Το πιο διαδεδομένο κακόβουλο λογισμικό για τον Ιανουαρίου 2021
Η
Check Point
Research
, το τμήμα έρευνας της
Check Point
®
Software
Technologies Ltd. (NASDAQ: CHKP), μια εκ των κορυφαίων παρόχων λύσεων
κυβερνοασφάλειας
παγκοσμίως, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Ιανουάριο του 2021.
Οι ερευνητές αναφέρουν ότι το Trojan
Emotet
παρέμεινε στην
πρώτη
θέση στην
λίστα
κακόβουλων προγραμμάτων για δεύτερο μήνα, επηρεάζοντας το 6% των οργανισμών παγκοσμίως, παρά τη
διεθνή
αστυνομική επιχείρηση η οποία κατάφερε και
πήρε τον έλεγχο του botnet στις 27 Ιανουαρίου.
Η επιχείρηση αυτή συνέβαλε στη
μείωση
κατά 14% στον αριθμό των οργανισμών που επηρεάστηκαν από τη δραστηριότητα του
Emotet
ενώ κρατικές
υπηρεσίες
σχεδιάζουν να απεγκαταστήσουν μαζικά το
Emotet
από μολυσμένους κεντρικούς
υπολογιστές
στις 25 Απριλίου. Παρόλα αυτά, το
Emotet
διατήρησε την
πρώτη
θέση στο
Global Threat Index
, επισημαίνοντας τον τεράστιο παγκόσμιο αντίκτυπο που είχε αυτό το botnet. Η καμπάνια κακόβουλων ανεπιθύμητων μηνυμάτων του
Emotet
χρησιμοποιεί διαφορετικές τεχνικές παράδοσης για τη διάδοση του, συμπεριλαμβανομένων ενσωματωμένων συνδέσμων, συνημμένων εγγράφων ή αρχείων Zip που προστατεύονται με κωδικό πρόσβασης.
Το
Emotet
εντοπίστηκε
πρώτη
φορά το 2014, και από τότε ενημερώθηκε τακτικά από τους προγραμματιστές του για να διατηρήσει την αποτελεσματικότητά του για κακόβουλη δραστηριότητα. Το Υπουργείο Εσωτερικής Ασφάλειας της Αμερικής έχει εκτιμήσει ότι κάθε περιστατικό που αφορά το
Emotet
κοστίζει
στους
οργανισμούς άνω του 1 εκατομμυρίου
δολαρίων
για να διορθωθεί.
«Το
Emotet
είναι
μία από τις πιο δαπανηρές και καταστροφικές παραλλαγές κακόβουλου λογισμικού που έχουμε δει ποτέ, η κοινή προσπάθεια που κατέβαλαν οι
υπηρεσίες
να το καταργήσουν ήταν απαραίτητη και ένα τεράστιο επίτευγμα», δήλωσε η Maya Horowitz, Διευθύντρια, Threat Intelligence &
Research
,
Products
at Σημείο ελέγχου. «Ωστόσο, αναπόφευκτα θα προκύψουν νέες
απειλές
που θα αντικαταστήσουν αυτή, έτσι οι οργανισμοί πρέπει ακόμη να προστατευθούν με ισχυρότερα
συστήματα
ασφαλείας
για να αποτρέψουν την παραβίαση των δικτύων τους. Όπως πάντα, η ολοκληρωμένη
εκπαίδευση
στους
υπαλλήλους
είναι
ζωτικής σημασίας, καθώς έτσι
είναι
σε θέση να εντοπίσουν τους τύπους κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου που διαδίδουν κρυφά trojans και bots.»
Η
Check Point
Research
προειδοποιεί επίσης ότι το “
MVPower DVR Remote Code Execution
”
είναι
η πιο συνηθισμένη εκμετάλλευση
ευπάθεια
, η οποία επηρέασε το 43% των οργανισμών, ενώ ακολουθεί “
HTTP Headers Remote Code Execution (CVE-2020-13756)
” που επηρεάζει το 42% των οργανισμών παγκοσμίως . Το
“Dasan GPON
Router
Authentication Bypass (CVE-2018-10561
)”
είναι
στην 3
η
θέση στη
λίστα
με τα πιο εκτεθειμένα τρωτά σημεία, με παγκόσμιο αντίκτυπο 41%.
