Η Check Point Software Technologies, κορυφαίος πάροχος πλατφόρμας κυβερνοασφάλειας με λύσεις που βασίζονται στην τεχνητή νοημοσύνη και παρέχονται μέσω cloud, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Αύγουστο του 2024. Στη λίστα αποκαλύπτεται πως το ransomware παραμένει κυρίαρχη δύναμη, με το RansomHub να διατηρεί τη θέση του ως η κορυφαία ομάδα της κατηγορίας. Αυτή η λειτουργία Ransomware-as-a-Service (RaaS) επεκτάθηκε γρήγορα από την αλλαγή της επωνυμίας της από ransomware Knight, παραβιάζοντας περισσότερα από 210 θύματα παγκοσμίως. Εν τω μεταξύ, την εμφάνισή του έκανε το Meow ransomware, το οποίο μετατοπίστηκε από την κρυπτογράφηση στην πώληση κλεμμένων δεδομένων.
Τον περασμένο μήνα, το RansomHub εδραίωσε τη θέση του ως η κορυφαία απειλή ransomware, όπως αναφέρεται λεπτομερώς σε κοινή έκθεση των FBI, CISA, MS-ISAC και HHS. Αυτή η RaaS λειτουργία επιτίθεται σε συστήματα σε περιβάλλοντα Windows, macOS, Linux και κυρίως VMware ESXi, χρησιμοποιώντας εξελιγμένες τεχνικές κρυπτογράφησης.
Τον Αύγουστο παρατηρήθηκε επίσης άνοδος του ransomware Meow, το οποίο εξασφάλισε για πρώτη φορά τη δεύτερη θέση στη λίστα με τα κορυφαία ransomware. Προερχόμενο από μια παραλλαγή του ransomware Conti, το Meow έχει μετατοπίσει την εστίασή του από την κρυπτογράφηση στην εξαγωγή δεδομένων, μετατρέποντας την ιστοσελίδα για εκβιασμούς σε ένα data-leak marketplace. Σε αυτό το μοντέλο, τα κλεμμένα δεδομένα πωλούνται στον πλειοδότη, αποκλίνοντας από τις παραδοσιακές τακτικές εκβιασμού με ransomware.
«Η ανάδειξη του RansomHub τον Αύγουστο ως η κορυφαία απειλή ransomware υπογραμμίζει την αυξανόμενη πολυπλοκότητα των επιχειρήσεων Ransomware-as-a-Service», δήλωσε η Maya Horowitz, VP of Research στην Check Point Software. «Οι οργανισμοί πρέπει να είναι τώρα πιο προσεκτικοί από ποτέ. Η άνοδος του ransomware Meow αναδεικνύει τη στροφή προς τις αγορές διαρροής δεδομένων, σηματοδοτώντας μια νέα μέθοδο κερδοφορίας για τους χειριστές ransomware, όπου τα κλεμμένα δεδομένα πωλούνται όλο και περισσότερο σε τρίτους, αντί να δημοσιεύονται απλώς στο διαδίκτυο. Καθώς αυτές οι απειλές εξελίσσονται, οι επιχειρήσεις πρέπει να παραμένουν σε εγρήγορση, να υιοθετούν προληπτικά μέτρα ασφαλείας και να ενισχύουν συνεχώς την άμυνά τους απέναντι σε όλο και πιο εξελιγμένες επιθέσεις».
Top malware families
*Τα βέλη αφορούν την αλλαγή στην κατάταξη σε σχέση με τον προηγούμενο μήνα.
- ↔ FakeUpdates – Το FakeUpdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Καταγράφει τα ωφέλιμα φορτία στο δίσκο πριν από την εκτόξευσή τους. Το FakeUpdates οδήγησε σε περαιτέρω συμβιβασμό μέσω πολλών πρόσθετων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.
- ↔ Androxgh0st – Το Androxgh0st είναι ένα botnet που στοχεύει σε πλατφόρμες Windows, Mac και Linux. Για την αρχική μόλυνση, το Androxgh0st εκμεταλλεύεται πολλαπλές ευπάθειες, στοχεύοντας συγκεκριμένα- το PHPUnit, το Laravel Framework και τον Apache Web Server. Το κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες, όπως πληροφορίες λογαριασμού Twilio, διαπιστευτήρια SMTP, κλειδί AWS κ.λπ. Χρησιμοποιεί αρχεία Laravel για να συλλέξει τις απαιτούμενες πληροφορίες. Διαθέτει διαφορετικές παραλλαγές οι οποίες σαρώνουν για διαφορετικές πληροφορίες.
