Η Check Point Research, το Threat Intelligence τμήμα έρευνας της Check Point® Software Technologies Ltd. , του κορυφαίου παρόχου λύσεων ασφάλειας στον κυβερνοχώρο σε παγκόσμιο επίπεδο, δημοσίευσε το Global Threat Index για τον Δεκέμβριο του 2021.

Σε έναν μήνα που είδαμε την ευπάθεια Apache Log4j να σαρώνει το διαδίκτυο, οι ερευνητές ανέφεραν ότι το Trickbot εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό, αν και με ελαφρώς χαμηλότερο ποσοστό, 4%, επίδρασης των οργανισμών παγκοσμίως, από 5% τον Νοέμβριο. Πρόσφατα επανάκαμψε και το Emotet, το οποίο ανέβηκε γρήγορα από την έβδομη στη δεύτερη θέση. Η CPR αποκαλύπτει επίσης ότι ο κλάδος που δέχεται τις περισσότερες επιθέσεις εξακολουθεί να είναι αυτός της Εκπαίδευσης/ Έρευνας.

Τον μήνα Δεκέμβριο, η “Apache Log4j Remote Code Execution”  είναι η ευπάθεια με τη μεγαλύτερη συχνότητα εκμετάλλευσης, επηρεάζοντας το 48,3% των οργανισμών παγκοσμίως. Η ευπάθεια αναφέρθηκε για πρώτη φορά στις 9 Δεκεμβρίου στο πακέτο καταγραφής του Apache Log4j – την πιο δημοφιλή βιβλιοθήκη καταγραφής Java που χρησιμοποιείται σε πολλές υπηρεσίες και εφαρμογές του Διαδικτύου με πάνω από 400.000 λήψεις από το GitHub Project. Η ευπάθεια προκάλεσε μια νέα μάστιγα, επηρεάζοντας τις μισές σχεδόν εταιρείες παγκοσμίως, σε πολύ σύντομο χρονικό διάστημα. Οι επιτιθέμενοι είναι σε θέση να εκμεταλλευτούν τις ευάλωτες εφαρμογές για να εκτελέσουν cryptojackers και άλλο κακόβουλο λογισμικό σε παραβιασμένους servers. Μέχρι τώρα, οι περισσότερες επιθέσεις επικεντρώνονταν στη χρήση άντλησης κρυπτονομισμάτων εις βάρος των θυμάτων, ωστόσο, οι πιο εξελιγμένοι δράστες άρχισαν να δρουν επιθετικά και να εκμεταλλεύονται την παραβίαση σε στόχους υψηλής αξίας.

“Η Log4j κυριάρχησε στις σχετικά με την κυβερνοασφάλεια ειδήσεις τον Δεκέμβριο. Πρόκειται για μία από τις πιο σοβαρές ευπάθειες που έχουμε δει ποτέ, και λόγω της πολυπλοκότητας στην επιδιόρθωσή της και της ευκολίας εκμετάλλευσής της, είναι πιθανό να παραμείνει μαζί μας για πολλά χρόνια, εκτός αν οι εταιρείες λάβουν άμεσα μέτρα για την αποτροπή επιθέσεων”, δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software.  “Τον ίδιο μήνα είδαμε επίσης το botnet Emotet να μετακινείται από την εβδόμη θέση στη δεύτερη ως το πιο διαδεδομένο κακόβουλο λογισμικό. Όπως ακριβώς υποψιαζόμασταν, το Emotet δεν άργησε καθόλου να θέσει ισχυρά θεμέλια από την επανεμφάνισή του τον περασμένο Νοέμβριο. Είναι παραπλανητικό και εξαπλώνεται γρήγορα μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing με κακόβουλα συνημμένα αρχεία ή συνδέσμους. Είναι τώρα πιο σημαντικό από ποτέ να κατέχουν όλοι μια ισχυρή λύση ασφάλειας του ηλεκτρονικού ταχυδρομείου τους και να διασφαλίσουμε ότι οι χρήστες γνωρίζουν πώς να αναγνωρίζουν ένα ύποπτο μήνυμα ή συνημμένο αρχείο”.  

Η CPR αναφέρει πως τον μήνα Δεκέμβριο η Εκπαίδευση/Έρευνα είναι ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τον κλάδο Κυβέρνηση/Ένοπλες Δυνάμεις και αυτόν των ISP/MSP. Η ευπάθεια “Apache Log4j Remote Code Execution” είναι η πιο συχνά εκμεταλλευόμενη, επηρεάζοντας το 48,3% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Web Server Exposed Git Repository Information Disclosure” που επηρεάζει το 43,8% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” παραμένει στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 41,5%. 

Top malware ομάδες

*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

 

Αυτόν τον μήνα, το Trickbot είναι το πιο διαδεδομένο κακόβουλο λογισμικό με επιπτώσεις στο 4% των οργανισμών παγκοσμίως, ακολουθούμενο από τα Emotet και Formbook, και τα δύο με παγκόσμιο αντίκτυπο 3%.

1. ↔ Trickbot – Το Trickbot είναι ένα modular Botnet και Banking Trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και διαύλους διανομής. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλαπλών χρήσεων.

2. ↑ Emotet – Το Emotet είναι ένα προηγμένο, αυτο-αναπαραγόμενο και modular Trojan. Το Emotet χρησιμοποιήθηκε κάποτε ως τραπεζικό Trojan, αλλά πρόσφατα χρησιμοποιείται ως διανομέας σε άλλα κακόβουλα προγράμματα ή κακόβουλες εκστρατείες. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της εμμονής και τεχνικές αποφυγής για να αποφύγει τον εντοπισμό. Επιπλέον, μπορεί να εξαπλωθεί μέσω μηνυμάτων spam phishing που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.

3. ↔ Formbook – Το Formbook είναι ένα InfoStealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.

Κορυφαίες επιθέσεις σε βιομηχανίες παγκοσμίως:

Αυτόν τον μήνα, η Εκπαίδευση/Έρευνα είναι ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τον κλάδο Κυβέρνηση/Ένοπλες Δυνάμεις και τον κλάδο ISP/MSP.

  • Εκπαίδευση/Ερευνα
  • Κυβέρνηση/Ένοπλες Δυνάμεις
  • ISP/MSP

Οι κορυφαία εκμεταλλευόμενες ευπάθειες

Τον μήνα Δεκέμβριο, η “Απομακρυσμένη εκτέλεση κώδικα Apache Log4j” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 48,3% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Αποκάλυψη πληροφοριών Git Repository Web Server Exposed” που επηρεάζει το 43,8% των οργανισμών παγκοσμίως. Η “HTTP Headers Remote Code Execution” παραμένει στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 41,5%.

  • Απομακρυσμένη εκτέλεση κώδικα Apache Log4j (CVE-2021-44228) – Υπάρχει ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
  • Web Server Exposed Git Repository Information Disclosure- Αναφέρθηκε μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
  • ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι επικεφαλίδες HTTP επιτρέπουν στον χρήστη και τον διακομιστή να διαβιβάζουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.

Κορυφαία κακόβουλα προγράμματα για κινητά

Το AlienBot καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από το xHelper και το FluBot.

 

  • AlienBot – Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα, ως πρώτο βήμα, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
  • xHelper – Μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και μπορεί ακόμη και να επανεγκατασταθεί σε περίπτωση που έχει απεγκατασταθεί.
  • FluBot R