Οι 3 πιο διαδεδομένες
απειλές
κακόβουλου λογισμικού
*
Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε
σχέση
με τον προηγούμενο μήνα
-
↔
Emotet
– Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το
Emotet
κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης
malware
. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο
σύστημα
και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων
email
ηλεκτρονικού ψαρέματος (
phishing
) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο
περιεχόμενο
. -
↑
Phorpiex
– Το Phorpiex
είναι
ένα botnet που
είναι
γνωστό για τη
διανομή
άλλων οικογενειών κακόβουλου λογισμικού μέσω καμπανιών ανεπιθύμητων μηνυμάτων, καθώς και για την τροφοδότηση εκστρατειών Sextortion μεγάλης κλίμακας.
-
↓
Trickbot
– To
Trickbot
είναι
ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες,
χαρακτηριστικά
και κατανομή των μολύνσεων. Αυτό επιτρέπει στο
Trickbot
να
είναι
ένα ευέλικτο και προσαρμόσιμο
malware
λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
Οι πιο εκμεταλλεύσιμες
ευπάθειες
Τον Ιανουάριο, το “
MVPower DVR Remote Code Execution”
ήταν η
ευπάθεια
που χρησιμοποιήθηκε περισσότερο, επηρεάζοντας το 43% των οργανισμών παγκοσμίως, ακολουθεί το “
HTTP Headers Remote Code Execution (CVE-2020-13756)
” το οποίο επηρέασε το 42% των οργανισμών παγκοσμίως. Το
Dasan GPON
Router
Authentication Bypass (CVE-2018-10561)
βρίσκεται στην τρίτη θέση στη
λίστα
με τα πιο ευάλωτα σημεία εκμετάλλευσης, με συνολικό αντίκτυπο 41%.
-
↔
MVPower DVR Remote Code Execution
– Στις
συσκευές
MVPower DVR υπάρχει μια
ευπάθεια
εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτή την αδυναμία και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο
router
μέσω ενός crafted αιτήματος. -
↔
HTTP Headers Remote Code Execution (CVE-2020-13756)
– Συγκεκριμένα πεδία σταους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος. -
↑
Dasan GPON
Router
Authentication Bypass (CVE-2018-10561)
– Μια
ευπάθεια
παράκαμψης ελέγχου ταυτότητας που υπάρχει
στους
δρομολογητές Dasan GPON. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας επιτρέπει
στους
απομακρυσμένους εισβολείς να αποκτήσουν ευαίσθητες πληροφορίες και να αποκτήσουν μη εξουσιοδοτημένη
πρόσβαση
στο επηρεαζόμενο
σύστημα
.
Οι 3 πιο διαδεδομένες
απειλές
κακόβουλου λογισμικού για κινητές
συσκευές
Αυτό το μήνα, το
Hiddad
κατέχει την 1η θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για
κινητά
, ακολουθούμενο από τα
xHelper
και
Triada
.
-
Hiddad
-Το Hiddad
είναι
ένα
malware
λογισμικό
Android
που επανασυσκευάζει νόμιμες
εφαρμογές
και στη συνέχεια τις
κυκλοφορεί
σε ένα
κατάστημα
τρίτων. Η κύρια
λειτουργία
του
είναι
να εμφανίζει
διαφημίσεις
, αλλά μπορεί επίσης να αποκτήσει
πρόσβαση
σε βασικές λεπτομέρειες
ασφαλείας
ενσωματωμένες στο λειτουργικό
σύστημα
.
-
xHelper
– Το xHelper
είναι
μια κακόβουλη
εφαρμογή
που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η
εφαρμογή
είναι
ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
-
Triada –
έ
να
Modular Backdoor για
Android
, το οποίο παρέχει δικαιώματα superuser για λήψη κακόβουλου λογισμικού
Η πλήρης
λίστα
με τις πιο διαδεδομένες
απειλές
κακόβουλου λογισμικού στην
Ελλάδα
για τον Ιανουάριο
είναι
:
Emotet
–
Ένα εξελιγμένο modular trojan που αυτοαναπαράγεται. Το
Emotet
κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης
malware
. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο
σύστημα
και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων
email
ηλεκτρονικού ψαρέματος (
phishing
) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο
περιεχόμενο
.
