Η Check Point Research, το Threat Intelligence τμήμα της Check Point Software Technologies, κορυφαίου πάροχου λύσεων ασφάλειας στον κυβερνοχώρο σε παγκόσμιο επίπεδο, δημοσίευσε το Global Threat Index για το μήνα Νοέμβριο του 2021.

Οι ερευνητές αναφέρουν ότι ενώ το Trickbot παραμένει στην κορυφή της λίστας με τα πιο διαδεδομένα κακόβουλα προγράμματα, επηρεάζοντας το 5% των οργανισμών παγκοσμίως, το πρόσφατα αναγεννημένο Emotet επιστρέφει στην έβδομη θέση της λίστας. Η CPR αποκαλύπτει επίσης ότι ο κλάδος που δέχεται τις περισσότερες επιθέσεις είναι αυτός της Εκπαίδευσης/Έρευνας.

Παρά τις σημαντικές προσπάθειες της Europol και πολλών άλλων φορέων επιβολής του νόμου νωρίτερα φέτος για την καταστολή του Emotet, το διαβόητο botnet επιβεβαιώθηκε ότι επανήλθε σε δράση τον Νοέμβριο και είναι ήδη το έβδομο πιο συχνά χρησιμοποιούμενο κακόβουλο λογισμικό. Το Trickbot βρίσκεται στην κορυφή της λίστας για έκτη φορά αυτόν τον μήνα και εμπλέκεται ακόμη και με τη νέα παραλλαγή του Emotet, η οποία εγκαθίσταται σε μολυσμένους υπολογιστές χρησιμοποιώντας την υποδομή του Trickbot.  

Το Emotet εξαπλώνεται μέσω phishing emails που περιέχουν μολυσμένα αρχεία Word, Excel και Zip, τα οποία αναπτύσσουν το Emotet στον υπολογιστή του θύματος. Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν ενδιαφέροντες τίτλους όπως τρέχουσες ειδήσεις, τιμολόγια και ψεύτικα εταιρικά σημειώματα για να δελεάσουν τα θύματα να τα ανοίξουν. Πιο πρόσφατα, το Emotet άρχισε επίσης να εξαπλώνεται μέσω κακόβουλων πακέτων Windows App Installer προσποιούμενα λογισμικό Adobe.

“Το Emotet είναι ένα από τα πιο επιτυχημένα botnet στην ιστορία του κυβερνοχώρου και ευθύνεται για την έκρηξη των στοχευμένων επιθέσεων ransomware που παρατηρούμε τα τελευταία χρόνια”, δήλωσε η Maya Horowitz, VP Research στην Check Point Software.  “Η επιστροφή του botnet τον Νοέμβριο είναι εξαιρετικά ανησυχητική, καθώς μπορεί να οδηγήσει σε περαιτέρω αύξηση τέτοιων επιθέσεων. Το γεγονός ότι χρησιμοποιεί την υποδομή του Trickbot σημαίνει ότι συντομεύει τον χρόνο που θα χρειαζόταν για να αποκτήσει ένα αρκετά σημαντικό έρεισμα σε δίκτυα σε όλο τον κόσμο. Καθώς εξαπλώνεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing με κακόβουλα συνημμένα αρχεία, είναι ζωτικής σημασίας τόσο η ευαισθητοποίηση όσο και η εκπαίδευση των χρηστών να βρίσκονται στην κορυφή της λίστας προτεραιοτήτων των οργανισμών όσον αφορά την ασφάλεια στον κυβερνοχώρο. Και όποιος θέλει να κατεβάσει λογισμικό Adobe θα πρέπει να θυμάται, όπως και με κάθε εφαρμογή, να το κάνει μόνο μέσω επίσημων μέσων”.  

Η CPR αποκάλυψε επίσης ότι ο κλάδος εκπαίδευσης/έρευνας είναι αυτός με τις περισσότερες επιθέσεις παγκοσμίως για τον μήνα Νοεμβριο, ακολουθούμενος από τους επικοινωνίες και κυβέρνησης/στρατού. Το “Web Servers Malicious URL Directory Traversal” εξακολουθεί να είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 44% των οργανισμών παγκοσμίως, ακολουθούμενο από το “Web Server Exposed Git Repository Information Disclosure” που επηρεάζει το 43,7% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” παραμένει στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 42%.

Κορυφαίες οικογένειες κακόβουλων λογισμικών

*Τα βέλη αφορούν στη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

Αυτόν τον μήνα, το Trickbot είναι το πιο δημοφιλές κακόβουλο λογισμικό που επηρεάζει το 5% των οργανισμών παγκοσμίως, ακολουθούμενο από τον Agent Tesla και το Formbook, και τα δύο με παγκόσμιο αντίκτυπο 4%.

  •  Trickbot – Το Trickbot είναι ένα modular Botnet και Τραπεζικό Trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και διαύλους διανομής. Αυτό του επιτρέπει να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί ως μέρος καμπανιών πολλαπλών χρήσεων.
  • Agent Tesla – Το Agent Tesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και υποκλοπέας πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει στοιχεία του πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook).
  • Formbook – Το Formbook είναι ένα InfoStealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.

Κορυφαίες επιθέσεις σε βιομηχανίες παγκοσμίως:

This month, Education/Research is the most attacked industry globally, followed by Communications and Government/Military.

Αυτόν τον μήνα, η Εκπαίδευση/Έρευνα είναι ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τις Επικοινωνίες και την Κυβέρνηση/Στρατό

  • Εκπαίδευση/Ερευνα
  • Επικοινωνίες
  • Κυβέρνηση/Στρατός

Τα κορυφαία εκμεταλλευόμενα τρωτά σημεία

Αυτόν τον μήνα, η ” Web Servers Malicious URL Directory Traversal” εξακολουθεί να είναι η πιο συχνά αξιοποιούμενη ευπάθεια, επηρεάζοντας το 44% των οργανισμών παγκοσμίως, ακολουθούμενη από την ” Web Server Exposed Git Repository Information Disclosure “, η οποία επηρεάζει το 43,7% των οργανισμών παγκοσμίως. Η ” HTTP Headers Remote Code Execution” παραμένει στην τρίτη θέση της λίστας με τις ευπάθειες με τις περισσότερες εκμεταλλεύσεις, με παγκόσμιο αντίκτυπο 42%.

  • Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει ευπάθεια διάσχισης καταλόγου σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά τη διεύθυνση URL για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
  • Web Server Exposed Git Repository Information Disclosure – Έχει αναφερθεί ένα κενό ασφαλείας για την αποκάλυψη πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
  • ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι κεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.

Κορυφαία κακόβουλα προγράμματα για κινητά

Αυτόν τον μήνα, το AlienBot καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από το xHelper και το FluBot.

  • AlienBot – Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα, ως πρώτο βήμα, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
  • xHelper – Μια κακόβουλη εφαρμογή που παρατηρείται στη φύση από τον Μάρτιο του 2019, η οποία χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και μπορεί ακόμη και να επανεγκατασταθεί σε πε