Η ερευνητική ομάδα ανέφερει ότι τα trojans Trickbot και Emotet συνεχίζουν να κατατάσσονται ως τα δύο πλέον διαδεδομένα malware για τον Οκτώβριο και ότι αυτά τα trojans ευθύνονται για την απότομη αύξηση ransomware επιθέσεων εναντίον νοσοκομείων και παρόχων υγειονομικής περίθαλψης παγκοσμίως.
Το FBI και άλλες κυβερνητικές υπηρεσίες των ΗΠΑ εξέδωσαν πρόσφατα μια προειδοποίηση για επιθέσεις ransomware λογισμικού που στοχεύουν στον τομέα της υγειονομικής περίθαλψης, προειδοποιώντας ότι οι εκτιμώμενες μολύνσεις από το Trickbot έχουν ξεπεράσει παγκοσμίως το ένα εκατομμύριο+, ενώ χρησιμοποιούνται για τη λήψη και διάδοση κρυπτογραφημένων αρχείων ransomware όπως το Ryuk. To Ryuk διανέμεται επίσης μέσω του trojan Emotet, το οποίο παραμένει στη πρώτη θέση στο Top Malware Index για τέταρτο συνεχόμενο μήνα.
Τα δεδομένα από το Check Point threat intelligence έδειξαν ότι ο τομέας της υγειονομικής περίθαλψης ήταν αυτός που στοχεύθηκε κυρίως από ransomware στις ΗΠΑ τον περασμένο Οκτώβριο, με τις επιθέσεις να έχουν αυξηθεί κατά 71% σε σύγκριση με τον Σεπτέμβριο του 2020. Ομοίως, οι επιθέσεις ransomware εναντίον οργανισμών υγείας και νοσοκομείων αυξήθηκαν κατά 36% στην περιοχή της Ευρώπης, Μέσης Ανατολής και Αφρικής (EMEA) και 33% στην περιοχή περιοχή Ασίας-Ειρηνικού (APAC) τον Οκτώβριο.
«Έχουμε δει τις επιθέσεις ransomware να αυξάνονται από την αρχή της πανδημίας του coronavirus, με στόχο να εκμεταλλεύονται – επιτυχώς - τα κενά ασφαλείας των οργανισμών, καθώς εκείνοι προσπαθούν να υποστηρίξουν το ανθρώπινο δυναμικό που εργάζεται από απόσταση. Οι επιθέσεις αυτές έχουν αυξηθεί ανησυχητικά τους τελευταίους τρεις μήνες, ειδικά σε ό,τι αφορά τον τομέα της υγειονομικής περίθαλψης, και οφείλονται σε προϋπάρχουσες μολύνσεις TrickBot και Emotet. Προτρέπουμε τους οργανισμούς υγειονομικής περίθαλψης σε όλο το κόσμο να είναι ιδιαίτερα προσεκτικοί σχετικά με αυτόν τον κίνδυνο και να «σκανάρουν» το δίκτυο τους για αυτές τις μολύνσεις προτού αυτές προκαλέσουν πραγματική ζημιά, αποτελώντας την πύλη για μια ransomware επίθεση», δήλωσε η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών της Check Point.
Η ερευνητική ομάδα προειδοποιεί επίσης ότι το «MVPower DVR Remote Code Execution» είναι η πιο κοινή προς εκμετάλλευση ευπάθεια, επηρεάζοντας το 43% των οργανισμών σε παγκόσμιο επίπεδο. Ακολουθούν τα «Dasan GPON Router Authentication Bypass» και «HTTP Headers Remote Code Execution (CVE-2020-13756)» που επηρεάζουν το 42% των οργανισμών παγκοσμίως.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα
Αυτό το μήνα το Emotet, παραμένει το Νο1 malware με παγκόσμιο αντίκτυπο 12%, ενώ ακολουθούν τα Trickbot και Hiddad που και τα δύο μαζί επηρέασαν το 4% των οργανισμών σε παγκόσμιο επίπεδο..
- ↔Emotet- Το Emotet είναι ένα να εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
- ↔ Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
- ↑Hiddad-Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.
