Δελτίο Τύπου:
Οι ερευνητές της Check Point αναφέρουν ότι μια νέα αύξηση των επιθέσεων με τη χρήση του Phorpiex Botnet που διανέμει το Avaddon ransomware σε κακόβουλες καμπάνιες spam

Αθήνα, 14 Νοεμβρίου, 2020- Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd., μιας εκ των κορυφαίων παρόχων λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Νοέμβριο του 2020, δείχνοντας μια νέα αύξηση των μολύνσεων από το γνωστό botnet Phorpiex που καθίσταται το πιο διαδεδομένο κακόβουλο λογισμικό για τον μήνα που πέρασε, επηρεάζοντας το 4% των οργανισμών παγκοσμίως. Το Phorpiex πρωτοεμφανίστηκε στο Top 10 του Threat Index τον περασμένο Ιούνιο.

Το botnet Phorpiex αναφέρθηκε για πρώτη φορά το 2010 και στο απόγειό του έλεγχε περισσότερους από ένα εκατομμύριο μολυσμένους κεντρικούς υπολογιστές. Γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω spam, καθώς και για την τροφοδότηση μεγάλης κλίμακας ‘sextortion” spam campaigns και κρυπτογραφήσεων, το Phorpiex διανέμει και πάλι το Avaddon ransomware, όπως ανέφεραν αρχικά οι ερευνητές της Check Point νωρίτερα φέτος. Το Avaddon είναι μια σχετικά νέα παραλλαγή Ransomware-as-a-Service (RaaS) και οι χειριστές του έχουν προσλάβει και πάλι συνεργάτες να διανείμουν το ransomware. Το Avaddon έχει διανέμεται μέσω αρχείων JS και Excel ως μέρος malspam καμπάνιας και είναι σε θέση να κρυπτογραφήσει ένα ευρύ φάσμα τύπων αρχείου.

«Το Phorpiex είναι ένα από τα παλαιότερα και πιο επίμονα botnets και έχει χρησιμοποιηθεί από τους δημιουργούς του για πολλά χρόνια για να διανείμει άλλα payloads κακόβουλου λογισμικού, όπως GandCrab και Avaddon ransomware, ή για απάτες sextortion. Αυτό το νέο κύμα μολύνσεων εξαπλώνει τώρα μια άλλη καμπάνια ransomware, η οποία δείχνει πόσο αποτελεσματικό είναι ένα εργαλείο Phorpiex », δήλωσε η Maya Horowitz, Director, Threat Intelligence & Research, Products στη Check Point. «Οι οργανισμοί πρέπει να εκπαιδεύσουν τους υπαλλήλους για το πώς να αναγνωρίζουν πιθανό malspam και να είναι προσεκτικοί με το άνοιγμα άγνωστων συνημμένων σε μηνύματα ηλεκτρονικού ταχυδρομείου, ακόμα και αν προέρχονται από αξιόπιστη πηγή. Πρέπει επίσης να διασφαλίσουν ότι αναπτύσσουν με τέτοιο τρόπο την ασφάλειά τους που να εμποδίζει ουσιαστικά τη μόλυνση των δικτύων τους».

Η ερευνητική ομάδα επίσης προειδοποιεί ότι το "HTTP Headers Remote Code Execution (CVE-2020-13756)" είναι η πιο συνηθισμένη εκμεταλλεύσιμη ευπάθεια, επηρεάζοντας το 54% των οργανισμών παγκοσμίως, ακολουθεί το "MVPower DVR Remote Code Execution" που επηρέασε το 48% των οργανισμών παγκοσμίως και το “Dasan GPON Router Authentication Bypass (CVE-2018-10561)“ που επηρέασε το 44% των οργανισμών ανά την υφήλιο.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού
*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τον προηγούμενο μήνα


Αυτό το μήνα, το Phorpiex είναι το πιο διαδεδομένο κακόβουλο λογισμικό με παγκόσμιο αντίκτυπο στο 4% των οργανισμών, ακολουθούμενο στενά από το Dridex και το Hiddad, τα οποία επηρέασαν και τα δύο μαζί το 3% των οργανισμών παγκοσμίως.



  1. Phorpiex - Το Phorpiex είναι ένα botnet που είναι γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω καμπανιών ανεπιθύμητων μηνυμάτων, καθώς και για την τροφοδότηση εκστρατειών Sextortion μεγάλης κλίμακας.



  1. Dridex - Το Dridex είναι Trojan που στοχεύει την πλατφόρμα των Windows και σύμφωνα με πληροφορίες γίνεται λήψη μέσω συνημμένου spam. Το Dridex έρχεται σε επαφή με έναν απομακρυσμένο διακομιστή και στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα. Μπορεί επίσης να να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.



  1. Hiddad -Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.


Οι πιο εκμεταλλεύσιμες ευπάθειες

Αυτό το μήνα, το "HTTP Headers Remote Code Execution (CVE-2020-13756)", είναι η ευπάθεια που χρησιμοποιήθηκε περισσότερο, επηρεάζοντας το 54% των οργανισμών παγκοσμίως ακολουθεί το "MVPower DVR Remote Code Execution" επηρέασε το 48% των οργανισμών παγκοσμίως και το "Dasan GPON Router Authentication Bypass (CVE-2018-10561) επηρέασε το 44% των οργανισμών ανά την υφήλιο.


  1. HTTP Headers Remote Code Execution (CVE-2020-13756) - Συγκεκριμένα πεδία στα HTTP επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.



  1. MVPower DVR Remote Code Execution - Στις συσκευές MVPower DVR υπάρχει μια ευπάθεια εκτέλεσης κώδικα από απόσταση. Ένας επιτιθέμενος από μακριά μπορεί να εκμεταλλευτεί αυτό το ελάττωμα και να εκτελέσει αυθαίρετο κώδικα στο επηρεασμένο router μέσω ενός crafted αιτήματος.



