40.1 C
Athens
Τρίτη, 3 Αυγούστου, 2021

Το κακόβουλο λογισμικό Trickbot αναλαμβάνει δράση μετά τον τερματισμό του Emotet

Μπορεί το κακόβουλο λογισμικό Emotet να μας άφησε – ευτυχώς – χρόνους, αλλά δεν άργησε να βρεθεί ο διάδοχός του. Το trojan Trickbot έχει κατακτήσει την πρώτη θέση στον Παγκόσμιο Δείκτη Απειλών για τον Φεβρουάριο του 2021, από την τρίτη όπου βρισκόταν τον Ιανουάριο.

Μετά την κατάργηση του Emotet botnet τον Ιανουάριο, οι ερευνητές του Check Point αναφέρουν ότι οι κυβερνο-εγκληματικές ομάδες συνεχίζουν να χρησιμοποιούν άλλες κορυφαίες απειλές, με κακόβουλο λογισμικό, όπως το Trickbot.

Τον Φεβρουάριο, το Trickbot διανεμήθηκε μέσω μιας κακόβουλης καμπάνιας ανεπιθύμητης αλληλογραφίας που σχεδιάστηκε για να εξαπατήσει τους χρήστες σε νομικούς και ασφαλιστικούς τομείς, ώστε να κατεβάσουν ένα αρχείο .zip με κακόβουλο JavaScript αρχείο στους υπολογιστές τους. Μόλις ανοίξει αυτό το αρχείο, επιχειρεί να κατεβάσει ένα άλλο κακόβουλο ωφέλιμο φορτίο από έναν απομακρυσμένο διακομιστή.

Το Trickbot ήταν το 4ο πιο διαδεδομένο κακόβουλο λογισμικό παγκοσμίως το 2020, επηρεάζοντας το 8% των οργανισμών. Έπαιξε βασικό ρόλο σε μια από τις υψηλότερης σημασίας και κόστους  κυβερνοεπιθέσεις του 2020, οι οποίες έπληξαν την Universal Health Services (UHS). Ένας κορυφαίος πάροχος υγειονομικής περίθαλψης στις ΗΠΑ, η UHS επλήγη από το Ryuk ransomware και δήλωσε ότι η επίθεση κόστισε 67 εκατομμύρια δολάρια σε χαμένα έσοδα και κόστη. Το Trickbot χρησιμοποιήθηκε από τους εισβολείς για τον εντοπισμό και τη συλλογή δεδομένων από τα συστήματα της UHS και στη συνέχεια για την παράδοση του ωφέλιμου φορτίου ransomware.

Η Check Point Research προειδοποιεί επίσης ότι, το ” Web Server Exposed Git Repository Information Disclosure” είναι η πιο κοινώς εκμεταλλεύσιμη ευπάθεια που επηρεάζει το 48% των οργανισμών παγκοσμίως, ακολουθούμενη από το “HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει αντίστοιχα το 46%. Την τρίτη θέση στη λίστα με τις ευπάθειες κατέχει η “MVPower DVR Remote Code Execution” με συνολικό αντίκτυπο 45%.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού  

*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα

Αυτόν το μήνα, το Trickbot κατατάσσεται ως το πιο διαδεδομένο κακόβουλο λογισμικό, καθώς επηρεάζει το 3% των οργανισμών παγκοσμίως, ακολουθούν το XMRig και το Qbot, τα οποία επηρέασαν επίσης το 3% των οργανισμών παγκοσμίως αντίστοιχα.

↑ Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων
XMRig-Το XMRig είναι ένα λογισμικό ανοιχτού κώδικα το οποίο χρησιμοποιεί CPU για τη διαδικασία εξόρυξης του κρυπτονομίσματος Monero και πρωτοεμφανίστηκε για πρώτη φορά τον Μάιο του 2017.
↑ QbotΤο Qbot είναι τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials  και στοιχεία που πληκτρολογούν οι χρήστες. Συχνά διανέμεται μέσω spam email. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.

Οι πιο εκμεταλλεύσιμες ευπάθειες  

Αυτό το μήνα, το “Web Server Exposed Git Repository Information Disclosure” είναι η πιο κοινή εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 48% των οργανισμών παγκοσμίως, ακολουθούμενο από το “HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει το 46% των οργανισμών παγκοσμίως. Η “ MVPower DVR Remote Code Execution ” είναι η τρίτη θέση στη λίστα με τις ευπάθειες που εκμεταλλεύτηκαν, με συνολικό αντίκτυπο 45%.

↑ Web Server Exposed Git Repository Information Disclosure – ευπάθεια αποκάλυψης πληροφοριών που έχει αναφερθεί στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει μια ακούσια αποκάλυψη πληροφοριών λογαριασμού.

HTTP Headers Remote Code Execution (CVE-2020-13756) – Συγκεκριμένα πεδία σταους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.

MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτή την αδυναμία και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.

 

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές

Αυτό το μήνα, το Hiddad κατέχει την 1η θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα xHelper και Triada.

  1. Hiddad -Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.
  2. xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
  1. FurBall Το FurBall είναι ένα Android MRAT (Mobile Remote Access Trojan) το οποίο αναπτύσσεται από την APT-C-50, μια ιρανική ομάδα APT συνδεδεμένη με την ιρανική κυβέρνηση. Αυτό το κακόβουλο λογισμικό χρησιμοποιήθηκε σε πολλές καμπάνιες που χρονολογούνται από το 2017 και εξακολουθεί να είναι ενεργό σήμερα. Οι δυνατότητες του FurBall περιλαμβάνουν κλοπή μηνυμάτων SMS, αρχεία καταγραφής κλήσεων, εγγραφή surround, ηχογράφηση κλήσεων, συλλογή αρχείων πολυμέσων, παρακολούθηση τοποθεσίας και άλλα.
Agenttesla

 Το Agenttesla είναι ένα προηγμένο RAT (Remote Access Trojan) που αποσπά κωδικούς και στοιχεία κατά την πληκτρολόγηση. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει  στοιχεία από το θύμα την στιγμή που αυτό πληκτρολογεί, μπορεί επίσης να καταγράφει στιγμιότυπα από την οθόνη και διαπιστευτήρια εξακρίβωσης που έχουν εισαχθεί για πολλά προγράμματα λογισμικού που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν 15$ – 69$ για άδειες χρήσης.

