Η Check Point Research, το τμήμα έρευνας της Check Point Software Technologies, ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για το Μάρτιο του 2019. Ο κατάλογος απειλών αποκαλύπτει ότι ενώ τα malware που προσφέρουν υπηρεσίες cryptomining, όπως το Coinhive, σταμάτησαν να λειτουργούν, τα cryptominers εξακολουθούν να αποτελούν το πιο διαδεδομένο κακόβουλο λογισμικό για οργανισμούς, παγκοσμίως.
Όπως ανακοινώθηκε τον περασμένο μήνα, τόσο η Coinhive όσο και η Authedmine σταμάτησαν να προσφέρουν υπηρεσίες mining στις 8 Μαρτίου. Για πρώτη φορά από τον Δεκέμβριο του 2017 το Coinhive «κατέβηκε» από την πρώτη θέση της λίστας απειλών, ενώ, παρόλο που εντός Μαρτίου λειτούργησε μόνο για οκτώ ημέρες, κατέκτησε την έκτη θέση στην σχετική λίστα με malwares που επηρέασαν οργανισμούς τον προηγούμενο μήνα. Αξίζει να σημειωθεί πως στο αποκορύφωμά της χρήσης του, το Coinhive επηρέασε το 23% των οργανισμών παγκοσμίως.
Πολλοί ιστότοποι εξακολουθούν να περιέχουν τον κώδικα JavaScript Coinhive, χωρίς, ωστόσο, να πραγματοποιούνται δραστηριότητες mining. Οι ερευνητές της Check Point προειδοποιούν ότι το Coinhive μπορεί να επανενεργοποιηθεί εάν αυξηθεί η αξία του Monero. Εναλλακτικά, άλλες υπηρεσίες mining ενδέχεται να αυξήσουν τη δραστηριότητά τους για να επωφεληθούν από την απουσία του Coinhive.
Κατά τη διάρκεια του Μαρτίου, τα τρία από τα πρώτα πέντε πιο διαδεδομένα κακόβουλα προγράμματα ήταν cryptominers – τα Cryptoloot, XMRig και JSEcoin. Το Cryptoloot βρέθηκε στην πρώτη θέση του Καταλόγου Απειλών για πρώτη φορά ενώ ακολούθησε το modular trojan, Emotet. Κάθε ένα από τα 2 συγκεκριμένα κακόβουλα λογισμικά είχε αντίκτυπο στο 6% των οργανισμών σε παγκόσμιο επίπεδο. Το XMRig, ήταν το τρίτο πιο δημοφιλές malware, πλήττοντας το 5% των οργανισμών σε όλο τον κόσμο.
Η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών στην Check Point, δήλωσε: «Με τις τιμές των κρυπτονομισμάτων να βρίσκονται σε μείωση από το 2018, θα δούμε και άλλα προγράμματα cryptomining για browsers να ακολουθούν τα βήματα του Coinhive και να σταματούν τη λειτουργία τους. Ωστόσο, υποψιάζομαι ότι οι εγκληματίες του κυβερνοχώρου θα βρουν τρόπους να αποκομίσουν οφέλη από πιο ισχυρές δραστηριότητες cryptomining, όπως το mining σε περιβάλλον Cloud, όπου το ενσωματωμένο χαρακτηριστικό auto – scaling, επιτρέπει τη δημιουργία ενός πιο ισχυρού συστήματος παραγωγής κρυπτονομισμάτων. Υπάρχουν περιπτώσεις οργανισμών οι οποίοι κλήθηκαν να καταβάλλουν εκατοντάδες χιλιάδες δολάρια σε προμηθευτές υπηρεσιών Cloud, για τη χρήση υπολογιστικών πόρων που χρησιμοποιούνται παράνομα από προγράμματα cryptomining. Οι οργανισμοί πρέπει να δράσουν άμεσα προκειμένου να προστατεύσουν τα Cloud περιβάλλοντά τους».
