Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd., ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Ιούλιο του 2019. Η ερευνητική ομάδα προειδοποιεί τους οργανισμούς για μια νέα ευπάθεια που ανακαλύφθηκε στο OpenDreamBox 2.0.0 WebAdmin Plugin η οποία επηρέασε το 32% των οργανισμών παγκοσμίως τον Ιούλιο.
Η συγκεκριμένη ευπάθεια, που κατατάχθηκε στην όγδοη θέση με τις ευπάθειες που γίνονται συχνότερα αντικείμενο εκμετάλλευσης, επιτρέπει στους επιτιθέμενους να εκτελούν εντολές από απόσταση σε μηχανήματα που αποτελούν στόχους. Το πρόγραμμα εκμετάλλευσης της ευπάθειας ενεργοποιήθηκε παράλληλα με άλλες επιθέσεις που στόχευαν σε συσκευές IoT – πιο συγκεκριμένα με την εκτέλεση του απομακρυσμένου κώδικα MVPower DVR (η τρίτη πιο δημοφιλής ευπάθεια που γινόταν αντικείμενο εκμετάλλευσης κατά τον Ιούλιο). Το συγκεκριμένο πρόγραμμα είναι επίσης γνωστό ότι σχετίζεται με το διαβόητο botnet Mirai.
Κατά τη διάρκεια του Ιουλίου επίσης μειώθηκε δραστικά η χρήση του Cryptoloot, καθώς βρέθηκε στη δέκατη θέση της λίστας με τα πιο διαδεδομένα κακόβουλα λογισμικά, ενώ τον Ιούνιο βρισκόταν στην τρίτη θέση.
«Οι δρώντες με κακόβουλο σκοπό προσπαθούν να εκμεταλλευτούν άμεσα νέες ευπάθειες μόλις εμφανιστούν, πριν οι οργανισμοί προλάβουν να τις διορθώσουν. Η ευπάθεια στο OpenDreamBox δεν αποτελεί εξαίρεση. Ωστόσο, το γεγονός ότι σχεδόν το ένα τρίτο των οργανώσεων παγκοσμίως έχουν επηρεαστεί, εκπλήσσει. Το συγκεκριμένο γεγονός αναδεικνύει τη σημασία που έχει η ταχεία διόρθωση τέτοιων ευπαθειών για την ασφάλεια των επιχειρήσεων», δήλωσε η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών της Check Point.
«Η απότομη πτώση στη χρήση του Cryptoloot παρουσιάζει επίσης ενδιαφέρον. Το συγκεκριμένο λογισμικό είχε κυριαρχήσει τον τελευταίο ενάμιση χρόνο ενώ αποτελούσε τη δεύτερη πιο διαδεδομένη εκδοχή κακόβουλου λογισμικού τους πρώτους έξι μήνες του 2019. και κατέλαβε τη δεύτερη πιο κοινή παραλλαγή malware που παρατηρήθηκε το πρώτο εξάμηνο του 2019, επηρεάζοντας το 7,2% των οργανισμών παγκοσμίως. Πιστεύουμε ότι η πτώση συνδέεται με τον κύριο ανταγωνιστή του, το Coinhive, το οποίο σταμάτησε να λειτουργεί νωρίτερα εντός του 2019. Οι κυβερνοεγκληματίες βασίζονται σε εναλλακτικό κακόβουλο cryptomining λογισμικό, όπως το XMRig και το Jsecoin».
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Ιούλιο 2019:
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα.
Το XMRig βρίσκεται στην κορυφή της λίστας, επηρεάζοντας το 7% των οργανισμών παγκοσμίως. Τα Jsecoin και Dorkbot ακολούθησαν επηρεάζοντας το 6% των οργανισμών σε παγκόσμιο επίπεδο.
1. ↔ XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
2. ↔ Jsecoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.
3. ↑ Dorkbot – Worm που βασίζεται στο IRC, σχεδιασμένο για να επιτρέπει την απομακρυσμένη εκτέλεση κώδικα από το χειριστή του, καθώς και τη λήψη πρόσθετου κακόβουλου λογισμικού στο μολυσμένο σύστημα, με βασικό σκοπό την υποκλοπή ευαίσθητων πληροφοριών και την πραγματοποίηση επιθέσεων άρνησης υπηρεσιών.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές τον Ιούλιο 2019:
Κατά τη διάρκεια του Ιουλίου, το Lotoor αποτέλεσε το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ενώ ακολούθησαν τα AndroidBauts και Piom – δυο νέες οικογένειες malware οι οποίες εμφανίζονται για πρώτη φορά στη λίστα.
1. Lotoor – Εργαλείο κυβερνοπειρατείας (χάκινγκ) που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για την απόκτηση δικαιωμάτων πλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.
2. AndroidBauts – Πρόκειται για Adware που στοχεύει τους χρήστες Android. Το λογισμικό απαλείφει το IMEI, το IMSI, το GPS location και άλλες πληροφορίες της συσκευής και επιτρέπει την εγκατάσταση τρίτων εφαρμογών στη συσκευή.
3. Piom – Πρόκειται για Adware που παρακολουθεί τη συμπεριφορά περιήγησης του χρήστη και διανέμει ανεπιθύμητες διαφημίσεις βάσει της δραστηριότητας του χρήστη.
