Η Check Point Software Technologies Ltd., πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Φεβρουάριο του 2023. Τον περασμένο μήνα το Remcos Trojan επέστρεψε στην πρώτη δεκάδα της λίστας για πρώτη φορά από τον Δεκέμβριο του 2022, αφού αναφέρθηκε ότι χρησιμοποιήθηκε από φορείς απειλών για να στοχεύσουν κυβερνητικές οντότητες της Ουκρανίας μέσω επιθέσεων phishing.
Εν τω μεταξύ, το Emotet Trojan και το Formbook Infostealer ανέβηκαν στην κατάταξη καταλαμβάνοντας τη δεύτερη και την τρίτη θέση αντίστοιχα, ενώ η Εκπαίδευση/Έρευνα παρέμεινε ο πλέον στοχευμένος κλάδος.
Παρά το γεγονός ότι οι ερευνητές διαπίστωσαν μείωση κατά 44% του μέσου αριθμού εβδομαδιαίων επιθέσεων ανά οργανισμό μεταξύ Οκτωβρίου 2022 και Φεβρουαρίου 2023, η Ουκρανία παραμένει δημοφιλής στόχος για τους εγκληματίες του κυβερνοχώρου μετά τη ρωσική εισβολή. Στην πιο πρόσφατη εκστρατεία, οι επιτιθέμενοι, σε μια μαζική διανομή ηλεκτρονικού ταχυδρομείου, υποδύθηκαν την Ukrtelecom JSC χρησιμοποιώντας ένα κακόβουλο συνημμένο RAR, με σκοπό να εξαπλώσουν το Remcos Trojan, το οποίο επέστρεψε στην κορυφή της λίστας κακόβουλου λογισμικού για πρώτη φορά από τον Οκτώβριο του 2022.
Με την εγκατάστασή του το εργαλείο ανοίγει μια κερκόπορτα στο παραβιασμένο σύστημα, επιτρέποντας πλήρη πρόσβαση στον απομακρυσμένο χρήστη για δραστηριότητες όπως η διαρροή δεδομένων και η εκτέλεση εντολών. Οι συνεχιζόμενες επιθέσεις πιστεύεται ότι συνδέονται με επιχειρήσεις κυβερνοκατασκοπείας λόγω των προτύπων συμπεριφοράς και των επιθετικών δυνατοτήτων των περιστατικών.
“Παρότι έχει μειωθεί ο αριθμός των επιθέσεων με πολιτικά κίνητρα στην Ουκρανία, παραμένει πεδίο μάχης για τους εγκληματίες του κυβερνοχώρου. Ο χακτιβισμός είναι συνήθως ψηλά στην ατζέντα των φορέων απειλών από τότε που ξεκίνησε ο ρωσο-ουκρανικός πόλεμος και οι περισσότεροι έχουν προτιμήσει διασπαστικές μεθόδους επίθεσης, όπως DDoS, για να συγκεντρώσουν τη μεγαλύτερη δημοσιότητα. Ωστόσο, η τελευταία εκστρατεία χρησιμοποίησε μια πιο παραδοσιακή μέθοδο επίθεσης, χρησιμοποιώντας απάτες phishing για να αποκτήσει πληροφορίες χρηστών και να αποσπάσει δεδομένα.
Είναι σημαντικό όλοι οι οργανισμοί και οι κυβερνητικοί φορείς να ακολουθούν ακίνδυνες πρακτικές ασφαλείας κατά τη λήψη και το άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μην κατεβάζετε συνημμένα αρχεία χωρίς προηγούμενο έλεγχο. Αποφύγετε να κάνετε κλικ σε συνδέσμους μέσα στο κυρίως κείμενο του ηλεκτρονικού ταχυδρομείου και ελέγξτε τη διεύθυνση του αποστολέα για τυχόν παρατυπίες, όπως πρόσθετους χαρακτήρες ή ορθογραφικά λάθη”, δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software.