  1. Dasan GPON Router Authentication Bypass (CVE-2018-10561) - Στους Dasan GPON routers υπάρχει μια ευπάθεια παράκαμψης ελέγχου ταυτότητας. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας επιτρέπει σε έναν επιτιθέμενος από μακριά να αποκτήσει ευαίσθητες πληροφορίες και μη εξουσιοδοτημένη πρόσβαση στο επηρεασμένο σύστημα.


Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητές συσκευές

Το μήνα Νοέμβριο το Hiddad παρέμεινε το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα xHelper και Lotoor.


  1. Hiddad -Το Hiddad είναι ένα malware λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι να εμφανίζει διαφημίσεις, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας ενσωματωμένες στο λειτουργικό σύστημα.



  1. xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.



  1. Lotoor - Το Lotoor είναι ένα εργαλείο κυβερνοπειρατείας (χάκινγκ) που εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android προκειμένου να αποκτήσει δικαιώματα αναβαθμισμένηςπλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.


Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Νοέμβριο είναι:

Emotet - Εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.

Agenttesla - Το AgentTesla είναι ένα προηγμένο RAT (Remote Access Trojan) που αποσπά κωδικούς και στοιχεία κατά την πληκτρολόγηση. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει στοιχεία από το θύμα την στιγμή που αυτό πληκτρολογεί, μπορεί επίσης να καταγράφει στιγμιότυπα από την οθόνη και διαπιστευτήρια εξακρίβωσης που έχουν εισαχθεί για πολλά προγράμματα λογισμικού που είναι εγκατεστημένα στο μηχάνημα του (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν 15$ - 69$ για άδειες χρήσης.

Qbot AKA -Το Qakbot είναι τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008, με σκοπό να κλέψει τραπεζικά credentials και στοιχεία που πληκτρολογούν οι χρήστες. Συχνά διανέμεται μέσω spam email. Η Qbot χρησιμοποιεί πολλές τεχνικές anti-VM, anti-debugging και anti-sandbox, για να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό.

Phorpiex- Το Phorpiex είναι ένα botnet (γνωστό και ως Trik) από το 2010 και όταν βρισκόσταν στο κορύφωμα του ήλεγχε περισσότερους από ένα εκατομμύριο μολυσμένους κεντρικούς υπολογιστές. Γνωστό για τη διανομή άλλων οικογενειών κακόβουλου λογισμικού μέσω καμπανιών ανεπιθύμητων μηνυμάτων, καθώς και για την τροφοδότηση καμπανιών ανεπιθύμητων μηνυμάτων και εκστρατειών μεγάλης κλίμακας.
Trickbot - Το Trickbot. κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.

Guloader- Το Guloader είναι ένα πρόγραμμα λήψης που χρησιμοποιείται ευρέως από τον Δεκέμβριο του 2019. Όταν εμφανίστηκε για πρώτη φορά, το GuLoader χρησιμοποιήθηκε για τη λήψη του Parallax RAT, αλλά έχει εφαρμοστεί σε άλλα trojans απομακρυσμένης πρόσβασης και υποκλοπείς πληροφοριών όπως το Netwire, το FormBook και το Agent Tesla.

XMRig - Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίο χρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero και παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.

Zloade - Το Zloade είναι απόγονος του πανταχού παρόν κακόβουλου λογισμικού Zeus banking που χρησιμοποιεί webinjects για να κλέψει credentials, κωδικούς πρόσβασης και αποθηκευμένα cookies σε προγράμματα περιήγησης και άλλες ευαίσθητες πληροφορίες από πελάτες τραπεζών και χρηματοπιστωτικών ιδρυμάτων. Το κακόβουλο λογισμικό επιτρέπει στους εισβολείς να συνδεθούν στο μολυσμένο σύστημα μέσω ενός εικονικού δικτύου, ώστε να μπορούν να κάνουν παράνομες συναλλαγές από τη συσκευή των χρηστών.

Dridex - Το Dridex είναι ένα Banking Trojan που στοχεύει την πλατφόρμα των Windows μέσω ανεπιθύμητης αλληλογραφίας και Exploit Kits, το οποίο βασίζεται σε WebInjects για να παρακολουθεί και να ανακατευθύνει τραπεζικά διαπιστευτήρια σε διακομιστή που ελέγχεται από τους εισβολείς. Το Dridex έρχεται σε επαφή με έναν απομακρυσμένο διακομιστή, στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να πραγματοποιήσει λήψη και εκτέλεση πρόσθετων λειτουργικών για απομακρυσμένο έλεγχο.

FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.







Οικογένεια κακόβουλου λογισμικού Παγκόσμια επίδραση Επίδραση στην Ελλάδα
Emotet 2.28% 15.53%
Agenttesla 0.93%% 6.15%
Qbot 1.58% 6.15%
Phorpiex 3.65% 5.18%
Trickbot 2.06% 5.18%
GuLoader 0.76% 4.21%
XMRig 2.02% 3.80%
Zloader 1.59% 3.56%
RigEK 1.75% 3.24%
Formbook 2.89% 3.24%

Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point, βασίζονται στο ThreatCloud intelligence της Check Point, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 2,5 δισεκατομμύρια ιστότοπους και 500 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.

Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλου λογισμικού παγκοσμίως για τον Νοέμβριο είναι διαθέσιμη στο blog της Check Point

Οι Πηγές Πρόληψης Απειλών της Check Point είναι διαθέσιμες στον ιστότοπο: http://www.checkpoint.com/threat-pre...ces/index.html