Η Check Point Research, ο τομέας πληροφοριών για απειλές της Check Point Software Technologies, ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Φεβρουάριο του 2019. Ο κατάλογος απειλών αποκαλύπτει ότι το Coinhive για άλλη μια φορά βρίσκεται στην κορυφή του Παγκόσμιου Καταλόγου Απειλών για 15ο συνεχόμενο μήνα, παρά την ανακοίνωση ότι οι υπηρεσίες του θα διακόψουν τη λειτουργία τους στις 8 Μαρτίου 2019.
Οι ερευνητές της Check Point ανακάλυψαν επίσης διάφορες εκτεταμένες εκστρατείες διάδοσης του ransomware GandCrab που έχουν βάλει στο στόχαστρο την Ιαπωνία, τη Γερμανία, τον Καναδά και την Αυστραλία. Αυτές οι χώρες είναι μέρος μόνο των χωρών που αποτελούν στόχο. Οι συγκεκριμένες δραστηριότητες αναδύθηκαν κατά του τελευταίους δύο μήνες και οι ερευνητές της Check Point διαπίστωσαν την ύπαρξη μιας νέας έκδοσης του ransomware που διαδίδεται σε μια από τις πιο πρόσφατες εκστρατείες. Η νέα έκδοση, το Gandcrab V5.2, ενσωματώνει τα περισσότερα χαρακτηριστικά της τελευταίας έκδοσης, αλλά με μια αλλαγή στη μέθοδο κρυπτογράφησης που καθιστά αναποτελεσματικό το εργαλείο αποκρυπτογράφησης για τις προηγούμενες εκδόσεις του ransomware.
Τον Φεβρουάριο, οι επικρατέστεροι τύποι κακόβουλου λογισμικού ήταν τα προγράμματα εξόρυξης κρυπτονομισμάτων. Το Coinhive παραμένει το πιο διαδεδομένο κακόβουλο λογισμικό, πλήττοντας το 10% των οργανισμών παγκοσμίως. Αυτό το ποσοστό ακολουθεί μια φθίνουσα τάση στην παγκόσμια επίπτωση του Coinhive, από το 18% τον Οκτώβριο του 2018 στο 12% τον Ιανουάριο του 2019, με μια μείωση 2% αυτό το μήνα. Αυτή η μείωση είναι αποτέλεσμα του αυξανόμενου κόστους εξόρυξης σε συνδυασμό με τη μείωση της αξίας του Monero. Το Cryptoloot ανήλθε στη δεύτερη θέση τον Φεβρουάριο, αντικαθιστώντας το XMRig, ακολουθούμενο από το Emotet, ένα εξελιγμένο, αυτοαναπαραγόμενο και δομοστοιχειωτό δούρειο ίππο (modular trojan) που αντικατέστησε το Jsecoin στην τρίτη θέση του καταλόγου.
Η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας για Απειλές στην Check Point σχολίασε: «Όπως διαπιστώσαμε τον Ιανουάριο, όσοι δημιουργούν απειλές συνεχίζουν να εκμεταλλεύονται νέους τρόπους για τη διάδοση κακόβουλου λογισμικού, δημιουργώντας παράλληλα νέες και πιο επικίνδυνες παραλλαγές των υφιστάμενων μορφών κακόβουλου λογισμικού. Η νέα έκδοση του GandCrab αποδεικνύει για άλλη μια φορά ότι, αν και υπάρχουν οικογένειες κακόβουλου λογισμικού που παραμένουν στον κατάλογο του πιο διαδεδομένου κακόβουλου λογισμικού επί σειρά μηνών και μοιάζουν στάσιμες, στην πραγματικότητα εξελίσσονται και αναπτύσσονται έτσι, ώστε να αποφεύγουν τον εντοπισμό. Για την αποτελεσματική αντιμετώπιση αυτής της κατάστασης, οι ερευνητές μας παρακολουθούν σε συνεχή βάση αυτές τις απειλές με βάση το DNA των οικογενειών τους κακόβουλου λογισμικού – συνεπώς, είναι κρίσιμης σημασίας για τους οργανισμούς να διατηρούν τις λύσεις ασφάλειας που χρησιμοποιούν πλήρως ενημερωμένες.»
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Φεβρουάριο 2019:
Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα.
- ↔ Coinhive – Λογισμικό εξόρυξης κρυπτονομισμάτων που έχει σχεδιαστεί για να εκτελεί διαδικτυακή εξόρυξη του κρυπτονομίσματος Monero όταν ο χρήστης επισκέπτεται μια ιστοσελίδα, χωρίς αυτό να είναι σε γνώση του, χωρίς την έγκρισή του και χωρίς να κερδίζει ο ίδιος. Το JavaScript που εμφυτεύεται χρησιμοποιεί μεγάλο μέρος των υπολογιστικών πόρων των μηχανημάτων των τελικών χρηστών για την εξόρυξη νομισμάτων και ενδέχεται να προκαλέσει κατάρρευση του συστήματος.