Οι 3 ευπάθειες «που έγιναν συχνότερα αντικείμενο εκμετάλλευσης» τον Ιούλιο 2019
Τον Ιούνιο οι τεχνικές SQL Injections συνέχισαν να βρίσκονται στην πρώτη θέση της σχετικής λίστας, επηρεάζοντας το 46% των οργανισμών παγκοσμίως. Η ευπάθεια OpenSSL TLS DTLS Heartbeat Information Disclosure βρέθηκε στη δεύτερη θέση επηρεάζοντας το 41% των οργανισμών σε όλο τον κόσμο, ακολουθούμενη στενά από το MVPower DVR Remote Code Execution με αντίκτυπο στο 40% των οργανισμών παγκοσμίως.
1. ↔ SQL Injection (διάφορες τεχνικές) – Πρόκειται για την εισαγωγή ενός SQL query στα δεδομένα που παρέχει ο client σε μια εφαρμογή, με συνέπεια την εκμετάλλευση μιας ευπάθειας που υπάρχει στον κώδικα της εφαρμογής αυτής.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Μια ευπάθεια αποκάλυψης πληροφοριών που υπάρχει στο OpenSSL. Η ευπάθεια οφείλεται σε ένα σφάλμα κατά το χειρισμό πακέτων heartbeat TLS/DTLS. Ένας εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια για να αποκαλύψει περιεχόμενα της μνήμης ενός συνδεδεμένου συστήματος-πελάτη ή διακομιστή.
3. ↑ MVPower DVR Remote Code Execution – Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτό το ελάττωμα και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
*Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως μπορεί να βρεθεί εδώ.
Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Ιούλιο είναι:
AgentTesla – Το AgentTesla είναι ένα εξελιγμένο RAT που λειτουργεί ως keylogger και ως λογισμικό κλοπής κωδικών πρόσβασης μολύνοντας υπολογιστές από το 2014. Το AgentTesla έχει τη δυνατότητα να παρακολουθεί και να συλλέγει τις καταχωρήσεις του πληκτρολογίου του θύματος και το system clipboard, να λαμβάνει στιγμιότυπα οθόνης και να απομακρύνει τα credentials από λογισμικό εγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένου του Google Chrome, του Mozilla Firefox και του email client του Microsoft Outlook). Το AgentTesla πωλείται ως νόμιμο RAT με τους ενδιαφερόμενους να πληρώνουν 15 – 69 δολάρια για μια άδεια χρήστη.
Lokibot – Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσω email ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για την υποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώς και κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων και διακομιστές FTP.
NanoCore – Το NanoCore είναι ένα trojan απομακρυσμένης πρόσβασης, το οποίο παρατηρήθηκε πρώτη φορά το 2013 και στοχεύει στους χρήστες του λειτουργικού συστήματος των Windows. Όλες οι εκδόσεις του περιλαμβάνουν χαρακτηριστικά όπως καταγραφή οθόνης, εξόρυξη κρυπτονομισμάτων, απομακρυσμένος έλεγχος κ.α.
Jsecoin – Λογισμικό εξόρυξης JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.
AZORult – Το AZORult είναι ένα trojan που συγκεντρώνει και απομακρύνει δεδομένα από το μολυσμένο σύστημα. Μόλις το κακόβουλο λογισμικό εγκατασταθεί σε ένα σύστημα (συνήθως παραδίδεται από ένα κιτ εκμετάλλευσης όπως το RIG), μπορεί να στείλει αποθηκευμένους κωδικούς πρόσβασης, τοπικά αρχεία, κρυπτο-πορτοφόλια και πληροφορίες προφίλ υπολογιστή σε απομακρυσμένο command & control server.
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Trickbot – Το Trickbot είναι μια παραλλαγή του Dyre που εμφανίστηκε τον Οκτώβριο του 2016. Από τότε, έχει στοχεύσει κυρίως στους τραπεζικούς χρήστες στην Αυστραλία και το Ηνωμένο Βασίλειο ενώ πρόσφατα άρχισε να εμφανίζεται και στην Ινδία, τη Σιγκαπούρη και τη Μαλεσία.
Emotet – Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.
Dorkbot – Worm που βασίζεται στο IRC, σχεδιασμένο για να επιτρέπει την απομακρυσμένη εκτέλεση κώδικα από το χειριστή του, καθώς και τη λήψη πρόσθετου κακόβουλου λογισμικού στο μολυσμένο σύστημα, με βασικό σκοπό την υποκλοπή ευαίσθητων πληροφοριών και την πραγματοποίηση επιθέσεων άρνησης υπηρεσιών.
Οικογένεια κακόβουλου λογισμικού | Παγκόσμια επίδραση | Επίδραση Ελλάδα |
AgentTesla | 4.74% | 15.61% |
Lokibot | 3.01% | 15.61% |
Nanocore | 5.04% | 13.50% |
Jsecoin | 6.40% | 12.66% |
AZORult | 1.29% | 12.24% |
XMRig | 7.62% | 8.86% |
Trickbot | 4.60% | 6.75% |
Emotet | 5.30% | 6.33% |
Formbook | 3.61% | 5.91% |
Dorkbot | 5.77% | 5.06% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει περισσότερες από 250 εκατομμύρια διευθύνσεις που αναλύονται για τον εντοπισμό bot, περισσότερες από 11 εκατομμύρια υπογραφές κακόβουλου λογισμικού και περισσότερους από 5,5 εκατομμύρια μολυσμένους ιστότοπους, ενώ αναγνωρίζει εκατομμύρια τύπους κακόβουλου λογισμικού καθημερινά.
Οι Πηγές Πρόληψης Απειλών της Check Point είναι διαθέσιμες στον ιστότοπο: http://www.checkpoint.com/threat-prevention-resources/index.html