Η Check Point Research, που αποτελεί το τμήμα έρευνας της Check Point Software Technologies, μιας εκ των κορυφαίων παρόχων λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον παγκόσμιο δείκτη απειλών για τον Ιανουάριο του 2021.
Σύμφωνα με τον οποίο το trojan Emotet παρέμεινε στην πρώτη θέση στην λίστα κακόβουλων προγραμμάτων για δεύτερο μήνα, επηρεάζοντας το 6% των οργανισμών παγκοσμίως, παρά τη διεθνή αστυνομική επιχείρηση η οποία κατάφερε και πήρε τον έλεγχο του botnet στις 27 Ιανουαρίου.
Η επιχείρηση αυτή συνέβαλε στη μείωση κατά 14% στον αριθμό των οργανισμών που επηρεάστηκαν από τη δραστηριότητα του Emotet ενώ κρατικές υπηρεσίες σχεδιάζουν να απεγκαταστήσουν μαζικά το Emotet από μολυσμένους κεντρικούς υπολογιστές στις 25 Απριλίου.
Παρόλα αυτά, το Emotet διατήρησε την πρώτη θέση στο Global Threat Index, επισημαίνοντας τον τεράστιο παγκόσμιο αντίκτυπο που είχε αυτό το botnet. Η καμπάνια κακόβουλων ανεπιθύμητων μηνυμάτων του Emotet χρησιμοποιεί διαφορετικές τεχνικές παράδοσης για τη διάδοση του, συμπεριλαμβανομένων ενσωματωμένων συνδέσμων, συνημμένων εγγράφων ή αρχείων Zip που προστατεύονται με κωδικό πρόσβασης.
Emotet Background Story
Το Emotet εντοπίστηκε πρώτη φορά το 2014, και από τότε ενημερώθηκε τακτικά από τους προγραμματιστές του για να διατηρήσει την αποτελεσματικότητά του για κακόβουλη δραστηριότητα. Το υπουργείο Εσωτερικής Ασφάλειας της Αμερικής έχει εκτιμήσει ότι κάθε περιστατικό που αφορά το Emotet κοστίζει στους οργανισμούς άνω του ενός εκατομμυρίου δολαρίων για να διορθωθεί.
Η Check Point Research προειδοποιεί επίσης ότι το «MVPower DVR Remote Code Execution» είναι η πιο συνηθισμένη εκμετάλλευση ευπάθειας, η οποία επηρέασε το 43% των οργανισμών, ενώ ακολουθεί «HTTP Headers Remote Code Execution (CVE-2020-13756)» που επηρεάζει το 42% των οργανισμών παγκοσμίως.
Το «Dasan GPON Router Authentication Bypass (CVE-2018-10561)» είναι στην 3η θέση στη λίστα με τα πιο εκτεθειμένα τρωτά σημεία, με παγκόσμιο αντίκτυπο 41%.
Οι 3 πιο διαδεδομένα malware για τον Ιανουάριο
- Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware.
Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
- Phorpiex – Ανέβηκε στη δεύτερη θέση, και είναι ένα botnet που είναι γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω καμπανιών ανεπιθύμητων μηνυμάτων, καθώς και για την τροφοδότηση εκστρατειών Sextortion μεγάλης κλίμακας.
- Trickbot – Έπεσε στην τρίτη θέση, από τη δεύτερη, και αποτελεί είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
Οι πιο εκμεταλλεύσιμες ευπάθειες
Τον Ιανουάριο, το «MVPower DVR Remote Code Execution» ήταν η ευπάθεια που χρησιμοποιήθηκε περισσότερο, επηρεάζοντας το 43% των οργανισμών παγκοσμίως, ακολουθεί το “HTTP Headers Remote Code Execution (CVE-2020-13756)” το οποίο επηρέασε το 42% των οργανισμών παγκοσμίως. Το Dasan GPON Router Authentication Bypass (CVE-2018-10561) βρίσκεται στην τρίτη θέση στη λίστα με τα πιο ευάλωτα σημεία εκμετάλλευσης, με συνολικό αντίκτυπο 41%.
Τα 3 πιο γνωστά malware για κινητές συσκευές
Τον Ιανουάριο του 2021 το Hiddad κατέχει την 1η θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα xHelper και Triada.
Hiddad -Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.
xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
Triada – ένα Modular Backdoor για Android, το οποίο παρέχει δικαιώματα superuser για λήψη κακόβουλου λογισμικού
Τα πιο διαδεδομένα malware στην Ελλάδα τον Ιανουάριο
Emotet – Ένα εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
Dridex – Το Dridex είναι ένα Banking Trojan που στοχεύει την πλατφόρμα των Windows μέσω ανεπιθύμητης αλληλογραφίας και Exploit Kits, το οποίο βασίζεται σε WebInjects για να παρακολουθεί και να ανακατευθύνει τραπεζικά διαπιστευτήρια σε διακομιστή που ελέγχεται από τους εισβολείς.
