Ερευνητές αποκάλυψαν μια εκστρατεία με το botnet Phorpiex που χρησιμοποιείται για τη διάδοση ransomware μέσω εκατομμυρίων ηλεκτρονικών μηνυμάτων phishing. Εν τω μεταξύ, η ομάδα Lockbit3 Ransomware έχει ανακάμψει μετά από μια σύντομη παύση, αντιπροσωπεύοντας το ένα τρίτο των δημοσιευμένων επιθέσεων ransomware
H Check Point® Software Technologies Ltd., πάροχος πλατφόρμας κυβερνοασφάλειας που υποστηρίζεται από AI και παρέχεται μέσω cloud, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Μάιο του 2024. Τον περασμένο μήνα, οι ερευνητές αποκάλυψαν μια καμπάνια malspam που ενορχηστρώθηκε από το botnet Phorpiex. Τα εκατομμύρια μηνύματα ηλεκτρονικού ταχυδρομείου phishing που στάλθηκαν περιείχαν το LockBit Black – που βασίζεται στο LockBit3 αλλά δεν συνδέεται με την ομάδα Ransomware. Σε μια ασύνδετη εξέλιξη, η πραγματική ομάδα LockBit3 ransomware-as-a-Service (RaaS) αυξήθηκε ραγδαία σε επικράτηση μετά από μια σύντομη παύση μετά την παγκόσμια κατάρριψη από τις διωκτικές αρχές, αντιπροσωπεύοντας το 33% των δημοσιευμένων επιθέσεων.
Οι αρχικοί διαχειριστές του botnet Phorpiex έκλεισαν και πούλησαν τον πηγαίο κώδικα τον Αύγουστο του 2021. Ωστόσο, τον Δεκέμβριο του 2021, η Check Point Research (CPR) ανακάλυψε ότι είχε επανεμφανιστεί ως μια νέα παραλλαγή με την ονομασία “Twizt”, η οποία λειτουργούσε σε ένα αποκεντρωμένο peer-to-peer μοντέλο. Τον Απρίλιο του τρέχοντος έτους, το New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) βρήκε στοιχεία ότι το botnet Phorpiex, το οποίο κατέλαβε την έκτη θέση στο δείκτη απειλών του περασμένου μήνα, χρησιμοποιούνταν για την αποστολή εκατομμυρίων μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing) στο πλαίσιο μιας εκστρατείας LockBit3 ransomware. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου έφεραν συνημμένα αρχεία ZIP, τα οποία, όταν εκτελούνταν τα παραπλανητικά αρχεία .doc.scr που περιείχαν, ενεργοποιούσαν τη διαδικασία κρυπτογράφησης του ransomware. Η εκστρατεία χρησιμοποίησε πάνω από 1.500 μοναδικές διευθύνσεις IP, κυρίως από το Καζακστάν, το Ουζμπεκιστάν, το Ιράν, τη Ρωσία και την Κίνα.
Εν τω μεταξύ, το Check Point Threat Index επισημαίνει πληροφορίες από “ιστότοπους ντροπής” που διαχειρίζονται οι ομάδες ransomware double-extortion, οι οποίες δημοσιεύουν πληροφορίες για τα θύματα προκειμένου να ασκήσουν πίεση σε όσους δεν πληρώνουν. Τον Μάιο, το LockBit3 επιβεβαίωσε εκ νέου την κυριαρχία του, αντιπροσωπεύοντας το 33% των δημοσιευμένων επιθέσεων. Ακολούθησαν οι Inc. Ransom με 7% και το Play με ποσοστό εντοπισμού 5%. Inc. Ransom ανέλαβε πρόσφατα την ευθύνη για ένα σημαντικό περιστατικό στον κυβερνοχώρο που διέκοψε τις δημόσιες υπηρεσίες του Leicester City Council στο Ηνωμένο Βασίλειο, καθώς φέρεται να έκλεψε πάνω από 3 terabytes δεδομένων και να προκάλεσε εκτεταμένη διακοπή λειτουργίας του συστήματος.
“Ενώ τα όργανα επιβολής του νόμου κατάφεραν να διαταράξουν προσωρινά την κυβερνοσυμμορία LockBit3 εκθέτοντας έναν από τους ηγέτες και τους συνεργάτες της, εκτός από την απελευθέρωση πάνω από 7,000 LockBit decryption keys, αυτό δεν είναι ακόμα αρκετό για την πλήρη εξάλειψη της απειλής. Δεν αποτελεί έκπληξη να τους βλέπουμε να ανασυντάσσονται και να αναπτύσσουν νέες τακτικές για να συνεχίσουν τις επιδιώξεις τους”, δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software. “Το Ransomware είναι μία από τις πιο αποδιοργανωτικές μεθόδους επίθεσης που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Μόλις διεισδύσουν στο δίκτυο και αποσπάσουν πληροφορίες, οι επιλογές του στόχου είναι περιορισμένες, ειδικά αν δεν έχει την οικονομική δυνατότητα να πληρώσει τα λύτρα που ζητούνται. Αυτός είναι ο λόγος για τον οποίο οι οργανισμοί πρέπει να είναι σε εγρήγορση για τους κινδύνους και να δίνουν προτεραιότητα στα προληπτικά μέτρα”.
Table of Contents
Top malware οικογένειες
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Το FakeUpdates ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 7% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Androxgh0st με 5% και το Qbot με 3%.
- ↔ FakeUpdates – Το FakeUpdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα ωφέλιμα φορτία στο δίσκο πριν από την εκτόξευσή τους. Το FakeUpdates οδήγησε σε περαιτέρω συμβιβασμό μέσω πολλών πρόσθετων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.
