Η Check Point Software Technologies, κορυφαίος πάροχος λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών (Global Threat Index) για τον Ιούνιο του 2023. Οι ερευνητές διαπίστωσαν ότι το Trojan Qbot είναι το πιο διαδεδομένο κακόβουλο λογισμικό για το 1ο εξάμηνο του 2023, καταλαμβάνοντας την πρώτη θέση στους πέντε από τους έξι μήνες μέχρι σήμερα. Εν τω μεταξύ, το mobile Trojan SpinOk έφτασε στην κορυφή της λίστας κακόβουλου λογισμικού για πρώτη φορά μετά τον εντοπισμό του τον περασμένο μήνα, ενώ το ransomware έγινε πρωτοσέλιδο μετά από μια ευπάθεια zero-day στο λογισμικό κοινής χρήσης αρχείων MOVEIt.
Το Qbot, το οποίο εμφανίστηκε αρχικά το 2008 ως τραπεζικό Trojan, αναπτύσσεται συνεχώς, αποκτώντας πρόσθετες λειτουργίες με σκοπό την κλοπή κωδικών πρόσβασης, μηνυμάτων ηλεκτρονικού ταχυδρομείου και στοιχείων πιστωτικών καρτών. Συνήθως διαδίδεται μέσω μηνυμάτων spam και χρησιμοποιεί διάφορες τεχνικές, όπως μεθόδους anti-VM, anti-debugging και anti-sandbox, για να παρεμποδίζει την ανάλυση και να αποφεύγει τον εντοπισμό. Επί του παρόντος, ο πρωταρχικός του ρόλος είναι να λειτουργεί ως loader για άλλο κακόβουλο λογισμικό, λειτουργώντας ως σκαλοπάτι για τους δράστες ransomware επιθέσεων.
Εν τω μεταξύ, οι ερευνητές ανακάλυψαν ένα παραγωγικό κακόβουλο λογισμικό για κινητά τηλέφωνα που έχει συγκεντρώσει μέχρι στιγμής 421 εκατομμύρια λήψεις. Τον περασμένο μήνα, για πρώτη φορά, το Trojanized Software Development Kit (SDK) SpinOk έφτασε στην κορυφή των οικογενειών κακόβουλου λογισμικού για κινητά. Χρησιμοποιημένο από πολλές δημοφιλείς εφαρμογές για σκοπούς μάρκετινγκ, αυτό το κακόβουλο λογισμικό έχει διεισδύσει σε εξαιρετικά δημοφιλείς εφαρμογές και παιχνίδια, ορισμένα από τα οποία ήταν διαθέσιμα στο Google Play Store. Ικανό να κλέβει ευαίσθητες πληροφορίες από τις συσκευές και να παρακολουθεί τις δραστηριότητες του πρόχειρου, το κακόβουλο λογισμικό SpinOk αποτελεί σοβαρή απειλή για την ιδιωτικότητα και την ασφάλεια των χρηστών, υπογραμμίζοντας την ανάγκη για προληπτικά μέτρα προστασίας των προσωπικών δεδομένων και των κινητών συσκευών. Αποτελεί επίσης μια έντονη υπενθύμιση των καταστροφικών δυνατοτήτων των επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού.
Τον περασμένο μήνα ξεκίνησε επίσης μια μεγάλης κλίμακας εκστρατεία ransomware που επηρέασε οργανισμούς σε όλο τον κόσμο. Τον Μάιο του 2023, η Progress Software Corporation αποκάλυψε μια ευπάθεια στα MOVEit Transfer και MOVEit Cloud (CVE-2023-34362) που θα μπορούσε να επιτρέψει μη εξουσιοδοτημένη πρόσβαση στο περιβάλλον. Παρά την επιδιόρθωσή της εντός 48 ωρών, εγκληματίες του κυβερνοχώρου που συνδέονται με την ομάδα ransomware Clop, η οποία συνδέεται με τη Ρωσία, εκμεταλλεύτηκαν την ευπάθεια και εξαπέλυσαν επίθεση στην αλυσίδα εφοδιασμού εναντίον χρηστών του MOVEit. Μέχρι σήμερα, 108 οργανισμοί – μεταξύ των οποίων επτά πανεπιστήμια των ΗΠΑ – έχουν καταγραφεί επίσημα σε λίστα, μετά το περιστατικό, με εκατοντάδες χιλιάδες αρχεία τους να έχουν υποκλαπεί.
“Η εκμετάλλευση του MOVEit αποδεικνύει ότι το 2023 είναι ήδη μια σημαντική χρονιά για το ransomware. Εξέχουσες ομάδες όπως η Clop δεν λειτουργούν με την τακτική μόλυνσης ενός μόνο στόχος, αλλά αντίθετα, κάνουν τις επιχειρήσεις τους πιο αποτελεσματικές εκμεταλλευόμενες λογισμικό που χρησιμοποιείται ευρέως σε εταιρικό περιβάλλον. Αυτή η προσέγγιση σημαίνει ότι μπορούν να φτάσουν σε εκατοντάδες θύματα με μία μόνο επίθεση” δήλωσε η Maya Horowitz, VP Research της Check Point Software. “Αυτό το μοτίβο επίθεσης υπογραμμίζει τη σημασία για τις εταιρείες να εφαρμόζουν μια πολυεπίπεδη στρατηγική ασφάλειας στον κυβερνοχώρο και να δίνουν προτεραιότητα στην ταχεία επιδιόρθωση όταν αποκαλύπτονται ευπάθειες”.
