Ποιο είναι το πιο δημοφιλές κακόβουλο λογισμικό για τον Σεπτέμβριο 2024
Η Check Point® Software Technologies Ltd. (NASDAQ: CHKP), πάροχος πλατφόρμας κυβερνοασφάλειας που υποστηρίζεται από AI και παρέχεται από το cloud, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Σεπτέμβριο του 2024. Η έκθεση αναδεικνύει μια ενδιαφέρουσα τάση στο τοπίο της κυβερνοασφάλειας, ιδίως την εμφάνιση κακόβουλου λογισμικού που βασίζεται στην τεχνητή νοημοσύνη (AI), παράλληλα με τη συνεχιζόμενη κυριαρχία των απειλών ransomware.
Τον Σεπτέμβριο, οι ερευνητές ανακάλυψαν ότι οι δράστες των επιθέσεων χρησιμοποίησαν πιθανότατα τεχνητή νοημοσύνη για να αναπτύξουν ένα σενάριο που παραδίδει το κακόβουλο λογισμικό AsyncRAT, το οποίο έχει πλέον καταλάβει τη 10η θέση στη λίστα με τα πιο διαδεδομένα κακόβουλα λογισμικά. Η μέθοδος περιελάμβανε λαθρεμπόριο HTML, όπου ένα προστατευμένο με κωδικό πρόσβασης αρχείο ZIP, το οποίο περιείχε κακόβουλο κώδικα VBScript, εστάλη για να ξεκινήσει μια αλυσίδα μόλυνσης στη συσκευή του θύματος. Ο καλά δομημένος και με σχόλια κώδικας υποδήλωνε συμμετοχή τεχνητής νοημοσύνης. Μόλις εκτελεστεί πλήρως, το AsyncRAT εγκαθίσταται επιτρέποντας στον επιτιθέμενο να καταγράφει πληκτρολογήσεις, να ελέγχει εξ αποστάσεως τη μολυσμένη συσκευή και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Η ανακάλυψη αυτή αναδεικνύει μια αυξανόμενη τάση εγκληματιών του κυβερνοχώρου με περιορισμένες τεχνικές δεξιότητες να χρησιμοποιούν AI για να δημιουργούν ευκολότερα κακόβουλο λογισμικό.
Η Maya Horowitz, VP of Research στην Check Point Software, σχολίασε αυτή την τάση δηλώνοντας: «Το γεγονός ότι οι δράστες πίσω από τις απειλές έχουν αρχίσει να χρησιμοποιούν τη δημιουργική τεχνητή νοημοσύνη ως μέρος της υποδομής των επιθέσεών τους αναδεικνύει τη συνεχή εξέλιξη των τακτικών στις κυβερνοεπιθέσεις. Οι εγκληματίες του κυβερνοχώρου αξιοποιούν όλο και περισσότερο τις διαθέσιμες τεχνολογίες για να ενισχύσουν τις δραστηριότητές τους, καθιστώντας απαραίτητη την εφαρμογή προληπτικών στρατηγικών ασφάλειας από τους οργανισμούς, συμπεριλαμβανομένων προηγμένων μεθόδων πρόληψης και ολοκληρωμένης εκπαίδευσης των ομάδων τους».
Αυτόν τον μήνα, το Joker εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ενώ το RansomHub παραμένει η κορυφαία ομάδα ransomware, διατηρώντας και οι δύο τις θέσεις που είχαν και τον προηγούμενο μήνα. Τα ευρήματα αυτά αναδεικνύουν την επιμονή στις απειλές που θέτουν αυτές οι κακόβουλες οντότητες στο εξελισσόμενο τοπίο της κυβερνοασφάλειας.
Top malware families
*Τα βέλη αφορούν την αλλαγή στην κατάταξη σε σχέση με τον προηγούμενο μήνα.
Το FakeUpdates είναι το πιο διαδεδομένο κακόβουλο λογισμικό για τον Σεπτέμβριο με αντίκτυπο 7% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Androxgh0st με παγκόσμιο αντίκτυπο 6% και το Formbook με παγκόσμιο αντίκτυπο 4%.
1. ↔ FakeUpdates – Το FakeUpdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα ωφέλιμα φορτία στο δίσκο πριν από την εκτόξευσή τους. Το FakeUpdates οδήγησε σε περαιτέρω συμβιβασμό μέσω πολλών πρόσθετων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.
