Το νούμερο 1 κακόβουλο λογισμικό - Έτσι θα το αποφύγετε

H Check Point Software Technologies Ltd. (NASDAQ, CHKP), κορυφαίος πάροχος πλατφόρμας κυβερνοασφάλειας υποστηριζόμενης από την τεχνητή νοημοσύνη (AI) στον κυβερνοχώρο που παρέχεται μέσω cloud, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Ιανουάριο του 2024. Τον περασμένο μήνα, οι ερευνητές εντόπισαν ένα νέο διάχυτο σύστημα διανομής κίνησης (TDS) με την ονομασία VexTrio, το οποίο έχει βοηθήσει πάνω από 60 θυγατρικές εταιρείες μέσω ενός δικτύου περισσότερων από 70.000 παραβιασμένων ιστότοπων. Εν τω μεταξύ, το LockBit3 ονομάστηκε η πιο διαδεδομένη ομάδα ransomware σε μια νεοεισαχθείσα κατάταξη στον Δείκτη και η εκπαίδευση παρέμεινε ο κλάδος που επηρεάστηκε περισσότερο παγκοσμίως. 

Ενεργό τουλάχιστον από το 2017, το VexTrio συμπράττει με δεκάδες εταίρους του για τη διάδοση κακόβουλου περιεχομένου μέσω ενός εξελιγμένου TDS. Χρησιμοποιώντας ένα σύστημα παρόμοιο με τα νόμιμα δίκτυα θυγατρικών μάρκετινγκ, οι δραστηριότητες του VexTrio είναι συχνά δύσκολο να εντοπιστούν και, παρά το γεγονός ότι είναι ενεργό για περισσότερα από έξι χρόνια, η κλίμακα των δραστηριοτήτων του έχει περάσει σε μεγάλο βαθμό απαρατήρητη. Αυτό οφείλεται στο γεγονός ότι υπάρχουν ελάχιστα στοιχεία που το συνδέουν με συγκεκριμένους φορείς απειλών ή αλυσίδες επιθέσεων, γεγονός που το καθιστά σημαντικό κίνδυνο για την ασφάλεια στον κυβερνοχώρο λόγω του εκτεταμένου δικτύου και των προηγμένων λειτουργιών του.  

"Οι εγκληματίες του κυβερνοχώρου έχουν εξελιχθεί από απλοί χάκερ σε αρχιτέκτονες της εξαπάτησης και το VexTrio είναι μια ακόμη υπενθύμιση του πόσο εμπορικά σκεπτόμενος έχει γίνει ο κλάδος", δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software. "Για να παραμείνουν ασφαλή, τα άτομα και οι οργανισμοί θα πρέπει να δίνουν προτεραιότητα στις τακτικές ενημερώσεις κυβερνοασφάλειας, να χρησιμοποιούν ισχυρή προστασία τελικών σημείων και να καλλιεργούν μια κουλτούρα επαγρύπνησης σε διαδικτυακές πρακτικές. Παραμένοντας ενημερωμένοι και προληπτικοί, μπορούμε συλλογικά να ενισχύσουμε την άμυνά μας απέναντι στους εξελισσόμενους κινδύνους που θέτουν οι αναδυόμενες απειλές στον κυβερνοχώρο". 

Για πρώτη φορά, ο Δείκτης της Check Point περιλαμβάνει τώρα μια κατάταξη των πιο διαδεδομένων ομάδων ransomware με βάση τη δραστηριότητα από περισσότερους από 200 "ιστότοπους δυσφήμισης". Τον περασμένο μήνα, η LockBit3 ήταν η πιο διαδεδομένη ομάδα ransomware, υπεύθυνη για το 20% των δημοσιευμένων επιθέσεων. Ανέλαβε την ευθύνη για ορισμένα αξιοσημείωτα περιστατικά τον Ιανουάριο, συμπεριλαμβανομένης μιας επίθεσης στην αλυσίδα σάντουιτς Subway και στο νοσοκομείο Saint Anthony στο Σικάγο. 

Επιπλέον, η CPR αποκάλυψε ότι η ευπάθεια με τη μεγαλύτερη εκμετάλλευση παγκοσμίως είναι η  "Command Injection Over HTTP,", η οποία επηρεάζει το 44% των οργανισμών, ακολουθούμενη από την "Web Servers Malicious URL Directory Traversal", η οποία επηρεάζει το 41%, και την "HTTP Headers Remote Code Execution" με παγκόσμιο αντίκτυπο 40%. 

Οι κίνδυνοι κακόβουλου λογισμικού

*Τα βέλη αφορούν την αλλαγή στην κατάταξη σε σχέση με τον προηγούμενο μήνα. 

Το FakeUpdates ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 4% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Qbot με παγκόσμιο αντίκτυπο 3% και το Formbook με παγκόσμιο αντίκτυπο 2%. 

1. ↔ FakeUpdates – Το FakeUpdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα ωφέλιμα φορτία στο δίσκο πριν από την εκτόξευσή τους. Το FakeUpdates οδήγησε σε περαιτέρω συμβιβασμό μέσω πολλών πρόσθετων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.
2. ↑ Qbot - Το Qbot AKA Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα διαπιστευτήρια ενός χρήστη, να καταγράφει τις πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκοπεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση. Ξεκινώντας το 2022, αναδείχθηκε ως ένα από τα πιο διαδεδομένα Trojans.
3. ↓ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (Malware as a Service - MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το Formbook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του. 