Η CPR αποκάλυψε επίσης ότι το “Web Servers Malicious URL Directory Traversal” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση τον περασμένο μήνα, επηρεάζοντας το 51% των οργανισμών παγκοσμίως, ακολουθούμενη από το “Apache Log4j Remote Code Execution” με 46% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” ήταν η τρίτη πιο συχνά χρησιμοποιούμενη ευπάθεια, με παγκόσμιο αντίκτυπο 44%.
Κορυφαίες οικογένειες κακόβουλου λογισμικού
Το Qbot ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 7% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Formbook με παγκόσμιο αντίκτυπο 4% και το Emotet με παγκόσμιο αντίκτυπο 3%.
- ↔ Qbot – Qbot AKA Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα διαπιστευτήρια ενός χρήστη, να καταγράφει πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκοπεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση.
- ↔ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (Malware as a Service – MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
- ↑ Emotet – Το Emotet είναι ένα προηγμένο, αυτοδιαδιδόμενο και αρθρωτό Trojan. Το Emotet κάποτε χρησιμοποιούταν ως τραπεζικός Trojan και πρόσφατα έγινε διανομέας για άλλα κακόβουλα προγράμματα ή κακόβουλες καμπάνιες. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της επιμονής και τις τεχνικές Αποφυγής για την αποφυγή ανίχνευσης. Επιπλέον, μπορεί να διαδοθεί μέσω phishing spam email που περιέχουν κακόβουλα συνημμένα ή συνδέσμους.
Βιομηχανίες με τις περισσότερες επιθέσεις παγκοσμίως
Τον περασμένο μήνα, η εκπαίδευση/έρευνα παρέμεινε στην πρώτη θέση ως ο κλάδος με τη μεγαλύτερη εκμετάλλευση παγκοσμίως, ακολουθούμενη από την κυβέρνηση/στρατό και την υγειονομική περίθαλψη.
- Εκπαίδευση/Ερευνα
- Κυβέρνηση/Στρατός
- Υγεία
Ευπάθειες με το μεγαλύτερο ποσοστό εκμετάλλευσης
Τον περασμένο μήνα, η “Web Servers Malicious URL Directory Traversal“ ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 51% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Apache Log4j Remote Code Execution“ με 46% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution“ ήταν η τρίτη πιο συχνά χρησιμοποιούμενη ευπάθεια, με παγκόσμιο αντίκτυπο 44%.
- ↔ Web Servers Malicious URL Directory Traversal – Υπάρχει μια ευπάθεια διάσχισης καταλόγου σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
- ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Υπάρχει ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Οι HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη κεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Κορυφαία κακόβουλα προγράμματα για κινητά
Τον περασμένο μήνα το SpinOk ανέβηκε στην πρώτη θέση των πιο διαδεδομένων κακόβουλων προγραμμάτων για κινητά, ακολουθούμενο από τα Anubis και AhMyth.
- SpinOk – Το SpinOk είναι μια μονάδα λογισμικού Android που λειτουργεί ως λογισμικό κατασκοπείας. Συλλέγει πληροφορίες σχετικά με τα αρχεία που είναι αποθηκευμένα σε συσκευές και είναι σε θέση να τις μεταφέρει σε κακόβουλους φορείς απειλών. Το κακόβουλο module βρέθηκε να υπάρχει σε περισσότερες από 100 εφαρμογές Android και να έχει μεταφορτωθεί περισσότερες από 421.000.000 φορές μέχρι τις 23 Μαΐου.
- Anubis – Το Anubis είναι ένα κακόβουλο τραπεζικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορα ransomware χαρακτηριστικά. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
Malware_Family_Name | Global Impact | Country Impact |
Qbot | 6.69% | 13.53% |
Emotet | 2.65% | 10.32% |
Guloader | 2.44% | 9.63% |
Formbook | 3.52% | 8.49% |
Remcos | 1.79% | 7.34% |
AgentTesla | 2.39% | 6.65% |
Lokibot | 1.61% | 3.67% |
XMRig | 2.43% | 2.75% |
Nanocore | 1.67% | 2.52% |
Pony | 0.47% | 2.29% |
Τα Global Threat Impact Index και ThreatCloud Map της Check Point Software, βασίζονται στο ThreatCloud intelligence της εταιρείας, το οποίο παρέχει σε πραγματικό χρόνο, πληροφορίες για απειλές που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών τηλεφώνων. Το ThreatCloud intelligence εμπλουτίζεται με δεδομένα που βασίζονται σε AI και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, το τμήμα Intelligence & Research της Check Point Software Technologies. Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Ιούνιο του 2023 βρίσκεται στο Check Point blog.