Η Check Point Research αναφέρει ότι το trojan Dridex, το οποίο χρησιμοποιείται συχνά στα αρχικά στάδια των επιθέσεων ransomware, είναι το πιο διαδεδομένο κακόβουλο λογισμικό για δεύτερο συνεχόμενο μήνα.

Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd. (NASDAQ: CHKP), μια εκ των κορυφαίων παρόχων λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Απρίλιο του 2021. Οι ερευνητές αναφέρουν ότι για πρώτη φορά, το AgentTesla κατέλαβε τη δεύτερη θέση στον Δείκτη, ενώ το καθιερωμένο trojan Dridex εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό, έχοντας ανέβει στην πρώτη θέση τον Μάρτιο.

Αυτόν τον μήνα, το Dridex, ένα Trojan που στοχεύει στην πλατφόρμα των Windows, εξαπλώθηκε μέσω της καμπάνιας QuickBooks Malspam. Τα ηλεκτρονικά μηνύματα phishing χρησιμοποιούσαν το branding του QuickBooks και προσπαθούσαν να δελεάσουν τον χρήστη με ψεύτικες ειδοποιήσεις πληρωμής και τιμολόγια. Το περιεχόμενο του email ζητούσε να κατεβάσει ένα κακόβουλο συνημμένο αρχείο του Microsoft Excel που θα μπορούσε να προκαλέσει τη μόλυνση του συστήματος με το Dridex.

Αυτό το κακόβουλο λογισμικό χρησιμοποιείται συχνά ως το αρχικό στάδιο μόλυνσης σε επιθέσεις ransomware, όπου οι hackers κρυπτογραφούν τα δεδομένα ενός οργανισμού και ζητούν λύτρα για να τα αποκρυπτογραφήσουν. Όλο και περισσότερο, αυτοί οι hackers χρησιμοποιούν μεθόδους διπλού εκβιασμού, όπου θα κλέψουν ευαίσθητα δεδομένα από έναν οργανισμό και θα απειλήσουν ότι θα τα δημοσιοποιήσουν αν δεν γίνει πληρωμή. Η CPR ανέφερε τον Μάρτιο ότι οι επιθέσεις ransomware είχαν σημειώσει αύξηση 57% στις αρχές του 2021, αλλά η τάση αυτή συνεχίζει να κορυφώνεται και έχει ολοκληρώσει αύξηση 107% από την αντίστοιχη περίοδο πέρυσι. Πιο πρόσφατα, η Colonial Pipeline, μια μεγάλη αμερικανική εταιρεία καυσίμων, έπεσε θύμα μιας τέτοιας επίθεσης και το 2020, εκτιμάται ότι το ransomware κόστισε στις επιχειρήσεις παγκοσμίως περίπου 20 δισεκατομμύρια δολάρια – ποσό που είναι σχεδόν 75% υψηλότερο από ό,τι το 2019.

Για πρώτη φορά, το AgentTesla κατέλαβε τη 2η θέση στη λίστα με τα κορυφαία κακόβουλα προγράμματα. Το AgentTesla είναι ένα προηγμένο RAT (remote access Trojan) που είναι ενεργό από το 2014 και λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης. Αυτό το RAT μπορεί να παρακολουθεί και συλλέγει τα στοιχεία που πληκτρολογεί ο χρήστης, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να εξαγάγει τα διαπιστευτήρια που εισάγονται για διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Αυτόν τον μήνα παρατηρείται αύξηση των εκστρατειών AgentTesla, οι οποίες εξαπλώνονται μέσω κακόβουλου μηνύματος. Το περιεχόμενο του ηλεκτρονικού ταχυδρομείου ζητάει να κατεβάσετε ένα αρχείο (μπορεί να είναι οποιουδήποτε τύπου αρχείο), το οποίο μπορεί να προκαλέσει τη μόλυνση του συστήματος με το Agent Tesla.

” Ενώ παρατηρούμε μια τεράστια αύξηση των επιθέσεων ransomware παγκοσμίως, δεν αποτελεί έκπληξη το γεγονός ότι το κορυφαίο κακόβουλο λογισμικό αυτού του μήνα σχετίζεται με την τάση αυτή. Κατά μέσο όρο κάθε 10 δευτερόλεπτα παγκοσμίως, ένας οργανισμός γίνεται θύμα ransomware,” δήλωσε η Maya Horowitz, Director, Threat Intelligence & Research, Products της Check Point. ” Πρόσφατα υπήρξαν εκκλήσεις προς τις κυβερνήσεις να προστατευθούν ακόμη περισσότερο από αυτή την αυξανόμενη απειλή, η οποία όμως δεν δείχνει σημάδια επιβράδυνσης. Όλοι οι οργανισμοί πρέπει να γνωρίζουν τους κινδύνους και να διασφαλίζουν ότι υπάρχουν επαρκείς λύσεις κατά του ransomware. Η ολοκληρωμένη εκπαίδευση όλων των εργαζομένων είναι επίσης ζωτικής σημασίας, ώστε να είναι εφοδιασμένοι με τις δεξιότητες που απαιτούνται για τον εντοπισμό των τύπων κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου που διαδίδουν το Dridex και άλλα κακόβουλα προγράμματα, καθώς με αυτόν τον τρόπο ξεκινούν πολλά ransomware exploits”.