Οι ευπάθειες του διαδικτύου

Τον περασμένο μήνα, η “Command Injection Over HTTP” ήταν η πιο συχνά εκμεταλλευόμενη ευπάθεια, με επιπτώσεις στο 44% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Web Servers Malicious URL Directory Traversal” με 41% και την “HTTP Headers Remote Code Execution” με παγκόσμιο αντίκτυπο 40%. 

1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - Έχει αναφερθεί μια ευπάθεια Command Injection over HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.
2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Υπάρχει μια ευπάθεια στο directory traversal Σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή. 
3. ↑ HTTP Headers Remote Code Execution - Οι HTTP headers επιτρέπουν στον client και τον server να περάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.

Οι κίνδυνοι για τον κινητό

Τον περασμένο μήνα το Anubis παρέμεινε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα AhMyth και Hiddad.

1. Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
2. AhMyth - Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών. 
3. Hiddad - Το Hiddad είναι ένα κακόβουλο λογισμικό Android το οποίο επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.

Οι βιομηχανίες που δέχτηκαν τις περισσότερες επιθέσεις

Τον περασμένο μήνα, η Εκπαίδευση/Έρευνα παρέμεινε στην πρώτη θέση των βιομηχανιών που δέχθηκαν επίθεση παγκοσμίως, ακολουθούμενη από την Κυβέρνηση/Στρατιωτικό τομέα και την Υγεία.

1. Εκπαίδευση/Έρευνα 

2. Κυβέρνηση/Στρατιωτικός 

3. Υγεία 

Οι ιστοσελίδες «δυσφήμισης»

Αυτή η ενότητα περιλαμβάνει πληροφορίες που προέρχονται από σχεδόν 200 ransomware "ιστότοπους δυσφήμισης" που λειτουργούν από double-extortion ομάδες ransomware, 68 από τις οποίες φέτος δημοσίευσαν τα ονόματα και τις πληροφορίες των θυμάτων τους. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αυτές τις τοποθεσίες για να ασκήσουν πίεση στα θύματα που δεν πληρώνουν αμέσως τα λύτρα. Τα δεδομένα από αυτούς τους ιστότοπους φέρουν τις δικές τους προκαταλήψεις, αλλά εξακολουθούν να παρέχουν πολύτιμες πληροφορίες για το οικοσύστημα του ransomware, το οποίο αποτελεί σήμερα τον υπ' αριθμόν ένα κίνδυνο για τις επιχειρήσεις. 

Τον περασμένο μήνα, το LockBit3 ήταν η πιο διαδεδομένη ομάδα ransomware, υπεύθυνη για το 20% των δημοσιευμένων επιθέσεων, ακολουθούμενη από την 8Base υπεύθυνη για το 10%, και την Akira υπεύθυνη για το 9%”. 

1. LockBit3 – Η LockBit3 είναι μια ομάδα ransomware, που λειτουργεί σε μοντέλο RaaS και αναφέρθηκε για πρώτη φορά τον Σεπτέμβριο του 2019. Στοχεύει μεγάλες επιχειρήσεις και κυβερνητικούς φορείς από διάφορες χώρες και δεν στοχεύει ιδιώτες στη Ρωσία ή στην Κοινοπολιτεία Ανεξάρτητων Κρατών. 
2. base – Η ομάδα απειλών 8Base είναι μια συμμορία ransomware που δραστηριοποιείται τουλάχιστον από τον Μάρτιο του 2022. Απέκτησε σημαντική φήμη στα μέσα του 2023 λόγω της αξιοσημείωτης αύξησης των δραστηριοτήτων της. Αυτή η ομάδα έχει παρατηρηθεί να χρησιμοποιεί διάφορες παραλλαγές ransomware, με κοινό στοιχείο το Phobos. Η 8Base λειτουργεί με ένα επίπεδο πολυπλοκότητας, το οποίο αποδεικνύεται από τη χρήση προηγμένων τεχνικών στο ransomware της. Οι μέθοδοι της ομάδας περιλαμβάνουν τακτικές διπλού εκβιασμού.
3. Akira – Ransomware, που αναφέρθηκε για πρώτη φορά στις αρχές του 2023, στοχεύει τόσο σε συστήματα Windows όσο και σε συστήματα Linux. Χρησιμοποιεί συμμετρική κρυπτογράφηση με CryptGenRandom και Chacha 2008 για την κρυπτογράφηση αρχείων και είναι παρόμοιο με το ransomware Conti v2 που διέρρευσε. Το Akira διανέμεται με διάφορα μέσα, συμπεριλαμβανομένων μολυσμένων συνημμένων email και exploits σε τελικά σημεία VPN. Μετά τη μόλυνση, κρυπτογραφεί δεδομένα και προσθέτει μια επέκταση ". akira" στα ονόματα των αρχείων, και στη συνέχεια παρουσιάζει ένα σημείωμα λύτρων που απαιτεί πληρωμή για την αποκρυπτογράφηση.

Ο πλήρης κατάλογος των δέκα κορυφαίων οικογενειών κακόβουλου λογισμικού τον Ιανουάριο, βρίσκεται στο ιστολόγιο της Check Point.