Νοέμβριος 2021 το Top 10 των malware
Η
Check
Point
Research
Threat
Intelligence
τμήμα
της
Check
Point
Software
Technologies
,
δημοσίευσε
το
Global
Threat
Index
για
το
μήνα
Νοέμβριο
του
2021.
Οι ερευνητές αναφέρουν ότι ενώ το
Trickbot
παραμένει στην κορυφή της λίστας με τα πιο διαδεδομένα κακόβουλα προγράμματα, επηρεάζοντας το 5% των οργανισμών παγκοσμίως, το πρόσφατα αναγεννημένο
Emotet
επιστρέφει
στην έβδομη θέση της λίστας.
Η
CPR
αποκαλύπτει επίσης ότι ο κλάδος που δέχεται τις περισσότερες επιθέσεις είναι αυτός της Εκπαίδευσης/Έρευνας.
Παρά τις σημαντικές προσπάθειες της
Europol
και πολλών άλλων φορέων επιβολής του νόμου νωρίτερα φέτος για την
καταστολή του
Emotet
, το διαβόητο
botnet
επιβεβαιώθηκε ότι επανήλθε σε δράση τον Νοέμβριο και είναι ήδη το έβδομο πιο συχνά χρησιμοποιούμενο κακόβουλο λογισμικό. Το
Trickbot
βρίσκεται στην κορυφή της λίστας για έκτη φορά αυτόν τον μήνα και εμπλέκεται ακόμη και με τη νέα παραλλαγή του
Emotet
, η οποία εγκαθίσταται σε μολυσμένους
υπολογιστές
χρησιμοποιώντας την υποδομή του
Trickbot
.
Το
Emotet
εξαπλώνεται μέσω
phishing
emails
που περιέχουν μολυσμένα αρχεία
Word
,
Excel
και
Zip
, τα οποία αναπτύσσουν το
Emotet
στον
υπολογιστή
του θύματος. Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν ενδιαφέροντες τίτλους όπως τρέχουσες ειδήσεις, τιμολόγια και ψεύτικα εταιρικά σημειώματα για να δελεάσουν τα θύματα να τα ανοίξουν. Πιο πρόσφατα, το
Emotet
άρχισε επίσης να εξαπλώνεται μέσω κακόβουλων πακέτων
Windows
App
Installer
προσποιούμενα λογισμικό
Adobe
.
“Το
Emotet
είναι ένα από τα πιο επιτυχημένα
botnet
στην ιστορία του κυβερνοχώρου και ευθύνεται για την έκρηξη των στοχευμένων επιθέσεων
ransomware
που παρατηρούμε τα τελευταία χρόνια”, δήλωσε η
Maya
Horowitz
,
VP
Research
στην
Check
Point
Software
. “Η επιστροφή του
botnet
τον Νοέμβριο είναι εξαιρετικά ανησυχητική, καθώς μπορεί να οδηγήσει σε περαιτέρω αύξηση τέτοιων επιθέσεων. Το γεγονός ότι
χρησιμοποιεί
την υποδομή του
Trickbot
σημαίνει ότι συντομεύει τον χρόνο που θα χρειαζόταν για να αποκτήσει ένα αρκετά σημαντικό έρεισμα σε δίκτυα σε όλο τον κόσμο. Καθώς εξαπλώνεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου
phishing
με κακόβουλα συνημμένα αρχεία, είναι ζωτικής σημασίας τόσο η ευαισθητοποίηση όσο και η
εκπαίδευση
των χρηστών να βρίσκονται στην κορυφή της λίστας προτεραιοτήτων των οργανισμών όσον αφορά την ασφάλεια στον κυβερνοχώρο. Και όποιος θέλει να κατεβάσει λογισμικό
Adobe
θα πρέπει να θυμάται, όπως και με κάθε εφαρμογή, να το κάνει μόνο μέσω επίσημων μέσων”.