Οι 3 ευπάθειες «που έγιναν συχνότερα αντικείμενο εκμετάλλευσης»
Αυτό το μήνα, το «MVPower DVR Remote Code Execution» είναι η ευπάθεια που χρησιμοποιήθηκε περισσότερο, επηρεάζοντας το 43% των οργανισμών παγκοσμίως, ακολουθούμενη από τα "Dasan GPON Router Authentication Bypass" και "HTTP Headers Remote Code Execution (CVE-2020-13756)", τα οποία μαζί επηρέασαν το 42% των οργανισμών παγκοσμίως.
- ↔MVPower DVR Remote Code Execution- Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτό το ελάττωμα και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.
- ↔ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Στους Dasan GPON routers υπάρχει μια ευπάθεια παράκαμψης ελέγχου ταυτότητας. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας επιτρέπει σε έναν επιτιθέμενος από μακριά να αποκτήσει ευαίσθητες πληροφορίες και μη εξουσιοδοτημένη πρόσβαση στο επηρεασμένο σύστημα.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) –Συγκεκριμένα πεδία στα αιτήματα HTTP επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές
Τον Οκτώβριο, το Hiddad ήταν το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα xHelper και Lotoor.
- Hiddad -Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.
- xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
- Lotoor - Το Lotoor είναι ένα εργαλείο κυβερνοπειρατείας (χάκινγκ) που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android προκειμένου να αποκτήσει δικαιώματα αναβαθμισμένης πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Οκτώβριο είναι:
Emotet - Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
Agenttesla - Το AgentTesla είναι ένα προηγμένο RAT (Remote Access Trojan) που αποσπά κωδικούς και στοιχεία κατά την πληκτρολόγηση. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει στοιχεία από το θύμα την στιγμή που αυτό πληκτρολογεί, μπορεί επίσης να καταγράφει στιγμιότυπα από την οθόνη και διαπιστευτήρια εξακρίβωσης που έχουν εισαχθεί για πολλά προγράμματα λογισμικού που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν 15$ - 69$ για άδειες χρήσης.
Trickbot - Το Trickbot. κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.
Dridex - Το Dridex είναι ένα Banking Trojan που στοχεύει την πλατφόρμα των Windows μέσω ανεπιθύμητης αλληλογραφίας και Exploit Kits, το οποίο βασίζεται σε WebInjects για να παρακολουθεί και να ανακατευθύνει τραπεζικά διαπιστευτήρια σε διακομιστή που ελέγχεται από τους εισβολείς. Το Dridex έρχεται σε επαφή με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.
Zloade - Το Zloade είναι απόγονος του πανταχού παρόν κακόβουλου λογισμικού Zeus banking που χρησιμοποιεί webinjects για να κλέψει credentials, κωδικούς πρόσβασης και αποθηκευμένα cookies σε προγράμματα περιήγησης και άλλες ευαίσθητες πληροφορίες από πελάτες τραπεζών και χρηματοπιστωτικών ιδρυμάτων. Το κακόβουλο λογισμικό επιτρέπει στους εισβολείς να συνδεθούν στο μολυσμένο σύστημα μέσω ενός εικονικού δικτύου, ώστε να μπορούν να κάνουν παράνομες συναλλαγές από τη συσκευή των χρηστών.
FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.
XMRig - Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Qbot AKA -Το Qakbot είναι τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials και στοιχεία που πληκτρολογούν οι χρήστες. Συχνά διανέμεται μέσω spam email. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.
Guloader- Το Guloader είναι ένα πρόγραμμα λήψης που χρησιμοποιείται ευρέως από τον Δεκέμβριο του 2019. Όταν εμφανίστηκε για πρώτη φορά, το GuLoader χρησιμοποιήθηκε για τη λήψη του Parallax RAT, αλλά έχει εφαρμοστεί σε άλλα trojans απομακρυσμένης πρόσβασης και υποκλοπείς πληροφοριών όπως το Netwire, το FormBook και το Agent Tesla.
xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