Το Dridex έρχεται σε επαφή με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.
XMRig: “Κλέφτης” CPU
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Phorpiex – Το Phorpiex είναι ένα botnet (γνωστό και ως Trik) από το 2010 το οποίο στην κορύφωση του έλεγχε περισσότερους από ένα εκατομμύριο μολυσμένους κεντρικούς υπολογιστές. Γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω καμπανιών ανεπιθύμητης αλληλογραφίας, καθώς και για την τροφοδότηση καμπανιών ανεπιθύμητης αλληλογραφίας και εκστρατειών μεγάλης κλίμακας.
NJRat– Το njRAT είναι ένα remote access Trojan, στοχεύει κυρίως κυβερνητικούς φορείς και οργανισμούς στη Μέση Ανατολή. Το Trojan εμφανίστηκε για πρώτη φορά το 2012 και έχει πολλές δυνατότητες: καταγραφή πλήκτρων, πρόσβαση στην κάμερα του θύματος, κλοπή διαπιστευτηρίων που είναι αποθηκευμένα σε προγράμματα περιήγησης, μεταφόρτωση και λήψη αρχείων, εκτέλεση διαδικασιών και χειρισμοί αρχείων και προβολή της επιφάνειας εργασίας του θύματος.
Το njRAT μολύνει τα θύματα μέσω επιθέσεων ηλεκτρονικού ψαρέματος (phishing) και λήψεων μέσω δίσκου, και διαδίδεται μέσω μολυσμένων κλειδιών USB ή δικτυακών δίσκων, με την υποστήριξη του λογισμικού διακομιστή Command & Control.
Trickbot: Το τραπεζικό trojan
Trickbot -Κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρία.
Ηπιότερες απειλές
xHelper – Μια κακόβουλη εφαρμογή που εμφανίζεται από τον Μάρτιο του 2019, χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και για την προβολή διαφημίσεων. Η εφαρμογή μπορεί να κρύβεται από τον χρήστη και να επανεγκαθίσταται σε περίπτωση που απεγκατασταθεί.
Qbot -Το Qbot είναι τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials και στοιχεία που πληκτρολογούν οι χρήστες. Συχνά διανέμεται μέσω spam email. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.
FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές.
Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.
Vidar– Το Vidar είναι ένα infolstealer που στοχεύει λειτουργικά συστήματα Windows. Για πρώτη φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού που κατεβάζει το GandCrab ransomware ως δευτερεύον ωφέλιμο φορτίο του.
RATs: Έτσι κλέβουν κωδικούς
AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT (Remote Access Trojan) που αποσπά κωδικούς και στοιχεία κατά την πληκτρολόγηση. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει στοιχεία από το θύμα την στιγμή που αυτό πληκτρολογεί, μπορεί επίσης να καταγράφει στιγμιότυπα από την οθόνη και διαπιστευτήρια εξακρίβωσης που έχουν εισαχθεί για πολλά προγράμματα λογισμικού που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν 15 – 69 δολάρια για άδειες χρήσης.
LimeRAT – Το LimeRAT είναι ένα Trojan σχεδιασμένο για υπολογιστές Windows. Το LimeRAT διαδόθηκε κυρίως ως συνημμένο email, κακόβουλες διαδικτυακές διαφημίσεις και social engineering. Αφού γίνει η μόλυνση, είναι σε θέση να προσθέσει υπολογιστές σε botnets, να εγκαταστήσει backdoors σε μολυσμένα μηχανήματα, να κρυπτογραφήσει αρχεία με τον ίδιο τρόπο όπως το ransomware και να εγκαταστήσει cryptocurrency miners.
Κατασκοπεία
Danabot– Το Danabot είναι ένα Trickler που στοχεύει στην πλατφόρμα των Windows. Το κακόβουλο λογισμικό στέλνει πληροφορίες στον διακομιστή ελέγχου του και κατεβάζει και αποκρυπτογραφεί ένα αρχείο για εκτέλεση στον μολυσμένο υπολογιστή. Σύμφωνα με πληροφορίες, η ληφθείσα ενότητα μπορεί να κατεβάσει άλλα κακόβουλα αρχεία στο δίκτυο. Επιπλέον, το κακόβουλο λογισμικό δημιουργεί μια συντόμευση στο φάκελο εκκίνησης του χρήστη για να επιτύχει παραμονή του στο μολυσμένο σύστημα.
Triada – Το Triada είναι είναι modular backdoor που στοχεύει το σύστημα Android δίνοντας της δυνατότητα στον hacker για λήψη και εγκατάσταση του κακόβουλου λογισμικού. Το Triada έχει επίσης πλαστογραφημένα URL φορτωμένα στο πρόγραμμα περιήγησης.
Ο παγκόσμιος κατάλογος επιπτώσεων
Ο παγκόσμιος κατάλογος επίπτωσης απειλών και ο χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών.
Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως για τον Δεκέμβριο είναι διαθέσιμη στο Check Point Blog.