Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd., ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Οκτώβριο του 2019. Η ερευνητική ομάδα αναφέρει πως για πρώτη φορά μετά από δύο σχεδόν χρόνια ένα λογισμικό παραγωγής κρυπτονομισμάτων δε βρίσκεται στην κορυφή της λίστας με τα κορυφαία κακόβουλα λογισμικά.
Η χρήση των cryptominers από τις αρχές του 2018, όταν και κορυφώθηκε, μειώνεται σταθερά. Τον Ιανουάριο και τον Φεβρουάριο του 2018, πάνω από το 50% των οργανισμών παγκοσμίως επηρεάστηκαν από σχετικά λογισμικά ενώ τον Ιανουάριο του 2019 το συγκεκριμένο ποσοστό μειώθηκε σε 30%. Τον Οκτώβριο του 2019, τα cryptominers επηρέασαν το 11% των οργανισμών παγκοσμίως.
Το πιο διαδεδομένο κακόβουλο λογισμικό για τον Οκτώβριο ήταν το botnet Emotet, το οποίο βρέθηκε στην πρώτη θέση της λίστας, από την πέμπτη που ήταν τον Σεπτέμβριο, επηρεάζοντας το 14% των οργανισμών παγκοσμίως. Στο τέλος του μήνα, το Emotet αξιοποιήθηκε σε εκστρατεία ανεπιθύμητης αλληλογραφίας σχετική με το Halloween. Τα μηνύματα ηλεκτρονικού ταχυδρομείου είχαν θέμα όπως "Happy Halloween" και "Party Halloween Invitation", και περιλάμβαναν ένα κακόβουλο συνημμένο αρχείο με όνομα συναφές με το Halloween.
«Ο αντίκτυπος των cryptominers έχει μειωθεί σχεδόν κατά δύο τρίτα εντός 2019, όπως αποδεικνύεται και από το γεγονός ότι για πρώτη φορά μετά από σχεδόν δύο χρόνια, ένα λογισμικό παραγωγής κρυπτονομισμάτων δε βρίσκεται στην κορυφή της λίστας με τα κορυφαία κακόβουλα λογισμικά. Ωστόσο, το πιο διαδεδομένο malware γι’ αυτό το μήνα, το Emotet, αποτελεί κρίσιμη απειλή. Πρόκειται για ένα εξαιρετικά προηγμένο botnet που χρησιμοποιείται για τη διανομή άλλων malwares - ειδικά για το περίφημο ransomware Ryuk», δήλωσε η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών της Check Point.
«Τον Σεπτέμβριο είδαμε ότι το botnet Emotet, αφού παρέμεινε αδρανές για τρεις μήνες, επανενεργοποιήθηκε και τώρα η χρήση του εξαπλώνεται ταχύτατα. Επομένως, είναι απαραίτητο οι οργανισμοί να προειδοποιούν τους υπαλλήλους για τους κινδύνους που σχετίζονται με τα ηλεκτρονικά μηνύματα phishing, με το «άνοιγμα» συνημμένων αρχείων ηλεκτρονικού ταχυδρομείου ή με τα κλικ σε συνδέσμους που δεν προέρχονται από αξιόπιστη πηγή ή επαφή. Θα πρέπει επίσης να υιοθετήσουν λύσεις προστασίας από κακόβουλα λογισμικά τελευταίας γενιάς, που μπορούν να αφαιρέσουν αυτόματα ύποπτο περιεχόμενο από μηνύματα ηλεκτρονικού ταχυδρομείου, προτού αυτά φθάσουν στους τελικούς χρήστες».
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Οκτώβριο 2019:
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα
Για πρώτη φορά μετά από σχεδόν δύο χρόνια το πιο δημοφιλές malware δεν είναι cryptominer. Αυτό το μήνα το Emotet βρίσκεται στην κορυφή της λίστας, επηρεάζοντας το 14% των οργανισμών σε παγκόσμιο επίπεδο. Το XMRig βρίσκεται στη δεύτερη θέση έχοντας αντίκτυπο στο 7% των οργανισμών παγκοσμίως ενώ ακολουθεί το Trickbot με 6%.
- ↑ Emotet - Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
- ↔ XMRig - Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
- ↑ Trickbot - Το Trickbot είναι μια παραλλαγή του Dyre που εμφανίστηκε τον Οκτώβριο του 2016. Από τότε, έχει στοχεύσει κυρίως στους τραπεζικούς χρήστες στην Αυστραλία και το Ηνωμένο Βασίλειο ενώ πρόσφατα άρχισε να εμφανίζεται και στην Ινδία, τη Σιγκαπούρη και τη Μαλεσία.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές τον Οκτώβριο του 2019:
Αυτό το μήνα το Guerrilla βρέθηκε στην κορφή της λίστας, ακολουθούμενο από τα Lotoor και AndroidBauts.
- Guerrilla - Ένα trojan που βρέθηκε ενσωματωμένο σε πολλές νόμιμες εφαρμογές και έχει τη δυνατότητα να κατεβάσει επιπλέον κακόβουλα λογισμικά. Το Guerrilla δημιουργεί με δόλιο τρόπο έσοδα από διαφημίσεις για τους προγραμματιστές της εφαρμογής.
- Lotoor – Εργαλείο κυβερνοπειρατείας (χάκινγκ) που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για την απόκτηση δικαιωμάτων πλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.
- AndroidBauts – Πρόκειται για Adware που στοχεύει τους χρήστες Android. Το λογισμικό απαλείφει το IMEI, το IMSI, το GPS location και άλλες πληροφορίες της συσκευής και επιτρέπει την εγκατάσταση τρίτων εφαρμογών στη συσκευή.