Dridex
– Το Dridex
είναι
ένα Banking Trojan που στοχεύει την
πλατφόρμα
των
Windows
μέσω
ανεπιθύμητης αλληλογραφίας και Exploit Kits, το οποίο βασίζεται σε WebInjects για να παρακολουθεί και να ανακατευθύνει τραπεζικά διαπιστευτήρια σε διακομιστή που ελέγχεται από τους εισβολείς. Το Dridex
έρχεται
σε επαφή με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο
σύστημα
και μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.
XMRig
– Το XMRig
είναι
ένα λογισμικό CPU
mining
ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία
παραγωγής
του κρυπτονομίσματος
Monero
και παρατηρήθηκε σε
κυκλοφορία
για
πρώτη
φορά τον Μάιο του 2017.
Phorpiex –
Το Phorpiex
είναι
ένα botnet (γνωστό και ως Trik) από το 2010 το οποίο στην κορύφωση του
έλεγχε
περισσότερους από ένα
εκατομμύριο
μολυσμένους κεντρικούς
υπολογιστές
. Γνωστό για τη
διανομή
άλλων οικογενειών κακόβουλου λογισμικού μέσω καμπανιών ανεπιθύμητης αλληλογραφίας, καθώς και για την τροφοδότηση καμπανιών ανεπιθύμητης αλληλογραφίας και εκστρατειών μεγάλης κλίμακας.
NJRat-
Το njRAT
είναι
ένα remote
access
Trojan, στοχεύει κυρίως κυβερνητικούς φορείς και οργανισμούς στη Μέση Ανατολή. Το Trojan εμφανίστηκε για
πρώτη
φορά το 2012 και έχει πολλές δυνατότητες: καταγραφή πλήκτρων,
πρόσβαση
στην
κάμερα
του θύματος, κλοπή διαπιστευτηρίων που
είναι
αποθηκευμένα σε προγράμματα περιήγησης, μεταφόρτωση και λήψη αρχείων, εκτέλεση διαδικασιών και χειρισμοί αρχείων και προβολή της επιφάνειας εργασίας του θύματος. Το njRAT μολύνει τα θύματα μέσω επιθέσεων ηλεκτρονικού ψαρέματος (
phishing
) και λήψεων μέσω δίσκου, και διαδίδεται μέσω μολυσμένων κλειδιών USB ή δικτυακών δίσκων, με την υποστήριξη του λογισμικού διακομιστή Command &
Control
.
Trickbot
– Το
Trickbot
κυρίαρχο τραπεζικό trojan που στοχεύει
πλατφόρμες
Windows
και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες
malware
όπως το
Emotet
. Το
Trickbot
στέλνει πληροφορίες σχετικά με το μολυσμένο
σύστημα
και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC
module
για χρήση από απόσταση ή ένα SMB
module
για εξάπλωση εντός ενός επηρεασμένου
δικτύου
. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό
Trickbot
, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση
ransomware
σε ολόκληρη την
εταιρεία
.
x
Helper
–
Μια κακόβουλη
εφαρμογή
που εμφανίζεται από τον Μάρτιο του 2019, χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και για την προβολή διαφημίσεων. Η
εφαρμογή
μπορεί να κρύβεται από τον χρήστη και να επανεγκαθίσταται σε περίπτωση που απεγκατασταθεί.
Qbot AKA
-Το Qakbot
είναι
τραπεζικό Trojan που εμφανίστηκε για
πρώτη
φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials
και στοιχεία που πληκτρολογούν οι
χρήστες
. Συχνά διανέμεται μέσω spam
email
. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.
FormBook
– Το FormBook
είναι
ένα InfoStealer που στοχεύει το λειτουργικό
σύστημα
των
Windows
και ανιχνεύθηκε για
πρώτη
φορά το 2016. Διαφημίζεται σε
hacking
forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές
τιμές
. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του
έχουν
δοθεί.
