To Trickbot καταγράφεται ως το πιο διαδεδομένο κακόβουλο λογισμικό για τον Μάϊο, ενώ το Dridex υποχωρεί

Η Check Point Research, το τμήμα έρευνας της Check Point Software Technologies, αναφέρει ότι το trojan Dridex, το οποίο χρησιμοποιείται συχνά στα αρχικά στάδια των επιθέσεων ransomware, έχει πλέον υποχωρήσει από τη λίστα, όντας ένα από τα πιο διαδεδομένα κακόβουλα προγράμματα τους τελευταίους μήνες.

Η Check Point Research, το τμήμα έρευνας της Check Point Software Technologies, εταιρείας παροχής λύσεων κυβερνοασφάλειας, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Μάϊο του 2021. Η ερευνητική ομάδα (CPR) αναφέρει ότι το Trickbot, το οποίο εισήλθε για πρώτη φορά στη λίστα τον Απρίλιο του 2019, είναι πλέον στην κορυφή, ενώ το καθιερωμένο trojan Dridex αποχώρησε εντελώς από τη λίστα, παρότι ήταν ένα από τα πιο δημοφιλή κακόβουλα προγράμματα τους τελευταίους μήνες εν μέσω μιας παγκόσμιας αύξησης του ransomware. Αν και δεν είναι ακόμη γνωστό γιατί το Dridex έχει αποχωρήσει, πρόσφατες αναφορές δείχνουν ότι η ομάδα Evil Corp, η οποία είναι γνωστή για τη διανομή του Dridex, έχει αλλάξει όνομα και προσέγγισή της για να αποφύγει τις κυρώσεις του υπουργείου Οικονομικών των ΗΠΑ.

Την πρώτη θέση στο δείκτη καταλαμβάνει το Trickbot, το οποίο είναι ένα botnet και τραπεζικό Trojan που μπορεί να κλέψει οικονομικά στοιχεία, διαπιστευτήρια λογαριασμού και προσωπικά δεδομένα, καθώς και να εξαπλωθεί σε ένα δίκτυο και να ρίξει ransomware και ειδικά το Ryuk. Το Trickbot αναβαθμίζεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και διαύλους διανομής, γεγονός που του επιτρέπει να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί στο πλαίσιο εκστρατειών πολλαπλών σκοπών. Το Trickbot απέκτησε αυξανόμενη δημοτικότητα μετά την κατάρριψη του botnet Emotet τον Ιανουάριο και έγινε εκ νέου είδηση αυτή την εβδομάδα, καθώς το Υπουργείο Δικαιοσύνης των ΗΠΑ απήγγειλε κατηγορίες σε μια γυναίκα από τη Λετονία για το ρόλο της στη δημιουργία και την ανάπτυξη του.

Από τις αρχές του 2021, η CPR έχει παρατηρήσει σημαντική αύξηση του όγκου των κυβερνοεπιθέσεων εναντίον επιχειρήσεων. Σε σύγκριση με τον Μάιο του 2020 η αύξηση στον αριθμό των κυβερνοεπιθέσεων στην Αμερική αγγίζει το 70%, στις ΕΜΕΑ χώρες  παρουσιάζει αύξηση 97% σε σύγκριση με τον Μάιο του 2020 και στις ώρες της Ασίας και του Ειρηνικού Ωκεανού (APAC) παρατηρείται μια εντυπωσιακή αύξηση 168% σε ετήσια βάση.

“Έχουν γίνει πολλές συζητήσεις σχετικά με την πρόσφατη αύξηση των επιθέσεων ransomware, αλλά στην πραγματικότητα βλέπουμε μια εντυπωσιακή διόγκωση στον αριθμό των επιθέσεων στον κυβερνοχώρο γενικά. Πρόκειται για μια σημαντική και ανησυχητική τάση”, δήλωσε η Maya Horowitz, Director, Threat Intelligence & Research, Products της Check Point. “Είναι καθησυχαστικό να βλέπουμε ότι κατατέθηκαν καταγγελίες εναντίον του Trickbot, του πιο διαδεδομένου κακόβουλου λογισμικού αυτού του μήνα, αλλά είναι σαφές ότι υπάρχει ακόμη πολύς δρόμος να διανύσουμε. Οι οργανισμοί πρέπει να γνωρίζουν τους κινδύνους και να διασφαλίζουν ότι υπάρχουν κατάλληλες λύσεις, αλλά να θυμούνται επίσης ότι οι επιθέσεις δεν μπορούν μόνο να ανιχνευθούν, αλλά και να αποτραπούν, συμπεριλαμβανομένων των zero-day επιθέσεων και του άγνωστου κακόβουλου λογισμικού. Με τις σωστές τεχνολογίες στη διάθεσή τους, η πλειονότητα των επιθέσεων, ακόμη και οι πιο προηγμένες, μπορούν να αποτραπούν χωρίς να διαταραχθεί η κανονική ροή της επιχείρησης.”

Η CPR αποκάλυψε επίσης ότι το “Web Server Exposed Git Repository Information Disclosure” εξακολουθεί να είναι η πιο συνηθισμένη ευπάθεια που αξιοποιείται, επηρεάζοντας το 48% των οργανισμών παγκοσμίως, ενώ ακολουθεί το “HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει το 47,5% των οργανισμών παγκοσμίως. Το “MVPower DVR Remote Code Execution” κατατάσσεται στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 46%.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού  

*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα

Αυτόν τον μήνα, το Trickbot έγινε το πιο δημοφιλές κακόβουλο λογισμικό με παγκόσμιο αντίκτυπο στο 8% των οργανισμών, ακολουθούμενο από τα XMRig και Formbook με αντίκτυπο το καθένα, στο 3% των οργανισμών παγκοσμίως.