Η CPR αποκάλυψε επίσης ότι η “Web Servers Malicious URL Directory Traversal” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 47% των οργανισμών παγκοσμίως. Ακολούθησε η “Web Server Exposed Git Repository Information Disclosure“, η οποία επηρέασε το 46% των οργανισμών παγκοσμίως, ενώ η “Apache Log4j Remote Code Execution” είναι η τρίτη πιο συχνά χρησιμοποιούμενη ευπάθεια, με παγκόσμιο αντίκτυπο 45%.
Table of Contents
Κορυφαίες οικογένειες κακόβουλου λογισμικού
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Το Qbot ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο πάνω από 7% σε παγκόσμιους οργανισμούς αντίστοιχα, ακολουθούμενο από το Formbook με 5% και το Emotet με 4%.
-
↔ Qbot – Το Qbot AKA Qakbot είναι ένα τραπεζικό Trojan που πρωτοεμφανίστηκε το 2008. Σχεδιάστηκε για να υποκλέψει τα τραπεζικά διαπιστευτήρια ή τις πληκτρολογήσεις ενός χρήστη και διανέμεται συχνά μέσω μηνυμάτων spam. Το Qbot χρησιμοποιεί διάφορες τεχνικές anti–VM, anti–debugging και anti–sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση.
-
↑ FormBook – Το FormBook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε underground hacking forums για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το Formbook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
-
↑ Emotet – Το Emotet είναι ένα προηγμένο, αυτοδιαδιδόμενο και modular Trojan. Το Emotet χρησιμοποιούνταν ως τραπεζικό Trojan, αλλά πρόσφατα χρησιμοποιείται ως διανομέας σε άλλα κακόβουλα προγράμματα ή κακόβουλες εκστρατείες. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της εμμονής και τεχνικές αποφυγής για να αποφύγει την ανίχνευση. Επιπλέον, μπορεί να εξαπλωθεί μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου spam που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.
Βιομηχανίες με τις περισσότερες επιθέσεις παγκοσμίως
Τον περασμένο μήνα, η Εκπαίδευση/Έρευνα παρέμεινε ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από την Κυβέρνηση/Στρατιωτικό τομέα και στη συνέχεια την Υγεία.
1. Εκπαίδευση/Έρευνα
2. Κυβέρνηση/Στρατιωτικός
3. Υγεία
Top ευπάθειες προς εκμετάλλευση
Τον περασμένο μήνα, η “Web Servers Malicious URL Directory Traversal” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 47% των οργανισμών παγκοσμίως. Ακολουθούσε η “Web Server Exposed Git Repository Information Disclosure“, η οποία επηρέασε το 46% των οργανισμών παγκοσμίως, ενώ η “Apache Log4j Remote Code Execution” είναι η τρίτη πιο συχνά χρησιμοποιούμενη ευπάθεια, με παγκόσμιο αντίκτυπο 45%.
- ↑ Web Servers Malicious URL Directory Traversal – Υπάρχει μια ευπάθεια διάσχισης καταλόγου σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
- ↓ Web Server Exposed Git Repository Information Disclosure – Αναφέρθηκε μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Υπάρχει ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
Top Mobile Malwares
Τον περασμένο μήνα το Anubis παρέμεινε το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα Hiddad και AhMyth.
- Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- Hiddad – Το Hiddad είναι ένα κακόβουλο λογισμικό Android το οποίο επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.
- AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας.
Τα Global Threat Impact Index και ThreatCloud Map της Check Point Software, βασίζονται στο ThreatCloud intelligence της εταιρείας, το οποίο παρέχει σε πραγματικό χρόνο, πληροφορίες για απειλές που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών τηλεφώνων. Το ThreatCloud intelligence εμπλουτίζεται με δεδομένα που βασίζονται σε AI και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, το τμήμα Intelligence & Research της Check Point Software Technologies.
Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Φεβρουάριο του 2023 βρίσκεται στο blog της Check Point.