- ↑ Cryptoloot – Λογισμικό εξόρυξης κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για την εξόρυξη κρυπτονομισμάτων – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive, προσπαθώντας να το εκτοπίσει ζητώντας μικρότερο ποσοστό των εσόδων από τους ιστότοπους.
- ↑ Emotet – Εξελιγμένος, αυτοαναπαραγόμενος και δομοστοιχειωτός δούρειος ίππος (modular Trojan). Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται ως διανομέας για άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης κακόβουλου λογισμικού. Χρησιμοποιεί πολλές μεθόδους για να παραμένει στο σύστημα καθώς και τεχνικές αποφυγής για να μην ανιχνεύεται. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
Αυτό το μήνα, το Lotoor είναι το πλέον διαδεδομένο κακόβουλο λογισμικό για κινητές συσκευές, αντικαθιστώντας το Hiddad στην πρώτη θέση του καταλόγου με το πιο διαδεδομένο κακόβουλο λογισμικό για κινητές συσκευές. Το Triada παραμένει στην τρίτη θέση.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές τον Φεβρουάριο:
- Lotoor– Εργαλείο hacking που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για την απόκτηση δικαιωμάτων πλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.
- Hiddad – Κακόβουλο λογισμικό Android που ανασυσκευάζει νόμιμες εφαρμογές και εν συνεχεία τις καθιστά διαθέσιμες σε κατάστημα τρίτου μέρους. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, ωστόσο, είναι επίσης ικανό να αποκτήσει πρόσβαση σε σημαντικά στοιχεία ασφάλειας που ενσωματώνονται στο λειτουργικό σύστημα, επιτρέποντας σε κάποιον εισβολέα να αποκτήσει ευαίσθητα δεδομένα του χρήστη.
- Triada – Δομοστοιχειωτή κερκόπορτα (modular backdoor) για Android που εκχωρεί δικαιώματα superuser σε κακόβουλο λογισμικό που έχει ληφθεί, βοηθώντας το να ενσωματωθεί σε διαδικασίες του συστήματος. Το Triada έχει παρατηρηθεί επίσης ότι παραποιεί διευθύνσεις URL που φορτώνονται στο πρόγραμμα περιήγησης.
Οι ερευνητές της Check Point ανέλυσαν επίσης τις κυβερνο-ευπάθειες που γίνονται συχνότερα αντικείμενο εκμετάλλευσης. Το CVE-2017-7269 εξακολουθεί να βρίσκεται στην κορυφή των ευπαθειών που γίνονται αντικείμενο εκμετάλλευσης, με ποσοστό 45%. Η ευπάθεια αποκάλυψης πληροφοριών OpenSSL TLS DTLS Heartbeat Information Disclosure είναι η δεύτερη πιο διαδεδομένη ευπάθεια με παγκόσμια επίπτωση 40%, ακολουθούμενη από την ευπάθεια διακομιστών ιστού που επιτρέπει την εισαγωγής κώδικα εσφαλμένης διαμόρφωσης PHPMyAdmin Misconfiguration Code Injection, που επηρεάζει το 34% των οργανισμών παγκοσμίως.
Οι 3 ευπάθειας «που γίνονται συχνότερα αντικείμενο εκμετάλλευσης» για τον Φεβρουάριο:
- ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Μέσω της αποστολής ενός κατασκευασμένου αιτήματος διαμέσου ενός δικτύου στο Microsoft Windows Server 2003 R2 μέσω του Microsoft Internet Information Services 6.0, ένας απομακρυσμένος εισβολέας θα μπορούσε να εκτελέσει αυθαίρετο κώδικα ή να προκαλέσει συνθήκες άρνησης υπηρεσιών στον διακομιστή στόχο. Αυτό οφείλεται κυρίως σε μια ευπάθεια υπερχείλισης ενδιάμεσης μνήμης, η οποία προκαλείται από την εσφαλμένη επικύρωση μιας μεγάλης κεφαλίδας σε αίτημα HTTP.
- ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Μια ευπάθεια αποκάλυψης πληροφοριών που υπάρχει στο OpenSSL. Η ευπάθεια οφείλεται σε ένα σφάλμα κατά το χειρισμό πακέτων heartbeat TLS/DTLS. Ένας εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια για να αποκαλύψει περιεχόμενα της μνήμης ενός συνδεδεμένου συστήματος-πελάτη ή διακομιστή.