1. ↑ Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό του επιτρέπει να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
2. ↑ XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
3. ↑ Formbook – Το Formbook είναι ένα Infostealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει screenshots, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές του C&C.

 Οι πιο εκμεταλλεύσιμες ευπάθειες   

Αυτό το μήνα, το “Web Server Exposed Git Repository Information Disclosure” είναι η πιο κοινή εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 48% των οργανισμών παγκοσμίως, ακολουθούμενο από το “HTTP Headers Remote Code Execution (CVE-2020-13756)” που επηρεάζει το 47,5% των οργανισμών παγκοσμίως. Η ” MVPower DVR Remote Code Execution ” είναι τρίτη στη λίστα με τις ευπάθειες που έτυχαν  εκμετάλλευσης, με συνολικό αντίκτυπο 46%.

1. ↔ Web Server Exposed Git Repository Information Disclosure – ευπάθεια αποκάλυψης πληροφοριών που έχει αναφερθεί στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει μια ακούσια αποκάλυψη των πληροφοριών ενός λογαριασμού.
2. ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Συγκεκριμένα πεδία στους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.
3. ↔ MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας από απόσταση επιτιθέμενος μπορεί να εκμεταλλευτεί αυτή την αδυναμία και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές

Αυτόν τον μήνα το xHelper καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από τα Triada και Hiddad.

1. xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
2. Triada – Modular Backdoor για Android που παρέχει προνόμια υπερ-χρήστη σε κακόβουλο λογισμικό που έχει μεταφορτωθεί
3. Hiddad – Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.

 Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Ιανουάριο είναι:

AgentTesla- Το AgentTesla είναι ένα προηγμένο RAT (Trojan απομακρυσμένης πρόσβασης) που λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου και το πρόχειρο συστήματος του θύματος, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια που εισάγονται για μια ποικιλία λογισμικού που είναι εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν $15 – $69 για άδειες χρήσης.

Trickbot – Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.

Hawkeye – Το Hawkeye είναι ένα κακόβουλο λογισμικό Info Stealer, σχεδιασμένο κυρίως για να κλέβει τα διαπιστευτήρια των χρηστών από μολυσμένες πλατφόρμες Windows και να τα παραδίδει σε έναν διακομιστή C&C. Πρόσφατα, το Hawkeye απέκτησε τη δυνατότητα λήψης στιγμιότυπων οθόνης και εξάπλωσης μέσω USB, εκτός από τις αρχικές του λειτουργίες της κλοπής κωδικών πρόσβασης ηλεκτρονικού ταχυδρομείου και προγραμμάτων περιήγησης ιστού και της καταγραφής πλήκτρων. Το Hawkeye πωλείται συχνά ως MaaS (Malware as a Service).

Vidar- Το Vidar είναι ένα infolstealer που στοχεύει λειτουργικά συστήματα Windows. Για πρώτη φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού  που κατεβάζει το GandCrab ransomware ως δευτερεύον ωφέλιμο φορτίο του.

Joker-Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό υπογράφει στο θύμα σιωπηλά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.

FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.

Remcos -Το Remcos είναι ένας RAT που εμφανίστηκε για πρώτη φορά  το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windowss και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.

XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.

IcedID– To IcedID είναι ένα τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο του 2017. Συνήθως χρησιμοποιεί άλλα γνωστά τραπεζικά Trojans, συμπεριλαμβανομένων των Emotet, Ursnif και Trickbot, για να βοηθήσει στην εξάπλωσή του. Το IcedID κλέβει οικονομικά δεδομένα χρηστών τόσο μέσω επιθέσεων ανακατεύθυνσης (εγκαθιστά έναν τοπικό διακομιστή μεσολάβησης για να ανακατευθύνει τους χρήστες σε ψεύτικους ιστότοπους-κλώνους) όσο και μέσω επιθέσεων web injection (εισάγει μια διαδικασία του προγράμματος περιήγησης για να παρουσιάσει ψεύτικο περιεχόμενο που επικαλύπτεται πάνω από την αρχική σελίδα).

NanoCore -Το NanoCore είναι ένα Trojan απομακρυσμένης πρόσβασης, το οποίο παρατηρήθηκε για πρώτη φορά στη φύση το 2013 και στοχεύει σε χρήστες του λειτουργικού συστήματος Windows. Όλες οι εκδόσεις του RAT διαθέτουν βασικά πρόσθετα και λειτουργίες, όπως καταγραφή οθόνης, εξόρυξη κρυπτογραφικού νομίσματος, απομακρυσμένο έλεγχο της επιφάνειας εργασίας και κλοπή συνεδρίας webcam.

Το Vobfus είναι ένα κακόβουλο πρόγραμμα που στοχεύει στην πλατφόρμα των Windows. Αυτό το κακόβουλο λογισμικό προσπαθεί να εξαπλωθεί μέσω αφαιρούμενων μονάδων που συνδέονται σε μολυσμένα συστήματα. Μπορεί επίσης να προσπαθήσει να εξαπλωθεί μέσω κοινοτήτων δικτύου. Επιπλέον, τροποποιεί βασικές ρυθμίσεις του συστήματος για να κρύβεται από τους τυπικούς χρήστες. Διάφορα ενσωματωμένα αρχεία ενισχύουν τις δυνατότητες αυτού του κακόβουλου λογισμικού παρέχοντας δυνατότητες ταυτοποίησης με απομακρυσμένους διακομιστές και κλοπής κωδικών πρόσβασης.

Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point Software, βασίζονται στο ThreatCloud intelligence της; Εταιρείας, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.

Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Μάιο βρίσκεται στο ιστολόγιο της Check Point εδώ.