2. ↔ Androxgh0st – Το Androxgh0st είναι ένα botnet που στοχεύει σε πλατφόρμες Windows, Mac και Linux. Για την αρχική μόλυνση, το Androxgh0st εκμεταλλεύεται πολλαπλές ευπάθειες, στοχεύοντας συγκεκριμένα- το PHPUnit, το Laravel Framework και τον Apache Web Server. Το κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες, όπως πληροφορίες λογαριασμού Twilio, διαπιστευτήρια SMTP, κλειδί AWS κ.λπ. Χρησιμοποιεί αρχεία Laravel για να συλλέξει τις απαιτούμενες πληροφορίες. Διαθέτει διαφορετικές παραλλαγές οι οποίες σαρώνουν για διαφορετικές πληροφορίες.
3. ↑ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
4. ↔ Qbot – Το Qbot AKA Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα διαπιστευτήρια ενός χρήστη, να καταγράφει πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκοπεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση. Ξεκινώντας το 2022, αναδείχθηκε ως ένα από τα πιο διαδεδομένα Trojans.
5. ↔ AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει την είσοδο του πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και του προγράμματος ηλεκτρονικού ταχυδρομείου Microsoft Outlook).
6. ↓ Phorpiex – Το Phorpiex είναι ένα botnet γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω εκστρατειών spam, καθώς και για την τροφοδότηση εκστρατειών Sextortion μεγάλης κλίμακας.
7. ↑ Vidar – Το Vidar είναι ένα κακόβουλο λογισμικό infostealer που λειτουργεί ως malware-as-a-service και ανακαλύφθηκε για πρώτη φορά στη φύση στα τέλη του 2018. Το κακόβουλο λογισμικό εκτελείται σε Windows και μπορεί να συλλέξει ένα ευρύ φάσμα ευαίσθητων δεδομένων από προγράμματα περιήγησης και ψηφιακά πορτοφόλια. Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιείται ως πρόγραμμα λήψης ransomware.
8. ↑ NJRat – Το NJRat είναι ένα Trojan απομακρυσμένης πρόσβασης, που στοχεύει κυρίως κυβερνητικές υπηρεσίες και οργανισμούς στη Μέση Ανατολή. Το Trojan εμφανίστηκε για πρώτη φορά το 2012 και έχει πολλαπλές δυνατότητες: καταγραφή πληκτρολογήσεων, πρόσβαση στην κάμερα του θύματος, κλοπή διαπιστευτηρίων που είναι αποθηκευμένα σε προγράμματα περιήγησης, μεταφόρτωση και λήψη αρχείων, εκτέλεση χειρισμών διεργασιών και αρχείων και προβολή της επιφάνειας εργασίας του θύματος. Το NJRat μολύνει τα θύματα μέσω επιθέσεων phishing και drive-by downloads, και διαδίδεται μέσω μολυσμένων κλειδιών USB ή δικτυακών δίσκων, με την υποστήριξη του λογισμικού διακομιστή Command & Control.
9. ↑ Glupteba – Γνωστό από το 2011, το Glupteba είναι ένα backdoor που σταδιακά ωρίμασε σε botnet. Μέχρι το 2019 περιλάμβανε έναν μηχανισμό ενημέρωσης διευθύνσεων C&C μέσω δημόσιων λιστών BitCoin, μια ολοκληρωμένη δυνατότητα κλοπής προγραμμάτων περιήγησης και έναν εκμεταλλευτή δρομολογητών.
10. ↑ AsyncRat – Το Asyncrat είναι ένα Trojan που στοχεύει στην πλατφόρμα των Windows. Αυτό το κακόβουλο λογισμικό αποστέλλει πληροφορίες συστήματος σχετικά με το σύστημα-στόχο σε έναν απομακρυσμένο διακομιστή. Λαμβάνει εντολές από τον διακομιστή για να κατεβάσει και να εκτελέσει πρόσθετα, να σκοτώσει διεργασίες, να απεγκαταστήσει/ενημερώσει τον εαυτό του και να καταγράψει στιγμιότυπα οθόνης του μολυσμένου συστήματος.
Top exploited vulnerabilities
1. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - Έχει αναφερθεί μια ευπάθεια Command Injection over HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.
2. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Υπάρχει μια ευπάθεια στο directory traversal Σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) - Οι επικεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να περάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος
Top Mobile Malwares
Τον Σεπτέμβριο, το Joker βρίσκεται στην 1η θέση των πιο διαδεδομένων κακόβουλων προγραμμάτων για κινητά, ακολουθούμενο από τα Anubis και Hiddad.