Trickbot

Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.

Dridex

Το Dridex είναι ένα Banking Trojan που στοχεύει την πλατφόρμα των Windows μέσω  ανεπιθύμητης αλληλογραφίας και Exploit Kits, το οποίο βασίζεται σε WebInjects για να παρακολουθεί και να ανακατευθύνει τραπεζικά διαπιστευτήρια σε διακομιστή που ελέγχεται από τους εισβολείς. Το Dridex έρχεται σε επαφή με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.

FormBook

Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.

XMRig

Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.

Glupteba

Γνωστό από το 2011, το Glupteba είναι ένα backdoor που σταδιακά ωριμάζει σε botnet. Μέχρι το 2019 περιλάμβανε έναν μηχανισμό ενημέρωσης διευθύνσεων C&C μέσω δημόσιων λιστών BitCoin, μιας ενσωματωμένης δυνατότητας κλοπής προγράμματος περιήγησης και ενός εκμεταλλευτή δρομολογητή.

Qbot AKA

Το Qbot AKA είναι τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials  και στοιχεία που πληκτρολογούν οι χρήστες. Συχνά διανέμεται μέσω spam email. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.

Joker

Ένα Android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες συσκευής. Επιπλέον, το κακόβουλο λογισμικό ενγράφει το θύμα σε υπηρεσίες premium σε ιστότοπους διαφημίσεων.

Badur

Το Badur είναι ένα Trojan που λειτουργεί χρησιμοποιώντας ένα bot πλατφόρμας παιχνιδιών Steam που προσθέτει άτομα ως φίλους και στέλνει έναν σύνδεσμο, ο οποίος περιέχει ένα πρόγραμμα κακόβουλου λογισμικού που μεταμφιέζεται ως αρχείο προφύλαξης οθόνης. Όταν εκτελείται, δημιουργεί μια πίσω πόρτα που επιτρέπει σε ένα κακόβουλο πρόγραμμα να εισέλθει στο σύστημά σας. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να κλέβει δεδομένα σύνδεσης Steam και αναλαμβάνει τον λογαριασμό.

Vidar

Το Vidar είναι ένα infolstealer που στοχεύει λειτουργικά συστήματα Windows. Για πρώτη φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού  που κατεβάζει το GandCrab ransomware ως δευτερεύον ωφέλιμο φορτίο του.

Οικογένεια κακόβουλου λογισμικούΠαγκόσμια επίδρασηΕπίδραση στην  Ελλάδα
Agenttesla0.84%5.57%
Trickbot3.17%5.57%
Dridex1.59%3.72%
Formbook2.33%3.41%
XMRig3.08%3.10%
Glupteba1.67%3.10%
Qbot2.94%2.79%
Joker0.05%2.17%
Badur0.16%2.17%
Vidar0.65%2.17%

 

Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.

Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως για τον Φεβρουάριο είναι διαθέσιμη στο Check Point Blog.

Κοινοποιηση αρθρου

Τελευταια Νεα

Η Amplus Technologies ολοκλήρωσε την προμήθεια tablet για το Υπουργείο Παιδείας

Η Amplus Technologies, ένας από τους σημαντικότερους System Integrators στην ελληνική αγορά, με 15ετή παρουσία στην παροχή ολοκληρωμένων -tailor made- λύσεων Πληροφορικής, ολοκλήρωσε έργο...

Τηλεργασία: 8 στους 10 Έλληνες εργαζομένους δεν έχουν εκπαιδευτεί σε θέματα ψηφιακής ασφάλειας

Ελλιπή είναι τα μέτρα που λαμβάνουν αρκετές ελληνικές επιχειρήσεις και εργαζόμενοι για την προστασία των αρχείων του οργανισμού τους από κακόβουλες επιθέσεις.Όπως προκύπτει από...

Δευτέρα πρωί και με καλάθι 78 ευρώ οι συνήθεις αγορές στα online super market – Με +122% «έτρεξαν» το πρώτο εξάμηνο οι πωλήσεις

Πρωί Δευτέρας για την παραγγελία με μέση δαπάνη περί τα 78 ευρώ και με 37 τεμάχια στο καλάθι διαμορφώνεται το καταναλωτικό προφίλ των Ελλήνων...

ΕΡΓΟΣΕ: Στις ράγες έργα 4 δισ. ευρώ μέσα στον Αύγουστο

Γράφει η Μαρία Μόσχου«Καυτός» θα είναι ο Αύγουστος για την ΕΡΓΟΣΕ, που θα ξεκινήσει την προώθηση έργων προϋπολογισμού περίπου 4 δισ. ευρώ από...

Όροι και προϋποθέσεις αναγγελίας έναρξης λειτουργίας των συνεργείων που εκτελούν εργασίες επισκευής και συντήρησης σε οχήματα υψηλής τάσης

Τους όρους και τις προϋποθέσεις για τη λειτουργία των συνεργείων που αναλαμβάνουν εργασίες επισκευής και συντήρησης σε οχήματα υψηλής τάσης περιγράφει Κοινή Υπουργική Απόφαση, με...