Οι ερευνητές της Check Point επιβεβαιώνουν ότι το Emotet ήταν ανενεργό στο μεγαλύτερο διάστημα του Ιουνίου, ενδέχεται όμως να επιστρέψει με νέες δυνατότητες

 Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd., ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Ιούνιο του 2019. Η ερευνητική ομάδα επιβεβαιώνει ότι το Emotet (το μεγαλύτερο, σε λειτουργία,  δίκτυο bots τη δεδομένη χρονική στιγμή), είναι εκτός λειτουργίας, ενώ στο μεγαλύτερο μέρος του Ιουνίου δεν παρατηρήθηκαν νέες καμπάνιες. To Emotet, κατά τους πρώτους έξι μήνες του 2019, ήταν στα πρώτα πέντε malwares παγκοσμίως ενώ έχει διανεμηθεί με μεγάλες καμπάνιες μηνυμάτων spam (ανεπιθύμητη αλληλογραφία).

Οι ερευνητές της Check Point πιστεύουν ότι το Emotet ενδέχεται να βρίσκεται εκτός λειτουργίας για εργασίες συντήρησης και αναβάθμισης. Επιπλέον, θεωρούν ότι μόλις επανέλθουν οι διακομιστές του, θα επανενεργοποιηθεί διαθέτοντας νέες, βελτιωμένες δυνατότητες.

«Το Emotet εμφανίστηκε στο προσκήνιο ως banking Trojan το 2014. Από το 2018  όμως, το έχουμε δει να αξιοποιείται ως botnet σε μεγάλες καμπάνιες malspam, και να χρησιμοποιείται για να διαμοιράσει άλλα malwares. Αν και οι υποδομές του ήταν ανενεργές στο μεγαλύτερο μέρος του Ιουνίου, παρέμεινε στην πέμπτη θέση του καταλόγου με τις παγκόσμιες απειλές, γεγονός το οποίο αποδεικνύει πόσο πολύ χρησιμοποιείται – και είναι πιθανό να επανεμφανιστεί με νέα χαρακτηριστικά», δήλωσε η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών της Check Point.

«Το καλοκαίρι του 2017 και του 2018 παρατηρήσαμε μοτίβα επιθέσεων που αξιοποιούσαν banking trojans. Το συγκεκριμένο γεγονός καταδείκνυε ότι οι κυβερνοεγκληματίες προσπαθούσαν να εκμεταλλευτούν την τουριστική περίοδο καθώς και το ότι οι χρήστες την περίοδο που βρίσκονται σε διακοπές δίνουν λιγότερη σημασία στις πρακτικές ασφαλείας, χρησιμοποιώντας online τραπεζικές υπηρεσίες από shared συσκευές και από λιγότερο ασφαλείς συνδέσεις».

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Ιούνιο 2019:

*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα.

  1. XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
  2. JSEcoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.
  3. Cryptoloot – Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για cryptomining – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive, προσπαθώντας να το εκτοπίσει ζητώντας μικρότερο ποσοστό των εσόδων από τους ιστότοπους.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές τον Ιούνιο 2019:

Tο Lotoor συνεχίζει να βρίσκεται στην πρώτη θέση της λίστας με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές. Ακολουθεί το Triada και το Ztorg, ένα νέο malware που βρίσκεται για πρώτη φορά στη λίστα.  

  1. Lotoor – Κακόβουλο λογισμικό για Android, το οποίο αναπροσαρμόζει legitimate εφαρμογές και τις δημοσιεύει σε τρίτα stores. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, παρ’ όλα αυτά είναι ικανό να αποκτά πρόσβαση σε πληροφορίες ασφαλείας που βρίσκονται στο λειτουργικό σύστημα, επιτρέποντας σε έναν εισβολέα να αποκτήσει ευαίσθητα δεδομένα χρηστών.
  1. Triada – Μodular backdoor για Android που εκχωρεί δικαιώματα super user σε κακόβουλο λογισμικό που έχει ληφθεί, βοηθώντας το να ενσωματωθεί σε διαδικασίες του συστήματος. Το Triada έχει παρατηρηθεί επίσης ότι παραποιεί διευθύνσεις URL που φορτώνονται στο πρόγραμμα περιήγησης. 
  1. Ztorg – Τα trojans που ανήκουν στην οικογένεια Ztοrg, αποκτούν αυξανόμενα προνόμια σε συσκευές Android και εγκαθίστανται στο directory του συστήματος. Το κακόβουλο πρόγραμμα είναι σε θέση να εγκαταστήσει οποιαδήποτε άλλη εφαρμογή στη συσκευή.

Οι 3 ευπάθειες «που γίνονται συχνότερα αντικείμενο εκμετάλλευσης» για τον Ιούνιο 2019:

Τον Ιούνιο οι τεχνικές SQL Injections συνέχισαν να βρίσκονται στην πρώτη θέση της σχετικής λίστας, επηρεάζοντας το 52% των οργανισμών παγκοσμίως. Η ευπάθεια OpenSSL TLS DTLS Heartbeat Information Disclosure βρέθηκε στη δεύτερη θέση επηρεάζοντας το 43% των οργανισμών σε όλο τον κόσμο ακολουθούμενη στενά από το CVE-2015-8562 με αντίκτυπο στο 41% των οργανισμών παγκοσμίως.