- ↑ Phorpiex – Το Phorpiex είναι ένα botnet γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω εκστρατειών spam, καθώς και για την τροφοδότηση εκστρατειών Sextortion μεγάλης κλίμακας.
Top exploited vulnerabilities
- ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Έχει αναφερθεί η ευπάθεια Command Injection over HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να την εκμεταλλευτεί στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.
- ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771( – Ευπάθεια έγχυσης εντολών στο Zyxel ZyWALL. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επιτρέψει σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετες εντολές του λειτουργικού συστήματος στο σύστημα που επηρεάζεται.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – Επικεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Top Mobile Malwares
Τον Αύγουστο το Joker βρέθηκε στην 1η θέση των πιο διαδεδομένων κακόβουλων προγραμμάτων για κινητά, ακολουθούμενο από τα Anubis και Hydra.
- ↔ Joker – Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό εγγράφει το θύμα εν αγνοία του για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.
- ↔ Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan σχεδιασμένο για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- ↑ Hydra – Το Hydra είναι ένα τραπεζικό Trojan που έχει σχεδιαστεί για την κλοπή τραπεζικών διαπιστευτηρίων ζητώντας από τα θύματα να ενεργοποιούν επικίνδυνα δικαιώματα και πρόσβαση κάθε φορά που εισέρχονται σε οποιαδήποτε τραπεζική εφαρμογή.
Top–Attacked Industries Globally
Αυτόν τον μήνα η Εκπαίδευση/Έρευνα παρέμεινε στην 1η θέση των βιομηχανιών που δέχθηκαν επίθεση παγκοσμίως, ακολουθούμενη από την Κυβέρνηση/Στρατιωτικό τομέα και την Υγεία.
- Εκπαίδευση/Ερευνα
- Κυβέρνηση/στρατός
- Υγεία
Top Ransomware Groups
- RansomHub – Το RansomHub είναι μια επιχείρηση Ransomware-as-a-Service (RaaS) που προέκυψε ως μια αναβαθμισμένη έκδοση του προηγουμένως γνωστού ransomware Knight. Το RansomHub, που εμφανίστηκε στις αρχές του 2024 σε υπόγεια φόρουμ κυβερνοεγκλήματος, απέκτησε γρήγορα φήμη για τις επιθετικές εκστρατείες του που στόχευαν διάφορα συστήματα, συμπεριλαμβανομένων των Windows, macOS, Linux και ιδιαίτερα περιβάλλοντα VMware ESXi, χρησιμοποιώντας εξελιγμένες μεθόδους κρυπτογράφησης.
- Meow – Το Meow Ransomware είναι μια παραλλαγή βασισμένη στο ransomware Conti, γνωστή για την κρυπτογράφηση ενός ευρέος φάσματος αρχείων σε συστήματα που έχουν παραβιαστεί και την προσθήκη της επέκτασης «.MEOW» σε αυτά. Αφήνει ένα σημείωμα λύτρων με την ονομασία «readme.txt», το οποίο δίνει οδηγίες στα θύματα να επικοινωνήσουν με τους επιτιθέμενους μέσω email ή Telegram για να διαπραγματευτούν την καταβολή λύτρων. Το Meow Ransomware εξαπλώνεται μέσω διαφόρων φορέων, όπως μη προστατευμένες διαμορφώσεις RDP, spam ηλεκτρονικού ταχυδρομείου και κακόβουλες λήψεις, και χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης ChaCha20 για να κλειδώσει αρχεία, εξαιρουμένων των αρχείων «.exe» και των αρχείων κειμένου.
- Lockbit3 – Το LockBit είναι ένα ransomware, που λειτουργεί σε μοντέλο RaaS, το οποίο αναφέρθηκε για πρώτη φορά τον Σεπτέμβριο του 2019. Το LockBit στοχεύει μεγάλες επιχειρήσεις και κυβερνητικούς φορείς από διάφορες χώρες και δεν στοχεύει ιδιώτες στη Ρωσία ή στην Κοινοπολιτεία Ανεξάρτητων Κρατών.
Ο πλήρης κατάλογος των δέκα κορυφαίων οικογενειών κακόβουλου λογισμικού τον Αύγουστο βρίσκεται στο ιστολόγιο της Check Point.