Η
CPR
αποκάλυψε επίσης ότι ο κλάδος εκπαίδευσης/έρευνας είναι αυτός με τις περισσότερες επιθέσεις παγκοσμίως για τον μήνα Νοέμβριο, ακολουθούμενος από τους
επικοινωνίες
και κυβέρνησης/στρατού. Το “
Web
Servers
Malicious
URL
Directory
Traversal
” εξακολουθεί να είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 44% των οργανισμών παγκοσμίως, ακολουθούμενο από το “
Web
Server
Exposed
Git
Repository
Information
Disclosure
” που επηρεάζει το 43,7% των οργανισμών παγκοσμίως. Η “
HTTP
Headers
Remote
Code
Execution
” παραμένει στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 42%.
Κορυφαίες οικογένειες κακόβουλων λογισμικών
*Τα βέλη αφορούν στη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Αυτόν τον μήνα, το
Trickbot
είναι το πιο δημοφιλές κακόβουλο λογισμικό που επηρεάζει το 5% των οργανισμών παγκοσμίως, ακολουθούμενο από τον
Agent
Tesla
και το
Formbook
, και τα δύο με παγκόσμιο αντίκτυπο 4%.
-
↔
Trickbot
– Το Trickbot είναι ένα modular Botnet και Τραπεζικό Trojan που ενημερώνεται συνεχώς με
νέες
δυνατότητες
,
χαρακτηριστικά
και διαύλους διανομής. Αυτό
του
επιτρέπει να είναι ένα ευέλικτο και
προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί ως μέρος καμπανιών πολλαπλών χρήσεων.
-
↑
Agent
Tesla
–
Το
Agent
Tesla
είναι ένα προηγμένο
RAT
που λειτουργεί ως
keylogger
και υποκλοπέας πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει στοιχεία του πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των
Google
Chrome
,
Mozilla
Firefox
και
Microsoft
Outlook
).
-
↑
Formbook
–
Το
Formbook
είναι ένα
InfoStealer
που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές
C
&
C
.
Κορυφαίες επιθέσεις σε βιομηχανίες παγκοσμίως:
Αυτόν τον μήνα, η
Εκπαίδευση
/Έρευνα είναι ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τις
Επικοινωνίες
και την Κυβέρνηση/Στρατό
-
Εκπαίδευση
/Ερευνα
-
Κυβέρνηση/Στρατός
Τα κορυφαία εκμεταλλευόμενα τρωτά σημεία
Αυτόν τον μήνα, η ”
Web
Servers
Malicious
URL
Directory
Traversal
” εξακολουθεί να είναι η πιο συχνά αξιοποιούμενη ευπάθεια, επηρεάζοντας το 44% των οργανισμών παγκοσμίως, ακολουθούμενη από την ”
Web
Server
Exposed
Git
Repository
Information
Disclosure
“, η οποία επηρεάζει το 43,7% των οργανισμών παγκοσμίως. Η ”
HTTP
Headers
Remote
Code
Execution
” παραμένει στην τρίτη θέση της λίστας με τις ευπάθειες με τις περισσότερες εκμεταλλεύσεις, με παγκόσμιο αντίκτυπο 42%.
-
↔
Web
Servers
Malicious
URL
Directory
Traversal
(
CVE
-2010-4598,
CVE
-2011-2474,
CVE
-2014-0130,
CVE
-2014-0780,
CVE
-2015-0666,
CVE
-2015-4068,
CVE
-2015-7254,
CVE
-2016-4523,
CVE
-2016-8530,
CVE
-2017-11512,
CVE
-2018-3948,
CVE
-2018-3949,
CVE
-2019-18952,
CVE
-2020-5410,
CVE
-2020-8260)
– Υπάρχει ευπάθεια διάσχισης καταλόγου σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά τη διεύθυνση
URL
για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής
εκμετάλλευση
επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
-
↔
Web
Server
Exposed
Git
Repository
Information
Disclosure
–
Έχει αναφερθεί ένα
κενό ασφαλείας
για την αποκάλυψη πληροφοριών στο
Git
Repository
. Η επιτυχής
εκμετάλλευση
αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
-
↔
HTTP
Headers
Remote
Code
Execution
(
CVE
-2020-10826,
CVE
-2020-10827,
CVE
-2020-10828,
CVE
-2020-13756)
– Οι κεφαλίδες
HTTP
επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες με ένα αίτημα
HTTP
. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα
HTTP
για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Κορυφαία κακόβουλα προγράμματα για κινητά
Αυτόν τον μήνα, το
AlienBot
καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από το
xHelper
και το
FluBot
.