Οι 3 ευπάθειες «που έγιναν συχνότερα αντικείμενο εκμετάλλευσης» τον Οκτώβριο του 2019:
Η ευπάθεια MVPower DVR Remote Code Execution βρέθηκε στην κορυφή της λίστας για τον Οκτώβριο, επηρεάζοντας το 37% των οργανισμών σε όλο τον κόσμο. Η ευπάθεια Linux System Files Information Disclosure βρέθηκε στη δεύτερη θέση, ακολουθούμενη από την ευπάθεια Web Server Exposed Git Repository Information Disclosure. Και οι δύο είχαν αντίκτυπο στο 35% των οργανισμών σε παγκόσμιο επίπεδο.
Τον Οκτώβριο διάφορες τεχνικές SQL Injection συνέχισαν να βρίσκονται στην πρώτη θέση της σχετικής λίστας, επηρεάζοντας το 36% των οργανισμών παγκοσμίως. Η ευπάθεια OpenSSL TLS DTLS Heartbeat Information Disclosure ακολούθησε με αντίκτυπο στο 33% των οργανισμών σε παγκόσμιο επίπεδο ενώ στην τρίτη θέση βρέθηκε η ευπάθεια MVPower DVR Remote Code Execution επηρεάζοντας το 32% των οργανισμών.
- ↑ SQL Injection (διάφορες τεχνικές) – Πρόκειται για την εισαγωγή ενός SQL query στα δεδομένα που παρέχει ο client σε μια εφαρμογή, με συνέπεια την εκμετάλλευση μιας ευπάθειας που υπάρχει στον κώδικα της εφαρμογής αυτής.
- ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - Μια ευπάθεια αποκάλυψης πληροφοριών που υπάρχει στο OpenSSL. Η ευπάθεια οφείλεται σε ένα σφάλμα κατά το χειρισμό πακέτων heartbeat TLS/DTLS. Ένας εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια για να αποκαλύψει περιεχόμενα της μνήμης ενός συνδεδεμένου συστήματος-πελάτη ή διακομιστή.
- ↓ MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτό το ελάττωμα και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Οκτώβριο είναι:
Emotet - Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
Hawkeye - Το Hawkeye είναι ένα κακόβουλο Info Stealer, το οποίο σχεδιάστηκε κυρίως για να αποσπά στοιχεία χρηστών από μολυσμένες πλατφόρμες που λειτουργούν με Windows. Μέσα στους τελευταίους μήνες, το Hawkeye έχει βελτιωθεί συμπεριλαμβάνοντας πλέον, εκτός από την κλοπή κωδικών email και web browser, δυνατότητες keylogging. Συχνά πωλείται στην αγορά ως MaaS (Malware as a Service) μέσω διαφόρων infection chain τεχνικών.
Trickbot - Το Trickbot είναι μια παραλλαγή του Dyre που εμφανίστηκε τον Οκτώβριο του 2016. Από τότε, έχει στοχεύσει κυρίως στους τραπεζικούς χρήστες στην Αυστραλία και το Ηνωμένο Βασίλειο ενώ πρόσφατα άρχισε να εμφανίζεται και στην Ινδία, τη Σιγκαπούρη και τη Μαλεσία.
Cryptoloot - Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντες πόρους του θύματος για την παραγωγή κρυπτονομισμάτων - προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive.
Magecart - Το Magecart είναι ένας τύπος επίθεσης κατά την οποία κακόβουλος κώδικας JavaScript εισάγεται σε ιστότοπους ηλεκτρονικού εμπορίου και τρίτους προμηθευτές σχετικών συστημάτων, προκειμένου να υποκλέψουν πληροφορίες πληρωμών.
AgentTesla - Το AgentTesla είναι ένα εξελιγμένο RAT που λειτουργεί ως keylogger και ως λογισμικό κλοπής κωδικών πρόσβασης μολύνοντας υπολογιστές από το 2014. Το AgentTesla έχει τη δυνατότητα να παρακολουθεί και να συλλέγει τις καταχωρήσεις του πληκτρολογίου του θύματος και το system clipboard, να λαμβάνει στιγμιότυπα οθόνης και να απομακρύνει τα credentials από λογισμικό εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένου του Google Chrome, του Mozilla Firefox και του email client του Microsoft Outlook). Το AgentTesla πωλείται ως νόμιμο RAT με τους ενδιαφερόμενους να πληρώνουν 15 - 69 δολάρια για μια άδεια χρήστη.
Lokibot - Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσω email ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για την υποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώς και κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων και διακομιστές FTP.
Joker
Kryptik - Το Kryptik είναι ένας δούρειος ίππος που έχει ως στόχο την πλατφόρμα Windows. Συλλέγει πληροφορίες για το σύστημα και τις αποστέλλει στον απομακρυσμένο διακομιστή. Μπορεί να λαμβάνει και να εκτελεί πρόσθετα αρχεία κακόβουλου λογισμικού σε ένα μολυσμένο σύστημα.
AZORult - Το AZORult είναι ένα trojan που συγκεντρώνει και απομακρύνει δεδομένα από το μολυσμένο σύστημα. Μόλις το κακόβουλο λογισμικό εγκατασταθεί σε ένα σύστημα (συνήθως παραδίδεται από ένα κιτ εκμετάλλευσης όπως το RIG), μπορεί να στείλει αποθηκευμένους κωδικούς πρόσβασης, τοπικά αρχεία, κρυπτο-πορτοφόλια και πληροφορίες προφίλ υπολογιστή σε απομακρυσμένο command & control server.