Οι ομάδες κυβερνοασφάλειας βασίζονται σε αναφορές απειλών για να κατανοήσουν το τοπίο των κινδύνων και να προστατεύσουν τους οργανισμούς τους. Ωστόσο, μια νέα μελέτη δείχνει ότι αυτές οι αναφορές αποκαλύπτουν μόνο ένα κομμάτι της πραγματικότητας. Κρυφές παραλλαγές κακόβουλου λογισμικού καταφέρνουν να ξεφεύγουν από τις άμυνες, δημιουργώντας μια ψευδαίσθηση ασφάλειας.
Η Έκθεση για το Κρυφό Κακόβουλο Λογισμικό 2025 της Stairwell ανέλυσε 769 αναφορές απειλών που δημοσιεύθηκαν από τον Μάρτιο του 2023 έως τον Ιούλιο του 2025. Σε αυτές περιλαμβάνονταν πάνω από 10.000 αναγνωριστικά αρχείων κακόβουλου λογισμικού. Με βαθύτερη ανάλυση, οι ερευνητές αποκάλυψαν περισσότερες από 16.000 επιπλέον παραλλαγές malware που δεν είχαν συμπεριληφθεί στις αρχικές εκθέσεις.
Τι είναι οι παραλλαγές κακόβουλου λογισμικού και γιατί έχουν σημασία
Οι παραλλαγές είναι ελαφρώς τροποποιημένες εκδόσεις ήδη υπάρχοντος malware. Οι επιτιθέμενοι σπάνια ξεκινούν από το μηδέν· συνήθως προσαρμόζουν υπάρχον κώδικα με μικρές αλλαγές, όπως επανασυσκευασία αρχείων, τροποποίηση κώδικα ή αλλαγή ονομάτων. Αυτές οι αλλαγές αρκούν για να παραχθεί νέο hash, δηλαδή διαφορετικό «αποτύπωμα» που χρησιμοποιούν τα περισσότερα εργαλεία ανίχνευσης.
Το πρόβλημα είναι ότι πολλές λύσεις ασφαλείας βασίζονται σε ακριβείς αντιστοιχίσεις hash. Έτσι, αν το hash αλλάξει, το κακόβουλο αρχείο μπορεί να περάσει απαρατήρητο. Με αυτόν τον τρόπο οι επιτιθέμενοι παραμένουν μπροστά χωρίς να χρειάζεται να δημιουργούν εντελώς καινούριες απειλές.
Για τους αμυνόμενους, αυτό σημαίνει πως η ανίχνευση ενός δείγματος δεν είναι αρκετή. Αν δεν εντοπιστούν οι παραλλαγές, δημιουργούνται κενά που αφήνουν χώρο στους επιτιθέμενους να κρύβονται.
Όπως τονίζει ο Mike Wiacek, CTO της Stairwell:
«Αν βασίζεστε μόνο σε στατικά hashes, πολεμάτε τις χθεσινές απειλές.»
Τι αποκάλυψε η μελέτη
Η ανάλυση δείχνει πόσο εκτεταμένο είναι το ζήτημα. Κατά μέσο όρο, κάθε αναφορά απειλών περιλάμβανε 13 γνωστά hashes κακόβουλων δειγμάτων. Όταν αυτά τα ίδια αρχεία αναλύθηκαν εκ νέου, εντοπίστηκαν 21 επιπλέον παραλλαγές κατά μέσο όρο.
Επιπλέον, ο αριθμός των hashes που κοινοποιούνται έχει αυξηθεί με την πάροδο του χρόνου: το 2023 ο μέσος όρος ήταν 11 ανά αναφορά, ενώ το 2025 έφτασε τα 18. Παρά την αυξημένη διαφάνεια από τους vendors, ο όγκος του «αόρατου» malware αυξάνεται ακόμα πιο γρήγορα.
Η έρευνα επισημαίνει επίσης ότι οι παλαιότερες οικογένειες malware τείνουν να εμφανίζουν περισσότερες παραλλαγές, καθώς οι επιτιθέμενοι αντιγράφουν και τροποποιούν επιτυχημένα δείγματα για να αποφύγουν την ανίχνευση. Έτσι, ακόμα και καλά καταγεγραμμένες απειλές συνεχίζουν να εξελίσσονται και να ξεγλιστρούν από τις άμυνες.
Οι κίνδυνοι των κρυφών παραλλαγών
Όταν παραλλαγές δεν ανιχνεύονται, το αποτέλεσμα μπορεί να είναι καταστροφικό. Οι ομάδες ασφαλείας μπορεί να θεωρήσουν ότι μια απειλή έχει εξαλειφθεί, ενώ στην πραγματικότητα νέα τροποποιημένα δείγματα εξακολουθούν να δρουν στο περιβάλλον.
Ο μεγαλύτερος κίνδυνος είναι η ψευδής αίσθηση ασφάλειας: η πίστη ότι τα μέτρα είναι αποτελεσματικά, ενώ στην πράξη υπάρχουν ακόμη τρωτά σημεία. Αυτό οδηγεί σε καθυστερημένες αντιδράσεις και χαμένες ευκαιρίες να περιοριστεί μια επίθεση εγκαίρως.
Πώς μπορούν να ανταποκριθούν οι ομάδες ασφαλείας
Η έκθεση υπογραμμίζει την ανάγκη για συνεχή ανάλυση και όχι μόνο σε σποραδικούς ελέγχους ή στατικές υπογραφές. Μερικά βασικά βήματα περιλαμβάνουν:
-
Συνεχές threat hunting με πολλαπλές μεθόδους ανίχνευσης.
-
Δημιουργία και ενημέρωση κανόνων YARA για την αναγνώριση μοτίβων πέρα από τα hashes.
-
Αναζήτηση σε αρχεία καταγραφής και συστήματα για ενδείξεις παραβίασης, όχι μόνο γνωστούς δείκτες.
-
Τακτική επανεξέταση αρχείων, καθώς προκύπτουν νέες πληροφορίες για απειλές.
πηγή: Helpnetsecurity