Η CPR αποκάλυψε επίσης ότι η “Web Server Exposed Git Repository Information Disclosure” είναι η πιο συνηθισμένη ευπάθεια που αξιοποιείται, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη από την “HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει το 45,5% των οργανισμών παγκοσμίως. Η “MVPower DVR Remote Code Execution” κατατάσσεται στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 44%.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού   

*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

Αυτόν τον μήνα, το Dridex εξακολουθεί να είναι το πιο δημοφιλές κακόβουλο λογισμικό με το παγκόσμιο αντίκτυπο να φτάνει στο 15% των οργανισμών, ακολουθεί το Agent Tesla με 12% και το Trickbot με 8% .

  1.   Dridex – Το Dridex είναι ένα Trojan που στοχεύει στην πλατφόρμα των Windows και σύμφωνα με πληροφορίες κατεβαίνει μέσω ενός συνημμένου spam στην ηλεκτρονική αλληλογραφία. Το Dridex επικοινωνεί με έναν απομακρυσμένο διακομιστή και στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα. Μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετες ενότητες που λαμβάνει από τον απομακρυσμένο διακομιστή.
  2. Agent Tesla – Το Agent Tesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και information stealer, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει πληροφορίες που πληκτρολογεί ο χρήστης  ενώ ακόμη  υποκλέπτει  στιγμιότυπα οθόνης ώστε να αποκτά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στον υπολογιστή του θύματος, όπως το Google Chrome, το Mozilla Firefox και το πρόγραμμα ηλεκτρονικού ταχυδρομείου Microsoft Outlook.
  3. Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.

Οι πιο εκμεταλλεύσιμες ευπάθειες   

Αυτόν τον μήνα η ευπείθεια “ Web Server Exposed Git Repository Information Disclosure ” είναι η πιο συχνά εκμεταλλευόμενη, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη από την “ HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει το 45,5% των οργανισμών παγκοσμίως. Η “ MVPower DVR Remote Code Execution ” καταλαμβάνει την τρίτη θέση στη λίστα με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 44%.

  1. Web Server Exposed Git Repository Information Disclosure – έχει αναφερθεί ευπάθεια αποκάλυψης πληροφοριών στο Git. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών του λογαριασμού.

2.       HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Συγκεκριμένα πεδία στους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.

3.       MVPower DVR Remote Code ExecutionΣτις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτή την αδυναμία και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές

Αυτόν τον μήνα το xHelper καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από τα Triada και Hiddad.

  1. xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
  1. Triada – Modular Backdoor για Android που παρέχει προνόμια υπερ-χρήστη σε κακόβουλο λογισμικό που έχει μεταφορτωθεί.
  1. Hiddad – Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.

Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Απρίλιο είναι:

  1. AgentteslaΤο AgentTesla είναι ένα προηγμένο RAT (remote access Trojan) που λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει όσα πληκτρολογεί ο χρήστης, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια που εισάγονται για σε διάφορους τύπους λογισμικού που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν $15 – $69 για άδειες χρήσης.
  1. Dridex – Το Dridex είναι ένα Banking Trojan που στοχεύει την πλατφόρμα των Windows μέσω ανεπιθύμητης αλληλογραφίας και Exploit Kits, το οποίο βασίζεται σε WebInjects για να παρακολουθεί και να ανακατευθύνει τραπεζικά διαπιστευτήρια σε διακομιστή που ελέγχεται από τους εισβολείς. Το Dridex έρχεται σε επαφή με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.
  1. FormBook – Το FormBook εντοπίστηκε για πρώτη φορά το 2016 και είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα Windows. Το FormBook συλλέγει διαπιστευτήρια από διάφορους περιηγητές ιστού, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
  1. Trickbot – Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.
  1. Joker– Το Joker Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό εγγράφει στο θύμα κρυφά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.
  1. XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
  1. Remcos– Το Remcos είναι ένας RAT που εμφανίστηκε για πρώτη φορά το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windowss και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.
  1. Triada -Το Triada είναι ένα modular backdoor για το Android, το οποίο παρέχει προνόμια υπερ-χρήστη για τη λήψη κακόβουλου λογισμικού. Το Triada έχει επίσης παρατηρηθεί να παραποιεί URL που φορτώνονται στο πρόγραμμα περιήγησης.
  1. Danabot -Το Danabot είναι ένα Trickler που στοχεύει στην πλατφόρμα των Windows. Το κακόβουλο λογισμικό στέλνει πληροφορίες στον διακομιστή ελέγχου του και κατεβάζει και αποκρυπτογραφεί ένα αρχείο για να εκτελεστεί στον μολυσμένο υπολογιστή. Επιπλέον, το κακόβουλο λογισμικό δημιουργεί μια συντόμευση στο φάκελο εκκίνησης του χρήστη για να επιτύχει την παραμονή του στο μολυσμένο σύστημα.
  1. xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.

 

Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.

Στον σύνδεσμο εδώ μπορείτε να βρείτε την πλήρη λίστα.

Ακολουθήστε την Check Point Research:

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_