Η Check Point Software Technologies, κορυφαίος πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Σεπτέμβριο του 2023. Οι ερευνητές έχουν διαπιστώσει μια νέα stealth εκστρατεία phishing με στόχο κολομβιανές επιχειρήσεις, η οποία έχει σχεδιαστεί για να διαδώσει διακριτικά το Remcos Remote Access Trojan (RAT). Εν τω μεταξύ, το Formbook κατέλαβε την πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό μετά την κατάρρευση του Qbot, ενώ η Εκπαίδευση παραμένει ο πιο στοχευμένος κλάδος.
Τον Σεπτέμβριο, η Check Point Research αποκάλυψε μια σημαντική εκστρατεία ηλεκτρονικού “ψαρέματος” που είχε ως στόχο περισσότερες από 40 εξέχουσες εταιρείες σε διάφορους κλάδους στην Κολομβία. Ο στόχος ήταν η κρυφή εγκατάσταση του Remcos RAT στους υπολογιστές των θυμάτων. Το Remcos, το οποίο ήταν το δεύτερο πιο διαδεδομένο κακόβουλο λογισμικό τον Σεπτέμβριο, είναι ένα εξελιγμένο RAT τύπου “Swiss Army Knife” που παρέχει πλήρη έλεγχο του μολυσμένου υπολογιστή και μπορεί να χρησιμοποιηθεί σε διάφορες επιθέσεις. Οι συνήθεις συνέπειες μιας μόλυνσης Remcos περιλαμβάνουν κλοπή δεδομένων, επακόλουθες μολύνσεις και κατάληψη λογαριασμού.
Τον περασμένο μήνα το Qbot βγήκε εντελώς από τη λίστα με τα κορυφαία κακόβουλα προγράμματα, αφού το FBI κατέλαβε τον έλεγχο του τον Αύγουστο που πέρασε. Αυτό σηματοδοτεί το τέλος μιας μακράς πορείας ως το πιο διαδεδομένο κακόβουλο λογισμικό, κατέχοντας την κορυφή της λίστας κατά το μεγαλύτερο μέρος του 2023.
“Η εκστρατεία που αποκαλύψαμε στην Κολομβία προσφέρει μια ματιά στον περίπλοκο κόσμο των τεχνικών αποφυγής που χρησιμοποιούν οι επιτιθέμενοι. Είναι επίσης μια καλή απεικόνιση του πόσο επεμβατικές είναι αυτές οι τεχνικές και γιατί πρέπει να χρησιμοποιήσουμε την ανθεκτικότητα στον κυβερνοχώρο για να προστατευτούμε από διάφορους τύπους επιθέσεων”, δήλωσε η Maya Horowitz, VP Research στην Check Point Software.
Η CPR αποκάλυψε επίσης ότι το “Web Servers Malicious URL Directory Traversal” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση τον περασμένο μήνα, επηρεάζοντας το 47% των οργανισμών παγκοσμίως, ακολουθούμενη από το “Command Injection Over HTTP” με 42% και το “Zyxel ZyWALL Command Injection” με 39%.
Κορυφαίες οικογένειες malware
Το Formbook ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 3% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Remcos με παγκόσμιο αντίκτυπο 2% και το Emotet με παγκόσμιο αντίκτυπο 2%.
- ↑ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (Malware as a Service – MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το Formbook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
- ↑ Remcos – Το Remcos είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που πρωτοεμφανίστηκε στη φύση το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office, τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM, και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windows και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.
- ↑ Emotet – Το Emotet είναι ένα προηγμένο, αυτοδιαδιδόμενο και modular Trojan. Το Emotet, που κάποτε χρησιμοποιούνταν ως τραπεζικό Trojan, έχει πρόσφατα χρησιμοποιηθεί ως διανομέας άλλου κακόβουλου λογισμικού ή κακόβουλων εκστρατειών. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της εμμονής και τεχνικές αποφυγής για να αποφύγει την ανίχνευση. Επιπλέον, μπορεί να εξαπλωθεί μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου spam τύπου phishing που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.
Οι Κλάδοι με τις Περισσότερες Επιθέσεις Παγκοσμίως
Τον περασμένο μήνα η Εκπαίδευση/Έρευνα παρέμεινε στην πρώτη θέση ως ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τις Επικοινωνίες και την Κυβέρνηση/Στρατιωτικό τομέα.
- Εκπαίδευση/Ερευνα
- Επικοινωνίες
- Κυβέρνηση/Στρατός
Οι πλέον εκμεταλλεύσιμες ευπάθειες
Τον περασμένο μήνα, το “Web Servers Malicious URL Directory Traversal“ ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 47% των οργανισμών παγκοσμίως, ακολουθούμενη από το “Command Injection Over HTTP“ με 42% και το “Zyxel ZyWALL Command Injection“ με 39%.
- ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει μια ευπάθεια στο directory traversal σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
- ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Έχει αναφερθεί μια ευπάθεια που αφορά την διαρροή εντολών μέσω HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.
- ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Υπάρχει ευπάθεια στο Zyxel ZyWALL λόγω εισαγωγής εντολών. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επέτρεπε σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετες εντολές του λειτουργικού συστήματος στο επηρεαζόμενο σύστημα.
Top Mobile Malwares
Τον περασμένο μήνα το Anubis παρέμεινε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα AhMyth και SpinOk.
- Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan σχεδιασμένο για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, συμπεριλαμβανομένων λειτουργιών Remote Access Trojan (RAT), keylogger, δυνατοτήτων καταγραφής ήχου και διαφόρων λειτουργιών ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
- SpinOk – Το SpinOk είναι μια μονάδα λογισμικού Android που λειτουργεί ως λογισμικό κατασκοπείας. Συλλέγει πληροφορίες σχετικά με τα αρχεία που είναι αποθηκευμένα στις συσκευές και είναι σε θέση να τις μεταφέρει σε κακόβουλους φορείς απειλών. Το κακόβουλο module βρέθηκε να υπάρχει σε περισσότερες από 100 εφαρμογές Android και έχει μεταφορτωθεί περισσότερες από 421.000.000 φορές από τον Μάιο του 2023.
Ο Παγκόσμιος Δείκτης Επιπτώσεων Απειλών (Global Threat Impact Index) της Check Point και το ThreatCloud Map τροφοδοτούνται από την τεχνολογία ThreatCloud της Check Point. Το ThreatCloud παρέχει πληροφορίες για απειλές σε πραγματικό χρόνο που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, σε δίκτυα, τερματικά σημεία και κινητά τηλέφωνα. Η νοημοσύνη εμπλουτίζεται με μηχανές βασισμένες στην τεχνητή νοημοσύνη και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, τον βραχίονα νοημοσύνης και έρευνας της Check Point Software Technologies.
Ο πλήρης κατάλογος με τις δέκα οικογένειες κακόβουλου λογισμικού που κατέλαβαν την πρώτη θέση τον Σεπτέμβριο βρίσκεται στο ιστολόγιο της Check Point.