Μπορεί το κακόβουλο λογισμικό Emotet να μας άφησε – ευτυχώς – χρόνους, αλλά δεν άργησε να βρεθεί ο διάδοχός του. Το trojan Trickbot έχει κατακτήσει την πρώτη θέση στον Παγκόσμιο Δείκτη Απειλών για τον Φεβρουάριο του 2021, από την τρίτη όπου βρισκόταν τον Ιανουάριο.
Μετά την κατάργηση του Emotet botnet τον Ιανουάριο, οι ερευνητές του Check Point αναφέρουν ότι οι κυβερνο-εγκληματικές ομάδες συνεχίζουν να χρησιμοποιούν άλλες κορυφαίες απειλές, με κακόβουλο λογισμικό, όπως το Trickbot.
Τον Φεβρουάριο, το Trickbot διανεμήθηκε μέσω μιας κακόβουλης καμπάνιας ανεπιθύμητης αλληλογραφίας που σχεδιάστηκε για να εξαπατήσει τους χρήστες σε νομικούς και ασφαλιστικούς τομείς, ώστε να κατεβάσουν ένα αρχείο .zip με κακόβουλο JavaScript αρχείο στους υπολογιστές τους. Μόλις ανοίξει αυτό το αρχείο, επιχειρεί να κατεβάσει ένα άλλο κακόβουλο ωφέλιμο φορτίο από έναν απομακρυσμένο διακομιστή.
Το Trickbot ήταν το 4ο πιο διαδεδομένο κακόβουλο λογισμικό παγκοσμίως το 2020, επηρεάζοντας το 8% των οργανισμών. Έπαιξε βασικό ρόλο σε μια από τις υψηλότερης σημασίας και κόστους κυβερνοεπιθέσεις του 2020, οι οποίες έπληξαν την Universal Health Services (UHS). Ένας κορυφαίος πάροχος υγειονομικής περίθαλψης στις ΗΠΑ, η UHS επλήγη από το Ryuk ransomware και δήλωσε ότι η επίθεση κόστισε 67 εκατομμύρια δολάρια σε χαμένα έσοδα και κόστη. Το Trickbot χρησιμοποιήθηκε από τους εισβολείς για τον εντοπισμό και τη συλλογή δεδομένων από τα συστήματα της UHS και στη συνέχεια για την παράδοση του ωφέλιμου φορτίου ransomware.
Η Check Point Research προειδοποιεί επίσης ότι, το ” Web Server Exposed Git Repository Information Disclosure” είναι η πιο κοινώς εκμεταλλεύσιμη ευπάθεια που επηρεάζει το 48% των οργανισμών παγκοσμίως, ακολουθούμενη από το “HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει αντίστοιχα το 46%. Την τρίτη θέση στη λίστα με τις ευπάθειες κατέχει η “MVPower DVR Remote Code Execution” με συνολικό αντίκτυπο 45%.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα
Αυτόν το μήνα, το Trickbot κατατάσσεται ως το πιο διαδεδομένο κακόβουλο λογισμικό, καθώς επηρεάζει το 3% των οργανισμών παγκοσμίως, ακολουθούν το XMRig και το Qbot, τα οποία επηρέασαν επίσης το 3% των οργανισμών παγκοσμίως αντίστοιχα.
↑ Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων
↑ XMRig-Το XMRig είναι ένα λογισμικό ανοιχτού κώδικα το οποίο χρησιμοποιεί CPU για τη διαδικασία εξόρυξης του κρυπτονομίσματος Monero και πρωτοεμφανίστηκε για πρώτη φορά τον Μάιο του 2017.
↑ Qbot–Το Qbot είναι τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials και στοιχεία που πληκτρολογούν οι χρήστες. Συχνά διανέμεται μέσω spam email. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.
Οι πιο εκμεταλλεύσιμες ευπάθειες
Αυτό το μήνα, το “Web Server Exposed Git Repository Information Disclosure” είναι η πιο κοινή εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 48% των οργανισμών παγκοσμίως, ακολουθούμενο από το “HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει το 46% των οργανισμών παγκοσμίως. Η “ MVPower DVR Remote Code Execution ” είναι η τρίτη θέση στη λίστα με τις ευπάθειες που εκμεταλλεύτηκαν, με συνολικό αντίκτυπο 45%.
↑ Web Server Exposed Git Repository Information Disclosure – ευπάθεια αποκάλυψης πληροφοριών που έχει αναφερθεί στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει μια ακούσια αποκάλυψη πληροφοριών λογαριασμού.
↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Συγκεκριμένα πεδία σταους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.
↓MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτή την αδυναμία και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές
Αυτό το μήνα, το Hiddad κατέχει την 1η θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα xHelper και Triada.
- Hiddad -Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.
- xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
- FurBall – Το FurBall είναι ένα Android MRAT (Mobile Remote Access Trojan) το οποίο αναπτύσσεται από την APT-C-50, μια ιρανική ομάδα APT συνδεδεμένη με την ιρανική κυβέρνηση. Αυτό το κακόβουλο λογισμικό χρησιμοποιήθηκε σε πολλές καμπάνιες που χρονολογούνται από το 2017 και εξακολουθεί να είναι ενεργό σήμερα. Οι δυνατότητες του FurBall περιλαμβάνουν κλοπή μηνυμάτων SMS, αρχεία καταγραφής κλήσεων, εγγραφή surround, ηχογράφηση κλήσεων, συλλογή αρχείων πολυμέσων, παρακολούθηση τοποθεσίας και άλλα.
Agenttesla
Το Agenttesla είναι ένα προηγμένο RAT (Remote Access Trojan) που αποσπά κωδικούς και στοιχεία κατά την πληκτρολόγηση. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει στοιχεία από το θύμα την στιγμή που αυτό πληκτρολογεί, μπορεί επίσης να καταγράφει στιγμιότυπα από την οθόνη και διαπιστευτήρια εξακρίβωσης που έχουν εισαχθεί για πολλά προγράμματα λογισμικού που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν 15$ – 69$ για άδειες χρήσης.
Trickbot
Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.
Dridex
Το Dridex είναι ένα Banking Trojan που στοχεύει την πλατφόρμα των Windows μέσω ανεπιθύμητης αλληλογραφίας και Exploit Kits, το οποίο βασίζεται σε WebInjects για να παρακολουθεί και να ανακατευθύνει τραπεζικά διαπιστευτήρια σε διακομιστή που ελέγχεται από τους εισβολείς. Το Dridex έρχεται σε επαφή με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.
FormBook
Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.
XMRig
Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Glupteba
Γνωστό από το 2011, το Glupteba είναι ένα backdoor που σταδιακά ωριμάζει σε botnet. Μέχρι το 2019 περιλάμβανε έναν μηχανισμό ενημέρωσης διευθύνσεων C&C μέσω δημόσιων λιστών BitCoin, μιας ενσωματωμένης δυνατότητας κλοπής προγράμματος περιήγησης και ενός εκμεταλλευτή δρομολογητή.
Qbot AKA
Το Qbot AKA είναι τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials και στοιχεία που πληκτρολογούν οι χρήστες. Συχνά διανέμεται μέσω spam email. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.
Joker
Ένα Android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες συσκευής. Επιπλέον, το κακόβουλο λογισμικό ενγράφει το θύμα σε υπηρεσίες premium σε ιστότοπους διαφημίσεων.
Badur
Το Badur είναι ένα Trojan που λειτουργεί χρησιμοποιώντας ένα bot πλατφόρμας παιχνιδιών Steam που προσθέτει άτομα ως φίλους και στέλνει έναν σύνδεσμο, ο οποίος περιέχει ένα πρόγραμμα κακόβουλου λογισμικού που μεταμφιέζεται ως αρχείο προφύλαξης οθόνης. Όταν εκτελείται, δημιουργεί μια πίσω πόρτα που επιτρέπει σε ένα κακόβουλο πρόγραμμα να εισέλθει στο σύστημά σας. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να κλέβει δεδομένα σύνδεσης Steam και αναλαμβάνει τον λογαριασμό.
Vidar
Το Vidar είναι ένα infolstealer που στοχεύει λειτουργικά συστήματα Windows. Για πρώτη φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού που κατεβάζει το GandCrab ransomware ως δευτερεύον ωφέλιμο φορτίο του.
| Οικογένεια κακόβουλου λογισμικού | Παγκόσμια επίδραση | Επίδραση στην Ελλάδα |
| Agenttesla | 0.84% | 5.57% |
| Trickbot | 3.17% | 5.57% |
| Dridex | 1.59% | 3.72% |
| Formbook | 2.33% | 3.41% |
| XMRig | 3.08% | 3.10% |
| Glupteba | 1.67% | 3.10% |
| Qbot | 2.94% | 2.79% |
| Joker | 0.05% | 2.17% |
| Badur | 0.16% | 2.17% |
| Vidar | 0.65% | 2.17% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως για τον Φεβρουάριο είναι διαθέσιμη στο Check Point Blog.
