Το πιο δημοφιλές κακόβουλο λογισμικό του Απριλίου 2024: Η έξαρση των επιθέσεων Androxgh0st και η πτώση του LockBit3

Η Check Point® Software Technologies Ltd., κορυφαίος πάροχος πλατφόρμας ασφάλειας στον κυβερνοχώρο που υποστηρίζεται από AI και παρέχεται από το cloud, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Απρίλιο του 2024. Τον περασμένο μήνα, οι ερευνητές αποκάλυψαν μια σημαντική αύξηση στη χρήση των επιθέσεων Androxgh0st, με το κακόβουλο λογισμικό να χρησιμοποιείται ως εργαλείο για την κλοπή ευαίσθητων πληροφοριών με τη χρήση botnets. Εν τω μεταξύ, το LockBit3 παρέμεινε η πιο διαδεδομένη ομάδα ransomware τον Απρίλιο, παρά την πτώση του ποσοστού εντοπισμού του κατά 55% από την αρχή του έτους, με τον παγκόσμιο αντίκτυπό του να μειώνεται από 20% σε 9%..

Οι αναλυτές παρακολουθούν τις δραστηριότητες του συγκεκριμένου φορέα απειλών Androxgh0st από την εμφάνισή του τον Δεκέμβριο του 2022. Εκμεταλλευόμενοι ευπάθειες όπως οι CVE-2021-3129 και CVE-2024-1709, οι επιτιθέμενοι αναπτύσσουν web shells για απομακρυσμένο έλεγχο, ενώ εστιάζουν στη δημιουργία botnets για κλοπή διαπιστευτηρίων. Αυτό επισημάνθηκε σε κοινή συμβουλευτική ανακοίνωση για την κυβερνοασφάλεια (CSA) που εκδόθηκε από το FBI και την CISA. Ειδικά, ο συγκεκριμένος χειριστής κακόβουλου λογισμικού έχει συνδεθεί με τη διανομή του ransomware Adhublika. Οι φορείς του Androxgh0st έχουν επιδείξει προτίμηση στην εκμετάλλευση ευπαθειών σε εφαρμογές Laravel για τη λεηλασία διαπιστευτηρίων για υπηρεσίες που βασίζονται στο cloud, όπως οι AWS, SendGrid και Twilio. Πρόσφατες ενδείξεις υποδηλώνουν μια μετατόπιση της εστίασης προς την κατασκευή botnets για ευρύτερη εκμετάλλευση συστημάτων.

Εν τω μεταξύ, ο δείκτης της Check Point υπογραμμίζει τις πληροφορίες από τους “ιστότοπους ντροπής” που διαχειρίζονται ομάδες double-extortion ransomware και δημοσιεύουν πληροφορίες για τα θύματα προκειμένου να πιέσουν τους στόχους που δεν πληρώνουν. Το LockBit3 βρίσκεται και πάλι στην κορυφή της κατάταξης με 9% των δημοσιευμένων επιθέσεων, ακολουθούμενο από το Play με 7% και το 8Base με 6%. Επανερχόμενο στην πρώτη τριάδα, το 8Base, ισχυρίστηκε πρόσφατα ότι διείσδυσε στα συστήματα πληροφορικής των Ηνωμένων Εθνών και εξαφάνισε πληροφορίες σχετικά με τους ανθρώπινους πόρους και τις προμήθειες. Ενώ η LockBit3 παραμένει στην πρώτη θέση, η ομάδα έχει βιώσει αρκετές αποτυχίες. Τον Φεβρουάριο, ο ιστότοπος διαρροής δεδομένων κατασχέθηκε στο πλαίσιο μιας εκστρατείας πολλών υπηρεσιών που ονομάστηκε Επιχείρηση Cronos, ενώ αυτόν τον μήνα, τα ίδια διεθνή όργανα επιβολής του νόμου δημοσίευσαν νέα στοιχεία, εντοπίζοντας 194 θυγατρικές που χρησιμοποιούν το LockBit3 μαζί με την αποκάλυψη και την επιβολή κυρώσεων στον ηγέτη της ομάδας.

«Η έρευνά μας έδειξε ότι οι μαζικές διεθνείς προσπάθειες για την εξάρθρωση του LockBit3 φαίνεται να ήταν επιτυχείς, μειώνοντας τον παγκόσμιο αντίκτυπό του κατά περισσότερο από πενήντα τοις εκατό από τις αρχές του 2024», δήλωσε η Maya Horowitz, VP of Research στην Check Point Software. «Ανεξάρτητα από τις πρόσφατες θετικές εξελίξεις, οι οργανισμοί πρέπει να συνεχίσουν να δίνουν προτεραιότητα στην κυβερνοασφάλεια με προληπτική δράση και ενίσχυση της ασφάλειας δικτύων, τελικών σημείων και ηλεκτρονικού ταχυδρομείου. Η εφαρμογή πολυεπίπεδων αμυνών και η καθιέρωση ισχυρών εφεδρικών αντιγράφων ασφαλείας, διαδικασιών ανάκτησης και σχεδίων αντιμετώπισης περιστατικών εξακολουθεί να αποτελεί το κλειδί για την ενίσχυση της ανθεκτικότητας στον κυβερνοχώρο».

Τον περασμένο μήνα, οι ευπάθειες με τη μεγαλύτερη εκμετάλλευση παγκοσμίως ήταν οι “Command Injection Over HTTP” και “Web Servers Malicious URL Directory Traversal,” με επιπτώσεις στο 52% των οργανισμών. Ακολουθούσε η “HTTP Headers Remote Code Execution” με παγκόσμιο αντίκτυπο 45%.

Top malware families

*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

Το FakeUpdates ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 6% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Androxgh0st με παγκόσμιο αντίκτυπο 4% και το Qbot με παγκόσμιο αντίκτυπο 3%.

