόσβασης, το οποίο παρατηρήθηκε για πρώτη φορά  το 2013 και στοχεύει σε χρήστες του λειτουργικού συστήματος Windows. Όλες οι εκδόσεις του RAT διαθέτουν λειτουργίες όπως , καταγραφή οθόνης, εξόρυξη crypto currency, απομακρυσμένο έλεγχο της επιφάνειας εργασίας κλπ.

Scrinject– Το Scrinject είναι ένα Trojan, που δίνει στους επιτιθέμενους απομακρυσμένη πρόσβαση στο μολυσμένο σύστημα.

Jocker– Το Jocker είναι ένα κακόβουλο λογισμικό για Android, το οποίο διαδίδεται στο επίσημο Google Play Store με τη μεταμφίεση πολλών διαφορετικών ψευδών εφαρμογών. Το Joker προσπαθεί να εγγράψει τους χρήστες σε επί πληρωμή υπηρεσίες και μπορεί να δει τα μηνύματα κειμένου του θύματος, γεγονός που του δίνει τη δυνατότητα να εγγράψει το θύμα σε διάφορες ανεπιθύμητες υπηρεσίες χρησιμοποιώντας τον κωδικό επιβεβαίωσης που λαμβάνει μέσω SMS.

xHelper – Μια κακόβουλη εφαρμογή που παρατηρείται  από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και να επανεγκαθίσταται σε περίπτωση που έχει απεγκατασταθεί.

Lokibot– Το LokiBot εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2016 και είναι ένας infostealer με εκδόσεις τόσο για τα Windows όσο και για το Android OS. Συλλέγει διαπιστευτήρια από διάφορες εφαρμογές, προγράμματα περιήγησης στο διαδίκτυο, προγράμματα ηλεκτρονικού ταχυδρομείου, εργαλεία διαχείρισης IT όπως το PuTTY και άλλα. Το LokiBot πωλείται σε φόρουμ hacking και πιστεύεται ότι ο πηγαίος κώδικάς του διέρρευσε, επιτρέποντας έτσι την εμφάνιση πολυάριθμων παραλλαγών. Από τα τέλη του 2017, ορισμένες εκδόσεις του LokiBot για Android περιλαμβάνουν λειτουργικότητα ransomware εκτός από τις δυνατότητες κλοπής πληροφοριών.

Vidar- Το Vidar είναι ένα infolstealer που στοχεύει λειτουργικά συστήματα Windows. Για πρώτη φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού  που κατεβάζει το GandCrab ransomware ως δευτερεύον ωφέλιμο φορτίο του.

Τα top 10 ανα χώρα

Malware

Παγκόσμιος αντίκτυπος

Ελλάδα

Snake Keylogger

3.05%

8.28%

REvil

1.38%

6.75%

Formbook

2.90%

4.91%

Trickbot

4.09%

4.60%

AveMaria

0.74%

3.68%

Qbot

1.42%

3.07%

Nanocore

1.02%

3.07%

Scrinject

0.40%

3.07%

Joker

0.11%

3.07%

xHelper

1.07%

2.76%

Lokibot

0.89%

2.76%

Vidar

0.94%

2.76%

Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point Software, βασίζονται στο ThreatCloud intelligence της; Εταιρείας, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.

Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Ιούνιο βρίσκεται στο ιστότοπο της Check Point blog.