- ↑ Web servers PHPMyAdmin Misconfiguration Code Injection – Μια ευπάθεια εισαγωγής κώδικα που έχει αναφερθεί για το PHPMyAdmin. Η ευπάθεια οφείλεται σε εσφαλμένη διαμόρφωση του PHPMyAdmin. Ένας απομακρυσμένος εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια αποστέλλοντας ένα ειδικά κατασκευασμένο αίτημα HTTP στον στόχο.
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για απειλές και τις τάσεις των επιθέσεων από ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει περισσότερες από 250 εκατομμύρια διευθύνσεις που αναλύονται για τον εντοπισμό bot, περισσότερες από 11 εκατομμύρια υπογραφές κακόβουλου λογισμικού και περισσότερους από 5,5 εκατομμύρια μολυσμένους ιστότοπους, ενώ αναγνωρίζει εκατομμύρια τύπους κακόβουλου λογισμικού καθημερινά.
Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Φεβρουάριο είναι:
Coinhive – Λογισμικό εξόρυξης κρυπτονομισμάτων που έχει σχεδιαστεί για να εκτελεί διαδικτυακή εξόρυξη του κρυπτονομίσματος Monero όταν ο χρήστης επισκέπτεται μια ιστοσελίδα, χωρίς την έγκριση του χρήστη. Το JavaScript που εμφυτεύεται χρησιμοποιεί πολλούς υπολογιστικούς πόρους των μηχανημάτων των τελικών χρηστών για την εξόρυξη νομισμάτων, επηρεάζοντας συνεπώς την απόδοσή τους.
JSEcoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.
Lokibot – Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσω email ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για την υποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώς και κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων και διακομιστές FTP.
Emotet – Εξελιγμένος, αυτοαναπαραγόμενος και δομοστοιχειωτός δούρειος ίππος (modular Trojan). Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται ως διανομέας για άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης κακόβουλου λογισμικού. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
Cryptoloot – Λογισμικό εξόρυξης κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για την εξόρυξη κρυπτονομισμάτων – προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive.
Gandcrab – Το GandCrab είναι ένα ransomware που διαδίδεται μέσω των κιτ εκμετάλλευσης κενών ασφάλειας RIG και GrandSoft, καθώς και μέσω ανεπιθύμητων email. Το ransomware λειτουργεί στο πλαίσιο ενός προγράμματος συνεργασιών, με όσους εντάσσονται στο πρόγραμμα να καταβάλλουν το 30% έως 40% των εσόδων από τα λύτρα στο δημιουργό του GandCrab. Ως αντάλλαγμα, οι συνεργαζόμενοι φορείς αποκτούν έναν πλήρως λειτουργικό διαδικτυακό πίνακα ελέγχου και τεχνική υποστήριξη.
XMRig – Το XMRig είναι ένα λογισμικό εξόρυξης CPU ανοικτού πηγαίου κώδικα για τη διαδικασία εξόρυξης του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Smokeloader – Λογισμικό λήψης δεύτερου σταδίου για Windows που χρησιμοποιείται για τη λήψη άλλου κακόβουλου λογισμικού ή άλλων πρόσθετων (plugin). Το Smokeloader χρησιμοποιεί διάφορα τρικ κατά της ανάλυσης με σκοπό την παραπλάνηση και την αυτοπροστασία. Το Smokeloader χρησιμοποιείται ευρέως για τη φόρτωση πολλών γνωστών οικογενειών κακόβουλου λογισμικού, συμπεριλαμβανομένων του δούρειου ίππου Trickbot, του λογισμικού υποκλοπής πληροφοριών Azorult και του Panda Banker.
Dorkbot – Λογισμικό-σκουλήκι (worm) που βασίζεται στο IRC, σχεδιασμένο για να επιτρέπει την απομακρυσμένη εκτέλεση κώδικα από το χειριστή του, καθώς και τη λήψη πρόσθετου κακόβουλου λογισμικού στο μολυσμένο σύστημα, με βασικό σκοπό την υποκλοπή ευαίσθητων πληροφοριών και την πραγματοποίηση επιθέσεων άρνησης υπηρεσιών.
Kryptik – Το Kryptik είναι ένας δούρειος ίππος που έχει ως στόχο την πλατφόρμα Windows. Συλλέγει πληροφορίες για το σύστημα και τις αποστέλλει στον απομακρυσμένο διακομιστή. Μπορεί να λαμβάνει και να εκτελεί πρόσθετα αρχεία κακόβουλου λογισμικού σε ένα μολυσμένο σύστημα.
Οι Πόροι Πρόληψης Απειλών της Check Point είναι διαθέσιμοι στον ιστότοπο: http://www.checkpoint.com/threat-prevention-resources/index.html