Η Check Point Research (CPR), το τμήμα ερευνάς Threat Intelligence της Check Point Software Technologies – κορυφαίος πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Σεπτέμβριο του 2022. Η CPR αναφέρει ότι καθώς το Formbook εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό, επηρεάζοντας το 3% των οργανισμών παγκοσμίως, το Vidar βρίσκεται πλέον στην όγδοη θέση, ανεβαίνοντας επτά θέσεις από τον περασμένο Αύγουστο.
Το Vidar είναι ένα infostealer που έχει σχεδιαστεί για να παρέχει στους χακερς πρόσβαση από την «πίσω» πόρτα, επιτρέποντάς τους να κλέβουν ευαίσθητες τραπεζικές πληροφορίες, διαπιστευτήρια σύνδεσης, διευθύνσεις IP, ιστορικό προγράμματος περιήγησης και πορτοφόλια κρυπτογράφησης από μολυσμένες συσκευές. Η αύξηση της επικράτησής του ακολουθεί μια κακόβουλη εκστρατεία κατά την οποία χρησιμοποιήθηκαν ψεύτικοι ιστότοποι Zoom, όπως οι zoomus[.]website και zoom-download[.]space, για να παρασύρουν αθώους χρήστες να κατεβάσουν το κακόβουλο λογισμικό. Το Formbook, ένα infostealer που στοχεύει το λειτουργικό σύστημα Windows, παραμένει στην πρώτη θέση.
Από την έναρξη του πολέμου Ρωσίας-Ουκρανίας, η CPR συνεχίζει να παρακολουθεί τον αντίκτυπο στις κυβερνοεπιθέσεις και στις δύο χώρες. Ενώ η σύγκρουση εντείνεται, ο Παγκόσμιος Δείκτης Απειλών της CPR για τον Σεπτέμβριο σημείωσε σημαντική αλλαγή στην “κατάταξη απειλής” πολλών χωρών της Ανατολικής Ευρώπης. Η κατάταξη απειλής αντιπροσωπεύει το βαθμό επίθεσης που δέχεται ένας οργανισμός σε μια συγκεκριμένη χώρα σε σύγκριση με τον υπόλοιπο κόσμο. Κατά τη διάρκεια του Σεπτεμβρίου η Ουκρανία είχε κάνει άλμα 26 θέσεων, η Πολωνία και η Ρωσία ανέβηκαν κατά 18 θέσεις η καθεμία και τόσο η Λιθουανία όσο και η Ρουμανία ανέβηκαν, μεταξύ άλλων, κατά 17 θέσεις. Όλες αυτές οι χώρες βρίσκονται πλέον μεταξύ των 25 πρώτων χωρών, με τη μεγαλύτερη υποβάθμιση στην κατάταξή τους να λαμβάνει χώρα τον τελευταίο μήνα.
“Καθώς ο πόλεμος στο έδαφος συνεχίζεται, συνεχίζεται και ο πόλεμος στον κυβερνοχώρο. Πιθανότατα δεν είναι τυχαίο ότι οι βαθμοί απειλής πολλών χωρών της Ανατολικής Ευρώπης αυξήθηκαν τον τελευταίο μήνα. Όλοι οι οργανισμοί κινδυνεύουν και πρέπει να στραφούν σε μια στρατηγική κυβερνοασφάλειας με προτεραιότητα την πρόληψη πριν να είναι πολύ αργά”, σχολίασε η Maya Horowitz, VP Research της Check Point. “Όσον αφορά τα πιο διαδεδομένα malwares τον Σεπτέμβριο, είναι ενδιαφέρον το άλμα του Vidar στην πρώτη δεκάδα μετά από μακρά απουσία. Οι χρήστες του Zoom πρέπει να είναι σε εγρήγορση και να έχουν τα μάτια τους ανοιχτά για δόλιους συνδέσμους, καθώς με αυτόν τον τρόπο διανέμεται τελευταία αυτό το κακόβουλο λογισμικό. Έχετε πάντα το νου σας για ασυνέπειες ή ορθογραφικά λάθη στις διευθύνσεις URL. Αν φαίνεται ύποπτο, πιθανότατα και είναι”.
