Η Check Point Research (CPR), το τμήμα Threat Intelligence της Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίου πάροχου λύσεων ασφάλειας στον κυβερνοχώρο παγκοσμίως, δημοσίευσε το τελευταίο Global Threat Index για τον Ιούλιο του 2022. Η CPR αναφέρει ότι το Emotet παραμένει το πιο διαδεδομένο κακόβουλο λογισμικό, παρά την κατά 50% μείωση της παγκόσμιας επίδρασής του σε σύγκριση με τον προηγούμενο μήνα.
Σε συνέχεια της κορύφωσης του παγκόσμιου αντίκτυπου που παρουσίασε τον περασμένο μήνα, το Emotet έχει επιστρέψει στα προηγούμενα νούμερα του παγκοσμίως και παραμένει το πιο διαδεδομένο κακόβουλο λογισμικό. Ενδεχομένως η κορύφωση να έληξε λόγω των καλοκαιρινών διακοπών, όπως είχε παρατηρηθεί και στο παρελθόν. Παρ’ όλα αυτά, ανακαλύπτονται συνεχώς νέα χαρακτηριστικά και βελτιώσεις στις δυνατότητες του, όπως η δυνατότητα κλοπής πιστωτικών καρτών που αναπτύχθηκε πρόσφατα και οι προσαρμογές που πραγματοποιήθηκαν στα συστήματα διάδοσής του.
Τον Ιούλιο το Snake Keylogger, ένα πρόγραμμα κλοπής διαπιστευτηρίων, έπεσε από την τρίτη στην όγδοη θέση. Τον Ιούνιο, το Snake Keylogger διαδιδόταν μέσω κακόβουλων εγγράφων του Word, οπότε η πτώση αυτή θα μπορούσε να οφείλεται εν μέρει στην πρόσφατη επιβεβαίωση της Microsoft, ότι θα μπλοκάρει τις μακροεντολές από προεπιλογή. Αντικαταστάτης του στην τρίτη θέση είναι το XMRig, ένα λογισμικό CPU ανοιχτού κώδικα που χρησιμοποιείται για την εξόρυξη κρυπτονομισμάτων. Η άνοδος αυτή επικυρώνει την άποψη πως οι εγκληματίες του κυβερνοχώρου έχουν ως βασικό στόχο τα χρήματα, παρά τα όποια ανώτερα κίνητρα μπορεί να ισχυρίζονται όπως ο χακτιβισμός. Το Malibot, το οποίο ήταν νέα είσοδος στη λίστα τον περασμένο μήνα, παραμένει ως απειλή για τους χρήστες του mobile banking, καθώς εξακολουθεί να είναι το τρίτο πιο διαδεδομένο κακόβουλο λογισμικό για κινητά παγκοσμίως.
“Το Emotet συνεχίζει να κυριαρχεί στα μηνιαία top malware charts μας”, δήλωσε η Maya Horowitz, VP Research της Check Point Software. “Αυτό το botnet εξελίσσεται συνεχώς ώστε να παραμένει ανθεκτικό και να εξακολουθεί να διαφεύγει. Η πρόσφατη ανάπτυξή του περιλαμβάνει ένα module κλοπής πιστωτικών καρτών, γεγονός που τονίζει την ανάγκη επιχειρήσεις και οι ιδιώτες να είναι ιδιαίτερα προσεκτικοί όταν πραγματοποιούν οποιεσδήποτε διαδικτυακές αγορές. Επιπλέον, με τη Microsoft να επιβεβαιώνει τώρα ότι θα μπλοκάρει τις μακροεντολές από προεπιλογή, περιμένουμε να δούμε πώς κακόβουλα προγράμματα, όπως το Snake Keylogger, μπορεί να αλλάξουν την τακτική τους”.
Η CPR αποκάλυψε επίσης ότι αυτό το μήνα το ” Web Server Exposed Git Repository Information Disclosure” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 42% των οργανισμών παγκοσμίως, ακολουθούμενη στενά από την ” Apache Log4j Remote Code Execution” με αντίκτυπο 41%. Η “Web Servers Malicious URL Directory Traversal” παρέμεινε στην τρίτη θέση, με παγκόσμιο αντίκτυπο 39%.
Κορυφαίες οικογένειες κακόβουλου λογισμικού
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.Το Emotet εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό με παγκόσμιο αντίκτυπο 7%. Aκολουθεί το Formbook που επηρεάζει το 3% των οργανισμών παγκοσμίως και στη συνέχεια το XMRig, με παγκόσμιο αντίκτυπο 2%.