Vidar
–
Το Vidar
είναι
ένα infolstealer που στοχεύει λειτουργικά
συστήματα
Windows
. Για
πρώτη
φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης,
δεδομένα
πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού
που κατεβάζει το GandCrab
ransomware
ως δευτερεύον ωφέλιμο φορτίο του.
Agenttesla
–
Το AgentTesla
είναι
ένα προηγμένο RAT (Remote
Access
Trojan) που αποσπά κωδικούς και στοιχεία κατά την πληκτρολόγηση. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει
στοιχεία από το θύμα την στιγμή που αυτό πληκτρολογεί, μπορεί επίσης να καταγράφει στιγμιότυπα από την
οθόνη
και διαπιστευτήρια εξακρίβωσης που
έχουν
εισαχθεί για πολλά προγράμματα λογισμικού που
είναι
εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των
Google
Chrome
,
Mozilla
Firefox
και
Microsoft
Outlook
). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν 15$ – 69$ για άδειες χρήσης.
LimeRAT-
Το LimeRAT
είναι
ένα Trojan σχεδιασμένο για
υπολογιστές
Windows
. Το LimeRAT διαδόθηκε κυρίως ως συνημμένο
email
, κακόβουλες
διαδικτυακές
διαφημίσεις
και
social
engineering. Αφού
γίνει
η μόλυνση,
είναι
σε θέση να προσθέσει
υπολογιστές
σε botnets, να εγκαταστήσει backdoors σε μολυσμένα μηχανήματα, να κρυπτογραφήσει αρχεία με τον ίδιο τρόπο όπως το
ransomware
και να εγκαταστήσει
cryptocurrency
miners.
Danabot-
Το Danabot
είναι
ένα Trickler που στοχεύει στην
πλατφόρμα
των
Windows
. Το κακόβουλο λογισμικό στέλνει πληροφορίες στον διακομιστή ελέγχου του και κατεβάζει και αποκρυπτογραφεί ένα αρχείο για εκτέλεση στον μολυσμένο υπολογιστή. Σύμφωνα με πληροφορίες, η ληφθείσα ενότητα μπορεί να κατεβάσει άλλα κακόβουλα αρχεία στο
δίκτυο
. Επιπλέον, το κακόβουλο λογισμικό
δημιουργεί
μια συντόμευση στο φάκελο εκκίνησης του χρήστη για να επιτύχει παραμονή του στο μολυσμένο
σύστημα
.
Triada-
Το Triada
είναι
είναι
modular backdoor που στοχεύει το
σύστημα
Android
δίνοντας της
δυνατότητα
στον
hacker
για λήψη και εγκατάσταση του κακόβουλου λογισμικού. Το Triada έχει επίσης πλαστογραφημένα URL φορτωμένα στο
πρόγραμμα
περιήγησης.
|
Οικογένεια κακόβουλου λογισμικού |
Παγκόσμια επίδραση |
Επίδραση στην Ελλάδα |
|
Emotet |
6.38% | 19.75% |
| Dridex | 3.28% | 4.32% |
| XMRig | 3.23% | 2.78% |
| Phorpiex | 3.92% | 2.78% |
| NJRat | 1.47% | 2.47% |
|
Trickbot |
3.67% | 2.16% |
| xHelper | 0.91% | 2.16% |
| Qbot | 1.90% | 2.16% |
| Formbook | 2.79% | 2.16% |
| Vidar | 0.74% | 1.85% |
| Agenttesla | 0.25% | 1.85% |
| Danabot | 0.41% | 1.85% |
| Triada | 0.20% | 1.85% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της
Check Point
, βασίζονται στο ThreatCloud intelligence της
Check Point
, στο
μεγαλύτερο
δίκτυο
συνεργασίας
για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει
δεδομένα
για τις
απειλές
και τις τάσεις που επικρατούν στις
επιθέσεις
, αξιοποιώντας ένα παγκόσμιο
δίκτυο
ανιχνευτών απειλών. Η βάση
δεδομένων
ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600
εκατομμύρια
αρχεία καθημερινά και εντοπίζει περισσότερες από 250
εκατομμύρια
δραστηριότητες
malware
κάθε μέρα.
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.