- ↔ Androxgh0st – Το Androxgh0st είναι ένα botnet που στοχεύει σε πλατφόρμες Windows, Mac και Linux. Για την αρχική μόλυνση, το Androxgh0st εκμεταλλεύεται πολλαπλές ευπάθειες, στοχεύοντας συγκεκριμένα- το PHPUnit, το Laravel Framework και τον Apache Web Server. Το κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες, όπως πληροφορίες λογαριασμού Twilio, διαπιστευτήρια SMTP, κλειδί AWS κ.λπ. Χρησιμοποιεί αρχεία Laravel για να συλλέξει τις απαιτούμενες πληροφορίες. Διαθέτει διαφορετικές παραλλαγές οι οποίες σαρώνουν για διαφορετικές πληροφορίες.
- ↔ Qbot – Το Qbot AKA Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα διαπιστευτήρια ενός χρήστη, να καταγράφει πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκοπεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση. Ξεκινώντας το 2022, αναδείχθηκε ως ένα από τα πιο διαδεδομένα Trojans.
Κορυφαία αξιοποιημένα τρωτά σημεία
Τον περασμένο μήνα, η “Command Injection Over HTTP” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 50% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Web Servers Malicious URL Directory Traversal” με 47% και την “Apache Log4j Remote Code Execution” με 46%.
- ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Έχει αναφερθεί μια ευπάθεια που αφορά την έγχυση εντολών μέσω HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει μια ευπάθεια διάσχισης καταλόγου Σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Υπάρχει ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
Κορυφαία κακόβουλα προγράμματα για κινητά
Τον περασμένο μήνα, το Anubis ήταν στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα AhMyth και Hydra.
- ↔ Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, συμπεριλαμβανομένων λειτουργιών Remote Access Trojan (RAT), keylogger, δυνατοτήτων καταγραφής ήχου και διαφόρων λειτουργιών ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- ↔ AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
- ↑ Hydra – Το Hydra είναι ένα τραπεζικό Trojan που έχει σχεδιαστεί για να κλέβει τραπεζικά διαπιστευτήρια ζητώντας από τα θύματα να ενεργοποιούν επικίνδυνα δικαιώματα και πρόσβαση κάθε φορά που εισέρχονται σε οποιαδήποτε τραπεζική εφαρμογή.
Κορυφαία επιτιθέμενες βιομηχανίες παγκοσμίως
Τον περασμένο μήνα, η Εκπαίδευση/Έρευνα παρέμεινε στην πρώτη θέση των κλάδων με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενη από την Κυβέρνηση/Στρατιωτικό τομέα και τις Επικοινωνίες.
- Εκπαίδευση/Ερευνα
- Κυβέρνηση/Στρατός
- Επικοινωνίες
Κορυφαίες ομάδες Ransomware
Τα παρακάτω δεδομένα βασίζονται σε πληροφορίες από “ιστότοπους ντροπής” που διαχειρίζονται ομάδες ransomware διπλού εκβιασμού και δημοσιεύουν πληροφορίες για τα θύματα. Τον περασμένο μήνα, η LockBit3 ήταν η πιο διαδεδομένη ομάδα ransomware τον περασμένο μήνα, υπεύθυνη για το 33% των δημοσιευμένων επιθέσεων, ακολουθούμενη από την Inc. Ransom με 7% και το Play με 5%.
- LockBit3 – Το LockBit3 είναι ένα ransomware, το οποίο λειτουργεί σε μοντέλο RaaS και αναφέρθηκε για πρώτη φορά τον Σεπτέμβριο του 2019. Το LockBit στοχεύει μεγάλες επιχειρήσεις και κυβερνητικούς φορείς από διάφορες χώρες και δεν στοχεύει ιδιώτες στη Ρωσία ή στην Κοινοπολιτεία Ανεξάρτητων Κρατών. Παρά το γεγονός ότι αντιμετώπισε σημαντικές διακοπές λειτουργίας τον Φεβρουάριο του 2024 λόγω της δράσης των αρχών επιβολής του νόμου, το LockBit επανέλαβε τη δημοσίευση πληροφοριών σχετικά με τα θύματά του.
- Ransom – Inc. Ransom είναι μια επιχείρηση εκβιασμού με ransomware που εμφανίστηκε τον Ιούλιο του 2023, πραγματοποιώντας επιθέσεις spear-phishing και στοχεύοντας σε ευάλωτες υπηρεσίες. Οι κύριοι στόχοι της ομάδας είναι οργανισμοί στη Βόρεια Αμερική και την Ευρώπη σε πολλούς τομείς, όπως η υγειονομική περίθαλψη, η εκπαίδευση και η κυβέρνηση. Τα ωφέλιμα φορτία ransomware της Inc. υποστηρίζουν πολλαπλά ορίσματα γραμμής εντολών και χρησιμοποιεί μερική κρυπτογράφηση με προσέγγιση πολλαπλών νημάτων.
- Play – Το Play Ransomware, που αναφέρεται επίσης ως PlayCrypt, είναι ένα ransomware που εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022. Αυτό το ransomware έχει στοχεύσει ένα ευρύ φάσμα επιχειρήσεων και υποδομών ζωτικής σημασίας στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη, επηρεάζοντας περίπου 300 οντότητες μέχρι τον Οκτώβριο του 2023. Το Play Ransomware αποκτά συνήθως πρόσβαση σε δίκτυα μέσω παραβιασμένων έγκυρων λογαριασμών ή με την εκμετάλλευση μη ενημερωμένων ευπαθειών, όπως αυτές στα VPN SSL της Fortinet. Μόλις εισέλθει στο εσωτερικό, χρησιμοποιεί τεχνικές όπως η χρήση δυαδικών αρχείων που ζουν από τη χώρα (LOLBins) για εργασίες όπως η διαρροή δεδομένων και η κλοπή διαπιστευτηρίων.