-
AlienBot
–
Η οικογένεια κακόβουλου λογισμικού
AlienBot
είναι ένα
Malware
–
as
–
a
–
Service
(
MaaS
) για συσκευές
Android
που επιτρέπει σε έναν απομακρυσμένο εισβολέα, ως πρώτο βήμα, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους
λογαριασμούς
των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
-
xHelper –
Μια κακόβουλη εφαρμογή που παρατηρείται στη φύση από τον Μάρτιο του 2019, η οποία χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση
διαφημίσεων
. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και μπορεί ακόμη και να επανεγκατασταθεί σε περίπτωση που έχει απεγκατασταθεί.
-
FluBot
–
Το
FluBot
είναι ένα
botnet
Android
που διανέμεται μέσω μηνυμάτων
SMS
phishing
, τα οποία τις περισσότερες φορές υποδύονται μάρκες παράδοσης
logistics
. Μόλις ο χρήστης κάνει κλικ στο σύνδεσμο μέσα στο μήνυμα, το
FluBot
εγκαθίσταται και αποκτά πρόσβαση σε όλες τις ευαίσθητες πληροφορίες του τηλεφώνου.
AgentTesla
– Το AgentTesla είναι ένα προηγμένο RAT (Trojan
απομακρυσμένης
πρόσβασης) που λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου και το πρόχειρο συστήματος του θύματος, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια που εισάγονται για μια ποικιλία λογισμικού που είναι εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν $15 – $69 για άδειες χρήσης.
Formbook
–
Το FormBook εντοπίστηκε για πρώτη φορά το 2016 και είναι ένα InfoStealer που στοχεύει το
λειτουργικό σύστημα
Windows. Διατίθεται στην αγορά ως MaaS σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορους περιηγητές ιστού, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
Trickbot
–
Το Trickbot είναι ένα αρθρωτό Botnet και τραπεζικό Trojan που στοχεύει την πλατφόρμα των Windows, το οποίο διανέμεται κυρίως μέσω εκστρατειών spam ή άλλων οικογενειών κακόβουλου λογισμικού όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετες ενότητες από μια μεγάλη γκάμα διαθέσιμων ενοτήτων: από μια ενότητα VNC για απομακρυσμένο έλεγχο, μέχρι μια ενότητα SMB για εξάπλωση μέσα σε ένα παραβιασμένο δίκτυο. Μόλις μολυνθεί ένα μηχάνημα, η συμμορία Trickbot, οι απειλητικοί φορείς που βρίσκονται πίσω από αυτό το κακόβουλο λογισμικό, χρησιμοποιούν αυτό το ευρύ φάσμα ενοτήτων όχι μόνο για να κλέψουν τραπεζικά διαπιστευτήρια από τον
υπολογιστή
-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση του ίδιου του οργανισμού-στόχου, πριν από την πραγματοποίηση μιας στοχευμένης επίθεσης ransomware σε ολόκληρη την εταιρεία.
Vidar
–
Το Vidar είναι ένας infolstealer που στοχεύει σε λειτουργικά συστήματα Windows. Εντοπίστηκε για πρώτη φορά στα τέλη του 2018 και έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης στο διαδίκτυο και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα
διαδικτυακά
φόρουμ και χρησιμοποιείται ως dropper κακόβουλου λογισμικού που κατεβάζει το ransomware GandCrab ως δευτερεύον ωφέλιμο φορτίο.
