Η Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίος πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε το Global Threat Index για τον Ιούλιο του 2023. Οι ερευνητές ανακάλυψαν ότι το Remcos μετακινήθηκε στην τρίτη θέση, αφού τον περασμένο μήνα οι δράστες δημιούργησαν ψεύτικους ιστότοπους για να διαδώσουν κακόβουλους downloaders που μεταφέρουν το RAT. Εν τω μεταξύ, το mobile banking Trojan Anubis εκτόπισε το σχετικά νεοεισερχόμενο SpinOk από την πρώτη θέση της λίστας κακόβουλου λογισμικού για κινητά, ενώ η Εκπαίδευση/Ερευνα ήταν ο κλάδος που επηρεάστηκε περισσότερο.
Το Remcos είναι ένα RAT που πρωτοεμφανίστηκε το 2016 και διανέμεται τακτικά μέσω κακόβουλων εγγράφων ή προγραμμάτων λήψης της Microsoft. Πιο πρόσφατα παρατηρήθηκε σε μια εκστρατεία που αφορούσε το κακόβουλο πρόγραμμα λήψης Fruity. Ο στόχος ήταν να δελεάσει τα θύματα να κατεβάσουν το πρόγραμμα λήψης Fruity, το οποίο καταλήγει στην εγκατάσταση διαφόρων RATs όπως το Remcos, το οποίο είναι γνωστό για την ικανότητά του να αποκτά απομακρυσμένη πρόσβαση στο σύστημα του θύματος, να κλέβει ευαίσθητες πληροφορίες και διαπιστευτήρια και να διεξάγει κακόβουλες δραστηριότητες στον υπολογιστή του χρήστη.
“Αυτή η εποχή του χρόνου είναι ιδανική για τους εγκληματίες του κυβερνοχώρου. Ενώ πολλοί εκμεταλλεύονται την περίοδο των διακοπών, οι οργανισμοί λόγω των αδειών προσωπικού και τις όποιες μεταβολές σε αυτό, είναι περισσότερο εκτεθειμένοι σε θέματα που θα μπορούσαν να επηρεάσει την ικανότητά τους να παρακολουθούν τις απειλές και να ελαχιστοποιούν τον κίνδυνο”, δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software. “Η εισαγωγή αυτοματοποιημένων και ενοποιημένων διαδικασιών ασφαλείας μπορεί να βοηθήσει τις επιχειρήσεις να διατηρήσουν τις καλές πρακτικές κατά τη διάρκεια των περιόδων των διακοπών, παράλληλα με τη σωστή εκπαίδευση των χρηστών”.
Η CPR αποκάλυψε επίσης ότι η ευπάθεια “Web Servers Malicious URL Directory Traversal” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 49% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Apache Log4j Remote Code Execution” με 45% και την “HTTP Headers Remote Code Execution” με παγκόσμιο αντίκτυπο 42%.
Κορυφαίες οικογένειες κακόβουλου λογισμικού
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Το Qbot ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον προηγούμενο μήνα με αντίκτυπο 5% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Formbook με παγκόσμιο αντίκτυπο 4% και το Remcos με παγκόσμιο αντίκτυπο 2%.
- ↔ Qbot – Το Qbot AKA Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα διαπιστευτήρια ενός χρήστη, να καταγράφει τις πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκοπεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email και χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση. Από το 2022 έχει αναδειχθεί σε ένα από τα πιο διαδεδομένα Trojans.
- ↔ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε underground hacking φόρουμ για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
- ↑ Remcos – Το Remcos είναι ένα RAT που πρωτοεμφανίστηκε το 2016. Διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office, τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM, και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windows και να εκτελεί κακόβουλο λογισμικό με προνόμια υψηλού επιπέδου.
Οι Κλάδοι με τις Κορυφαίες Επιθέσεις Παγκοσμίως
Τον περασμένο μήνα, η εκπαίδευση/έρευνα παρέμεινε στην πρώτη θέση ως ο κλάδος με τον μεγαλύτερο αριθμό επιθέσεων παγκοσμίως, ακολουθούμενος από την κυβέρνηση/στρατό και την υγειονομική περίθαλψη.
- εκπαίδευση/έρευνα
- κυβέρνηση/στρατό
- υγειονομική περίθαλψη
Τα κορυφαία τρωτά σημεία που έχουν γίνει αντικείμενο εκμετάλλευσης
Τον περασμένο μήνα, η ευπάθεια “Web Servers Malicious URL Directory Traversal” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 49% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Apache Log4j Remote Code Execution” με 45% και την “HTTP Headers Remote Code Execution” με παγκόσμιο αντίκτυπο 42%.
- ↔ Web Servers Malicious URL Directory Traversal – Υπάρχει μια ευπάθεια παράκαμψης φακέλων σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διέλευσης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
- ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υπάρχει στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Οι Headers HTTP επιτρέπουν στον client και τον server να διαβιβάζουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Τα κορυφαία κακόβουλα προγράμματα για κινητά
Τον περασμένο μήνα το Anubis κατέλαβε την πρώτη θέση στο πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από το SpinOk και το AhMyth.
- Anubis – Το Anubis είναι ένα κακόβουλο τραπεζικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορα ransomware χαρακτηριστικά. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- SpinOk – Το SpinOk είναι ένα λογισμικό Android που λειτουργεί ως λογισμικό κατασκοπείας. Συλλέγει πληροφορίες σχετικά με τα αρχεία που είναι αποθηκευμένα σε συσκευές και είναι σε θέση να τις μεταφέρει σε κακόβουλους φορείς απειλών. Το κακόβουλο module βρέθηκε να υπάρχει σε περισσότερες από 100 εφαρμογές Android και να έχει μεταφορτωθεί περισσότερες από 421.000.000 φορές μέχρι τον Μάιο του 2023.
- AhMyth –Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
Οικογένεια κακόβουλου λογισμικού | Επιπτώσεις στη Ελλάδα | Παγκόσμιος αντίκτυπος |
Emotet | 11.21% | 2.03% |
Qbot | 8.19% | 5.34% |
Nanocore | 3.02% | 1.61% |
Remcos | 2.59% | 2.21% |
Injuke | 1.72% | 0.87% |
6c33zXSh | 1.72% | 0.38% |
6c33nXuG | 1.51% | 0.33% |
Pony | 1.29% | 0.37% |
ViperSoftx | 1.29% | 0.06% |
Cryptonite | 1.29% | 0.51% |
Ο Παγκόσμιος Δείκτης Επιπτώσεων Απειλών της Check Point και ο Χάρτης ThreatCloud της τροφοδοτούνται από την τεχνολογία ThreatCloud της Check Point. Το ThreatCloud παρέχει πληροφορίες για απειλές σε πραγματικό χρόνο που προέρχονται από εκατοντάδες εκατομμύρια σένσορες σε όλο τον κόσμο, σε δίκτυα, τερματικά σημεία και κινητά τηλέφωνα. Η υπηρεσία πληροφοριών εμπλουτίζεται με μηχανές βασισμένες στην Τεχνητή Νοημοσύνη και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, τον τομέα πληροφοριών και έρευνας της Check Point Software Technologies.
Ο πλήρης κατάλογος των δέκα κορυφαίων οικογενειών κακόβουλου λογισμικού τον Ιούλιο βρίσκεται στο ιστολόγιο της Check Point.