1. ↔ Joker – Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό υπογράφει το θύμα σιωπηλά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό εγγράφει το θύμα σιωπηλά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.
2. ↔ Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan σχεδιασμένο για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
3. ↑ Hiddad – Το Hiddad είναι ένα κακόβουλο λογισμικό Android το οποίο επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.
Top-Attacked Industries Globally
Τον Σεπτέμβριο, η Εκπαίδευση/Έρευνα παρέμεινε στην 1η θέση των βιομηχανιών που δέχθηκαν επίθεση παγκοσμίως, ακολουθούμενη από την Κυβέρνηση/Στρατιωτικό τομέα και την Υγεία.
1. Εκπαίδευση/Έρευνα
2. Κυβέρνηση/Στρατιωτικός τομέας
3. Υγεία
Top Ransomware Groups
Τα δεδομένα βασίζονται σε πληροφορίες από τους «ιστότοπους ντροπής» ransomware που διαχειρίζονται ομάδες ransomware double-extortion, στις οποίες δημοσιεύουν πληροφορίες για τα θύματα τους. Το RansomHub είναι η πιο διαδεδομένη ομάδα ransomware αυτόν τον μήνα, υπεύθυνη για το 17% των δημοσιευμένων επιθέσεων, ακολουθούμενη από το Play με 10% και το Qilin με 5%.
1. RansomHub - Το RansomHub είναι μια επιχείρηση Ransomware-as-a-Service (RaaS), η οποία εμφανίστηκε ως μια αναβαθμισμένη έκδοση του προηγουμένως γνωστού ransomware Knight. Το RansomHub που εμφανίστηκε εμφανώς στις αρχές του 2024 σε υπόγεια φόρουμ κυβερνοεγκλήματος, απέκτησε γρήγορα φήμη για τις επιθετικές εκστρατείες του που στόχευαν διάφορα συστήματα, συμπεριλαμβανομένων των Windows, macOS, Linux και ιδιαίτερα περιβάλλοντα VMware ESXi. Αυτό το κακόβουλο λογισμικό είναι γνωστό για τη χρήση εξελιγμένων μεθόδων κρυπτογράφησης.
2. Play - Το Play Ransomware, που αναφέρεται επίσης ως PlayCrypt, είναι ένα ransomware που εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022. Αυτό το ransomware έχει στοχεύσει ένα ευρύ φάσμα επιχειρήσεων και κρίσιμων υποδομών στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη, επηρεάζοντας περίπου 300 οντότητες μέχρι τον Οκτώβριο του 2023. Το Play Ransomware αποκτά συνήθως πρόσβαση σε δίκτυα μέσω παραβιασμένων έγκυρων λογαριασμών ή με την εκμετάλλευση μη ενημερωμένων ευπαθειών, όπως αυτές στα VPN SSL της Fortinet. Μόλις εισέλθει στο εσωτερικό, χρησιμοποιεί τεχνικές όπως η χρήση δυαδικών αρχείων που ζουν από τη χώρα (LOLBins) για εργασίες όπως η διαρροή δεδομένων και η κλοπή διαπιστευτηρίων.
3. Qilin - Το Qilin, που αναφέρεται επίσης ως Agenda, είναι μια εγκληματική επιχείρηση ransomware-as-a-service που συνεργάζεται με θυγατρικές εταιρείες για την κρυπτογράφηση και την απομόνωση δεδομένων από οργανισμούς που έχουν εκτεθεί, ζητώντας στη συνέχεια λύτρα. Αυτή η παραλλαγή ransomware εντοπίστηκε για πρώτη φορά τον Ιούλιο του 2022 και αναπτύσσεται σε γλώσσα Golang. Η Agenda είναι γνωστή για τη στόχευση μεγάλων επιχειρήσεων και οργανισμών υψηλής αξίας, με ιδιαίτερη έμφαση στους τομείς της υγειονομικής περίθαλψης και της εκπαίδευσης. Το Qilin συνήθως διεισδύει στα θύματα μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing που περιέχουν κακόβουλους συνδέσμους για να αποκτήσει πρόσβαση στα δίκτυά τους και να εξαφανίσει ευαίσθητες πληροφορίες. Μόλις εισέλθει, το Qilin κινείται συνήθως πλευρικά μέσω της υποδομής του θύματος, αναζητώντας κρίσιμα δεδομένα προς κρυπτογράφηση.
Σχόλια