Remcos
To
Remcos είναι ένας RAT που εμφανίστηκε για πρώτη φορά στη φύση το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windowss και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.
Zapchast
–
Μια ελεγχόμενη μέσω IRC Backdoor που επιτρέπει σε έναν εισβολέα μη εξουσιοδοτημένη πρόσβαση και έλεγχο ενός επηρεαζόμενου μηχανήματος. Όταν εκτελείται το backdoor, εγκαθιστά σύνδεση με έναν διακομιστή IRC (Internet Relay Chat). Στη συνέχεια
δημιουργεί
ένα bot σε ένα συγκεκριμένο κανάλι ή διακομιστή IRC και
χρησιμοποιεί
το κανάλι για να ελέγχει τα πολλαπλά bots του και να εξαπολύει κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών (DDoS).
Danabot
–
Το Danabot είναι ένα Trickler που στοχεύει στην πλατφόρμα των Windows. Το κακόβουλο λογισμικό στέλνει πληροφορίες στον διακομιστή ελέγχου του και κατεβάζει και αποκρυπτογραφεί ένα αρχείο για να εκτελεστεί στον μολυσμένο
υπολογιστή
. Σύμφωνα με πληροφορίες, η κατεβασμένη μονάδα μπορεί να κατεβάσει άλλα κακόβουλα αρχεία στο δίκτυο. Επιπλέον, το κακόβουλο λογισμικό
δημιουργεί
μια συντόμευση στο φάκελο εκκίνησης του χρήστη για να επιτύχει την παραμονή του στο μολυσμένο σύστημα.
Joker
–
Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό υπογράφει στο θύμα σιωπηλά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.
Strrat
–
Το Strrat είναι ένα RAT (Remote Administration Trojan). Το RAT μπορεί να κλέψει πληκτρολογήσεις καταγραφής, διαπιστευτήρια σύνδεσης που αποθηκεύονται σε προγράμματα περιήγησης και μπορεί να ελέγχει εξ αποστάσεως τα μολυσμένα λειτουργικά συστήματα Windows.
xHelper
–
Μια κακόβουλη εφαρμογή που παρατηρείται στη φύση από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση
διαφημίσεων
. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και να επανεγκαθίσταται σε περίπτωση που έχει απεγκατασταθεί.
Lokibot
–
Το LokiBot εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2016 και είναι ένας κλέφτης πληροφοριών με εκδόσεις τόσο για τα Windows όσο και για το Android OS. Συλλέγει διαπιστευτήρια από διάφορες εφαρμογές, προγράμματα περιήγησης στο διαδίκτυο, προγράμματα ηλεκτρονικού ταχυδρομείου, εργαλεία διαχείρισης IT όπως το PuTTY και άλλα. Το LokiBot πωλείται σε φόρουμ hacking και πιστεύεται ότι ο πηγαίος κώδικάς του διέρρευσε, επιτρέποντας έτσι την εμφάνιση πολυάριθμων παραλλαγών. Από τα τέλη του 2017, ορισμένες εκδόσεις του LokiBot για Android περιλαμβάνουν λειτουργικότητα ransomware εκτός από τις
δυνατότητες
κλοπής πληροφοριών.
Τα Global Threat Impact Index και ThreatCloud Map της
Check Point Software
, βασίζονται στο τμήμα ThreatCloud intelligence της εταιρείας. Το ThreatCloud παρέχει πληροφορίες απειλής σε πραγματικό χρόνο που προέρχονται από εκατοντάδες
εκατομμύρια
αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών συσκευών. Η νοημοσύνη είναι εμπλουτισμένη με AI-based engines και αποκλειστικά ερευνητικά δεδομένα από την
Check Point Research
, το τμήμα Intelligence & Research της
Check Point Software
Technologies.
Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Νοέμβριο βρίσκεται στο ιστολόγιο της
Check Point
.
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.