- ↔ Emotet – εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμει άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
- ↔ Formbook – ένα infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται σε παράνομα hacking forums ως Malware-as-a-Service (MaaS), για τις ισχυρές τεχνικές αποφυγής του και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει screenshots, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.
- ↑ XMRig – ένα λογισμικό CPU mining ανοικτού κώδικα που χρησιμοποιείται για την εξόρυξη κρυπτονομισμάτων Monero. Οι δράστες συχνά κάνουν κατάχρηση αυτού του λογισμικού ανοιχτού κώδικα ενσωματώνοντάς το στο κακόβουλο λογισμικό τους για να διεξάγουν παράνομη εξόρυξη στις συσκευές των θυμάτων.
Η πλήρης λίστα με τις δέκα κορυφαίες οικογένειες κακόβουλου λογισμικού τον Ιούλιο βρίσκεται στο blog της Check Point.
Οι κλάδοι με τις περισσότερες επιθέσεις παγκοσμίως
Ο κλάδος εκπαίδευση/έρευνα εξακολουθεί να δέχεται τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τον κυβερνητικό/στρατιωτικό και τους παρόχους υπηρεσιών Διαδικτύου/ Managed Service Providers (ISP/MSP).
- Εκπαίδευση και έρευνα
- Κυβέρνηση/Στρατός
- ISP/MSP
Οι πλέον εκμεταλλεύσιμες ευπάθειες
Αυτό το μήνα το Web Server Exposed Git Repository Information Disclosure” είναι η πιο συχνά εκμεταλλεύσιμη ευπάθεια, επηρεάζοντας το 42% των οργανισμών παγκοσμίως. Ακολουθεί στενά η “Apache Log4j Remote Code Execution”, η οποία έπεσε από την πρώτη θέση στη δεύτερη με ελαφρώς μικρότερο αντίκτυπο 41%. Το “Web Servers Malicious URL Directory Traversal” παρέμεινε στην τρίτη θέση, με παγκόσμιο αντίκτυπο 39%.
- ↑ Web Server Exposed Git Repository Information Disclosure – Αναφέρθηκε μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
- ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υπάρχει στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει μια ευπάθεια παράκαμψης φακέλων σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επαλήθευσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά τη διεύθυνση URL για τα πρότυπα περιήγησης στο φάκελο. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
Τα κύρια κακόβουλα προγράμματα για κινητά
Το AlienBot είναι το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα Anubis και MaliBot.
- AlienBot –Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα, ως πρώτο βήμα, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
- Anubis – Το Anubis είναι ένα τραπεζικό Trojan σχεδιασμένο για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορα ransomware χαρακτηριστικά. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- MaliBot –Το Malibot είναι ένα κακόβουλο λογισμικό Android infostealer που έχει εντοπιστεί να στοχεύει χρήστες στην Ισπανία και την Ιταλία. Ο infostealer μεταμφιέζεται ως εφαρμογές εξόρυξης κρυπτογράφησης με διαφορετικά ονόματα και επικεντρώνεται στην κλοπή οικονομικών πληροφοριών, πορτοφολιών κρυπτογράφησης και περισσότερων προσωπικών δεδομένων.
Malware_Family_Name | Global Impact | Country Impact |
Emotet | 7.06% | 31.01% |
Formbook | 2.75% | 5.59% |
Ursnif | 0.45% | 4.75% |
SnakeKeylogger | 1.28% | 4.47% |
Ramnit | 1.71% | 4.19% |
Remcos | 1.66% | 3.63% |
AgentTesla | 1.33% | 3.07% |
Guloader | 0.52% | 2.51% |
XMRig | 1.71% | 2.51% |
Joker | 0.06% | 2.51% |
Τα Global Threat Impact Index και ThreatCloud Map της Check Point Software, βασίζονται στο ThreatCloud intelligence της εταιρείας, το οποίο παρέχει σε πραγματικό χρόνο, πληροφορίες για απειλές που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών τηλεφώνων. Το ThreatCloud intelligence εμπλουτίζεται με κινητήρες που βασίζονται σε AI και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, το τμήμα Intelligence & Έρευνας της Check Point Software Technologies.
Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Ιούλιο του 2022 βρίσκεται στο blog της Check Point.
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_