Η CPR αποκάλυψε επίσης ότι η”Web Server Exposed Git Repository Information Disclosure” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 43% των οργανισμών παγκοσμίως, ακολουθούμενη στενά από την “Apache Log4j Remote Code Execution”, η οποία έπεσε από την πρώτη θέση στη δεύτερη, με αντίκτυπο 42%. Τον Σεπτέμβριο η εκπαίδευση/έρευνα παρέμεινε επίσης στην πρώτη θέση ως ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως.
Κορυφαίες οικογένειες κακόβουλου λογισμικού
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Αυτόν τον μήνα, το Formbook εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό που επηρεάζει το 3% των οργανισμών παγκοσμίως, ακολουθούμενο από τα XMRig και AgentTesla που επηρεάζουν και τα δύο το 2% των οργανισμών παγκοσμίως.
- ↔ Formbook – Το FormBook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε underground hacking forums για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορους περιηγητές ιστού, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
- ↑ XMRig – Το XMRig είναι λογισμικό CPU ανοικτού κώδικα που χρησιμοποιείται για την εξόρυξη του κρυπτονομίσματος Monero. Οι φορείς απειλών συχνά κάνουν κατάχρηση αυτού του λογισμικού ανοιχτού κώδικα ενσωματώνοντάς το στο κακόβουλο λογισμικό τους για να διεξάγουν παράνομη εξόρυξη στις συσκευές των θυμάτων.
- ↓ AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών. Είναι ικανό να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και του προγράμματος ηλεκτρονικού ταχυδρομείου Microsoft Outlook).
Κορυφαίοι επιτιθέμενοι κλάδοι παγκοσμίως
Αυτόν τον μήνα ο τομέας της εκπαίδευσης/έρευνας παραμένει στην πρώτη θέση ως ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τον κυβερνητικό/στρατιωτικό τομέα και την υγειονομική περίθαλψη.
- Τομέας εκπαίδευσης/έρευνας
- Κυβερνητικός/Στρατιωτικός τομέας
- Υγειονομική περίθαλψη
Κορυφαία τρωτά σημεία προς εκμετάλλευση
Αυτόν τον μήνα, η “Web Server Exposed Git Repository Information Disclosure“ είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 43% των οργανισμών παγκοσμίως. Ακολουθεί η “Apache Log4j Remote Code Execution“, η οποία έπεσε από την πρώτη θέση στη δεύτερη και επηρεάζει το 42% των οργανισμών. Επίσης, η “Command Injection Over HTTP“ μεταπηδά στην τρίτη θέση, με αντίκτυπο 40% παγκοσμίως.
- ↑ Web Server Exposed Git Repository Information Disclosure – Έχει αναφερθεί μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
- ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Υπάρχει ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
- ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Έχει αναφερθεί μια ευπάθεια έγχυσης εντολών μέσω HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.
Κορυφαία κακόβουλα προγράμματα για κινητά
Αυτόν τον μήνα, το Anubis ανέβηκε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα Hydra και Joker.
- Anubis – Το Anubis είναι ένα κακόβουλο τραπεζικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργίες Remote Access Trojan (RAT), δυνατότητες keylogger και καταγραφής ήχου, καθώς και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- Hydra – Το Hydra είναι ένα τραπεζικό Trojan που έχει σχεδιαστεί για να κλέβει διαπιστευτήρια χρηματοδότησης ζητώντας από τα θύματα να ενεργοποιήσουν επικίνδυνα δικαιώματα.
- Joker – Ένα κατασκοπευτικό λογισμικό Android στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό μπορεί επίσης να εγγράψει το θύμα για πληρωμένες υπηρεσίες premium χωρίς τη συγκατάθεση ή τη γνώση του.
Στην Ελλάδα τα Κορυφαία Πέντε MALWARE είναι τα εξής:
MALWARE | ΠΑΓΚΟΣΜΙΟ ΑΝΤΙΚΤΥΠΟ | ΕΛΛΑΔΑ |
SnakeKeylogger | 1.93% | 7.08% |
Ramnit | 2.07% | 3.83% |
Formbook | 2.96% | 3.54% |
Joker | 0.09% | 2.65% |
AgentTesla | 2.21% | 2.65% |
Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Σεπτέμβριο του 2022 βρίσκεται στο blog της Check Point.