  1. SQL Injection (διάφορες τεχνικές) Πρόκειται για την εισαγωγή ενός SQL query στα δεδομένα που παρέχει ο client σε μια εφαρμογή, με συνέπεια την εκμετάλλευση μιας ευπάθειας που υπάρχει στον κώδικα της εφαρμογής αυτής.
  1. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Μια ευπάθεια αποκάλυψης πληροφοριών που υπάρχει στο OpenSSL. Η ευπάθεια οφείλεται σε ένα σφάλμα κατά το χειρισμό πακέτων heartbeat TLS/DTLS. Ένας εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια για να αποκαλύψει περιεχόμενα της μνήμης ενός συνδεδεμένου συστήματος-πελάτη ή διακομιστή.
  1. Joomla Object Injection Remote Command Execution (CVE-2015-8562)- Έχει γίνει αναφορά για μία ευπάθεια που σχετίζεται με την απομακρυσμένη εκτέλεση εντολών σε πλατφόρμες Joomla. Η ευπάθεια υπάρχει εξ’ αιτίας της έλλειψης επικύρωσης στα αντικείμενα που εισάγονται, κάτι που μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα. Ένας απομακρυσμένος εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια αποστέλλοντας ένα κακόβουλο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας μπορεί να έχει ως αποτέλεσμα την εκτέλεση αυθαίρετου κώδικα από την πλευρά του χρήστη-στόχου.

*Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως μπορεί να βρεθεί εδώ.

Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Ιούνιο είναι:

Hawkeye – Το Hawkeye είναι ένα κακόβουλο Info Stealer, το οποίο σχεδιάστηκε κυρίως για να αποσπά στοιχεία χρηστών από μολυσμένες πλατφόρμες που λειτουργούν με Windows. Μέσα στους τελευταίους μήνες, το Hawkeye έχει βελτιωθεί συμπεριλαμβάνοντας πλέον, εκτός από την κλοπή κωδικών email και web browser, δυνατότητες keylogging. Συχνά πωλείται στην αγορά ως MaaS (Malware as a Service) μέσω διαφόρων infection chain τεχνικών.

JSEcoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό παραγωγής απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.

TrickbotΤο Trickbot είναι μια παραλλαγή του Dyre που εμφανίστηκε τον Οκτώβριο του 2016. Από τότε, έχει στοχεύσει κυρίως στους τραπεζικούς χρήστες στην Αυστραλία και το Ηνωμένο Βασίλειο ενώ πρόσφατα άρχισε να εμφανίζεται και στην Ινδία, τη Σιγκαπούρη και τη Μαλαισία.

 Lokibot – Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσω email ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για την υποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώς και κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων και διακομιστές FTP.

XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.

AZORult – Το AZORult είναι ένα trojan που συγκεντρώνει και απομακρύνει δεδομένα από το μολυσμένο σύστημα. Μόλις το κακόβουλο λογισμικό εγκατασταθεί σε ένα σύστημα (συνήθως παραδίδεται από ένα κιτ εκμετάλλευσης όπως το RIG), μπορεί να στείλει αποθηκευμένους κωδικούς πρόσβασης, τοπικά αρχεία, κρυπτο-πορτοφόλια και πληροφορίες προφίλ υπολογιστή σε απομακρυσμένο command & control server.

FormBook Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016.  Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.

NanoCore Το NanoCore είναι ένα trojan απομακρυσμένης πρόσβασης, το οποίο παρατηρήθηκε πρώτη φορά το 2013 και στοχεύει στους χρήστες του λειτουργικού συστήματος των Windows. Όλες οι εκδόσεις του περιλαμβάνουν χαρακτηριστικά όπως καταγραφή οθόνης, εξόρυξη κρυπτονομισμάτων, απομακρυσμένος έλεγχος κ.α.

Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.

Cryptoloot – Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για την παραγωγή κρυπτονομισμάτων – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive.

Οι 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Ιούνιο 2019
Οικογένεια κακόβουλου λογισμικού Παγκόσμια επίδραση Επίδραση Ελλάδα
Hawkeye 1.30% 9.94%
Jsecoin 2.70% 8.13%
Trickbot 1.11% 8.13%
Lokibot 1.09% 6.93%
XMRig 3.61% 6.63%
AZORult 0.45% 6.33%
Nanocore 1.27% 5.12%
Formbook 1.24% 5.12%
Emotet 1.30% 9.94%
Cryptoloot 0.69% 4.64%

 

Οι Πηγές Πρόληψης Απειλών της Check Point είναι διαθέσιμες στον ιστότοπο:

http://www.checkpoint.com/threat-prevention-resources/index.html

 

Ακολουθήστε την Check Point Research:

Web: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_