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Μάρτιο 2019:
- ↑ Cryptoloot – Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για cryptomining – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive, προσπαθώντας να το εκτοπίσει ζητώντας μικρότερο ποσοστό των εσόδων από τους ιστότοπους.
- ↑ Emotet – Εξελιγμένο modular Trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών ενώ πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους για να παραμένει στο σύστημα καθώς και τεχνικές αποφυγής για να μην ανιχνεύεται. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
- ↑ XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Αυτό το μήνα, το Hiddad είναι το πλέον διαδεδομένο κακόβουλο λογισμικό για κινητές συσκευές, αντικαθιστώντας το Lotoor στην πρώτη θέση του καταλόγου με τα πιο διαδεδομένα κακόβουλα λογισμικά για κινητές συσκευές. Το Triada παραμένει στην τρίτη θέση.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές τον Μάρτιο:
- ↑ Hiddad – Κακόβουλο λογισμικό Android που ανασυσκευάζει νόμιμες εφαρμογές και εν συνεχεία τις καθιστά διαθέσιμες σε third-party κατάστημα. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, ωστόσο, είναι επίσης ικανό να αποκτήσει πρόσβαση σε σημαντικά στοιχεία ασφάλειας που ενσωματώνονται στο λειτουργικό σύστημα, επιτρέποντας σε κάποιον εισβολέα να αποκτήσει ευαίσθητα δεδομένα του χρήστη.
- ↓ Lotoor– Εργαλείο κυβερνοπειρατείας (χάκινγκ) που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για την απόκτηση δικαιωμάτων πλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.
- ↔ Triada – Μodular backdoor για Android που εκχωρεί δικαιώματα super user σε κακόβουλο λογισμικό που έχει ληφθεί, βοηθώντας το να ενσωματωθεί σε διαδικασίες του συστήματος. Το Triada έχει παρατηρηθεί επίσης ότι παραποιεί διευθύνσεις URL που φορτώνονται στο πρόγραμμα περιήγησης.
Οι ερευνητές της Check Point ανέλυσαν επίσης τις κυβερνο-ευπάθειες που γίνονται συχνότερα αντικείμενο εκμετάλλευσης. Το CVE-2017-7269 εξακολουθεί να βρίσκεται στην κορυφή των ευπαθειών που γίνονται αντικείμενο εκμετάλλευσης, με ποσοστό 44%. Η ευπάθεια αποκάλυψης πληροφοριών Web Server Exposed Git Repository Information Disclosure βρέθηκε στη δεύτερη θέση, με την ευπάθεια αποκάλυψης πληροφοριών OpenSSL TLS DTLS Heartbeat Information Disclosure να ακολουθεί στην τρίτη. Οι δύο τελευταίες ευπάθειες επηρέασαν το 40% των οργανισμών παγκοσμίως.
Οι 3 ευπάθειες «που γίνονται συχνότερα αντικείμενο εκμετάλλευσης» για τον Μάρτιο:
- ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Μέσω της αποστολής ενός κατασκευασμένου αιτήματος διαμέσου ενός δικτύου στο Microsoft Windows Server 2003 R2 μέσω του Microsoft Internet Information Services 6.0, ένας απομακρυσμένος εισβολέας θα μπορούσε να εκτελέσει τρίτο κώδικα ή να προκαλέσει συνθήκες άρνησης υπηρεσιών στον διακομιστή στόχο. Αυτό οφείλεται κυρίως σε μια ευπάθεια υπερχείλισης ενδιάμεσης μνήμης, η οποία προκαλείται από την εσφαλμένη επικύρωση μιας μεγάλης κεφαλίδας σε αίτημα HTTP.
- ↑ Web Server Exposed Git Repository Information Disclosure – Υπάρχουν αναφορές για ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση της συγκεκριμένης ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμών χρηστών.
- ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Μια ευπάθεια αποκάλυψης πληροφοριών που υπάρχει στο OpenSSL. Η ευπάθεια οφείλεται σε ένα σφάλμα κατά το χειρισμό πακέτων heartbeat TLS/DTLS. Ένας εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια για να αποκαλύψει περιεχόμενα της μνήμης ενός συνδεδεμένου συστήματος-πελάτη ή διακομιστή.
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει περισσότερες από 250 εκατομμύρια διευθύνσεις που αναλύονται για τον εντοπισμό bot, περισσότερες από 11 εκατομμύρια υπογραφές κακόβουλου λογισμικού και περισσότερους από 5,5 εκατομμύρια μολυσμένους ιστότοπους, ενώ αναγνωρίζει εκατομμύρια τύπους κακόβουλου λογισμικού καθημερινά.
Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Μάρτιο είναι:
Coinhive – Λογισμικό παραγωγής κρυπτονομισμάτων που έχει σχεδιαστεί για να εκτελεί διαδικτυακή παραγωγή του κρυπτονομίσματος Monero όταν ο χρήστης επισκέπτεται μια ιστοσελίδα, χωρίς την έγκριση του χρήστη. Το JavaScript που εμφυτεύεται χρησιμοποιεί πολλούς υπολογιστικούς πόρους των μηχανημάτων των τελικών χρηστών για την παραγωγή νομισμάτων, επηρεάζοντας συνεπώς την απόδοσή τους.
Lokibot – Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσω email ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για την υποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώς και κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων και διακομιστές FTP.
Emotet – Εξελιγμένο modular Trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
JSEcoin – Λογισμικό παραγωγής JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό παραγωγής απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.
Cryptoloot – Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για την παραγωγή κρυπτονομισμάτων – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive.
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Dorkbot – Worm που βασίζεται στο IRC, σχεδιασμένο για να επιτρέπει την απομακρυσμένη εκτέλεση κώδικα από το χειριστή του, καθώς και τη λήψη πρόσθετου κακόβουλου λογισμικού στο μολυσμένο σύστημα, με βασικό σκοπό την υποκλοπή ευαίσθητων πληροφοριών και την πραγματοποίηση επιθέσεων άρνησης υπηρεσιών.
Kryptik – Το Kryptik είναι ένας δούρειος ίππος που έχει ως στόχο την πλατφόρμα Windows. Συλλέγει πληροφορίες για το σύστημα και τις αποστέλλει στον απομακρυσμένο διακομιστή. Μπορεί να λαμβάνει και να εκτελεί πρόσθετα αρχεία κακόβουλου λογισμικού σε ένα μολυσμένο σύστημα.
Nivdort – To Nivdort αποτελεί μια οικογένεια Trojan λογισμικού που έχει ως στόχο την πλατφόρμα Windows. Συλλέγει κωδικούς πρόσβασης και πληροφορίες συστήματος ή ρυθμίσεις όπως την έκδοση των Windows, τη διεύθυνση IP, τη διαμόρφωση του λογισμικού και την κατά προσέγγιση τοποθεσία. Ορισμένες εκδόσεις αυτού του κακόβουλου λογισμικού συλλέγουν στοιχεία πληκτρολόγησης
Ramnit – To Ramnit είναι ένα worm που μολύνει και εξαπλώνεται κυρίως μέσω αφαιρούμενων μονάδων δίσκου και αρχείων που φορτώνονται σε δημόσιες υπηρεσίες FTP. Το κακόβουλο λογισμικό δημιουργεί ένα αντίγραφο του εαυτού του για να μολύνει αφαιρούμενα και μόνιμα προγράμματα οδήγησης. Το κακόβουλο λογισμικό λειτουργεί επίσης ως backdoor.
Οι Πηγές Πρόληψης Απειλών της Check Point είναι διαθέσιμες στον ιστότοπο http://www.checkpoint.com/threat-prevention-resources/index.html