1. ↔ FakeUpdates – Το FakeUpdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα ωφέλιμα φορτία στο δίσκο πριν από την εκτόξευσή τους. Το FakeUpdates οδήγησε σε περαιτέρω συμβιβασμό μέσω πολλών πρόσθετων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.
2. ↑ Androxgh0st – Το Androxgh0st είναι ένα botnet που στοχεύει σε πλατφόρμες Windows, Mac και Linux. Για την αρχική μόλυνση, το Androxgh0st εκμεταλλεύεται πολλαπλές ευπάθειες, στοχεύοντας συγκεκριμένα- το PHPUnit, το Laravel Framework και τον Apache Web Server. Το κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες, όπως πληροφορίες λογαριασμού Twilio, διαπιστευτήρια SMTP, κλειδί AWS κ.λπ. Χρησιμοποιεί αρχεία Laravel για να συλλέξει τις απαιτούμενες πληροφορίες. Διαθέτει διαφορετικές παραλλαγές οι οποίες σαρώνουν για διαφορετικές πληροφορίες.
3. ↓ Qbot – Το Qbot AKA Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα διαπιστευτήρια ενός χρήστη, να καταγράφει τις πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκοπεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση. Ξεκινώντας το 2022, αναδείχθηκε ως ένα από τα πιο διαδεδομένα Trojans.

Top exploited vulnerabilities

Τον περασμένο μήνα, οι ευπάθειες με τη μεγαλύτερη εκμετάλλευση παγκοσμίως ήταν η ” Command Injection Over HTTP ” και η ” Web Servers Malicious URL Directory Traversal “, επηρεάζοντας το 52% των οργανισμών. Ακολουθούσε η “”HTTP Headers Remote Code Execution”” με παγκόσμιο αντίκτυπο 45%.

1. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Έχει αναφερθεί μια ευπάθεια Command Injection over HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.
2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Υπάρχει μια ευπάθεια στο directory traversal Σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375)– Οι επικεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να περάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη κεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.

Top Mobile Malwares

Τον περασμένο μήνα το Anubis ήταν στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα AhMyth και Hiddad.

1. ↔ Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
2. ↔ AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
3. ↑ Hiddad – Το Hiddad είναι ένα κακόβουλο λογισμικό Android το οποίο επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.

Βιομηχανίες που δέχονται τις περισσότερες επιθέσεις παγκοσμίως

Τον περασμένο μήνα η Εκπαίδευση/Έρευνα παρέμεινε στην 1η θέση των επιτιθέμενων κλάδων παγκοσμίως, ακολουθούμενη από την Κυβέρνηση/Στρατιωτικό τομέα και την Υγεία.

1. Εκπαίδευση/Ερευνα
2. Κυβέρνηση/Στρατιωτικός
3. Υγεία

Top Ransomware Groups

Τα δεδομένα βασίζονται σε πληροφορίες από τους “shame sites” που διαχειρίζονται ομάδες ransomware διπλού εκβιασμού, οι οποίες δημοσιεύουν πληροφορίες για τα θύματα. Η Lockbit3 ήταν η πιο διαδεδομένη ομάδα ransomware τον περασμένο μήνα, υπεύθυνη για το 9% των δημοσιευμένων επιθέσεων, ακολουθούμενη από την Play με 7% και την 8Base με 6%.

1. Lockbit3 –Το LockBit είναι ένα ransomware, που λειτουργεί σε μοντέλο RaaS, το οποίο αναφέρθηκε για πρώτη φορά τον Σεπτέμβριο του 2019. Το LockBit στοχεύει μεγάλες επιχειρήσεις και κυβερνητικούς φορείς από διάφορες χώρες και δεν στοχεύει ιδιώτες στη Ρωσία ή την Κοινοπολιτεία Ανεξάρτητων Κρατών. Παρά το γεγονός ότι αντιμετώπισε σημαντικές διακοπές λειτουργίας τον Φεβρουάριο του 2024 λόγω της δράσης των αρχών επιβολής του νόμου, το Lockbit επανέλαβε τη δημοσίευση πληροφοριών σχετικά με τα θύματά του.
2. Play – Το Play Ransomware, που αναφέρεται επίσης ως PlayCrypt, είναι ένα ransomware που εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022. Αυτό το ransomware έχει στοχεύσει ένα ευρύ φάσμα επιχειρήσεων και υποδομών ζωτικής σημασίας στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη, επηρεάζοντας περίπου 300 οντότητες μέχρι τον Οκτώβριο του 2023. Το Play Ransomware αποκτά συνήθως πρόσβαση σε δίκτυα μέσω παραβιασμένων έγκυρων λογαριασμών ή εκμεταλλευόμενο μη επιδιορθωμένες ευπάθειες, όπως αυτές στα VPN SSL της Fortinet. Μόλις εισέλθει στο εσωτερικό, χρησιμοποιεί τεχνικές όπως η χρήση δυαδικών αρχείων που ζουν από τη χώρα (LOLBins) για εργασίες όπως η διαρροή δεδομένων και η κλοπή διαπιστευτηρίων.
3. 8Base – Η ομάδα απειλών 8Base είναι μια συμμορία ransomware που είναι ενεργή τουλάχιστον από τον Μάρτιο του 2022. Απέκτησε σημαντική φήμη στα μέσα του 2023 λόγω της αξιοσημείωτης αύξησης των δραστηριοτήτων της. Αυτή η ομάδα έχει παρατηρηθεί να χρησιμοποιεί διάφορες παραλλαγές ransomware, με κοινό στοιχείο το Phobos. Η 8Base λειτουργεί με ένα επίπεδο πολυπλοκότητας, το οποίο αποδεικνύεται από τη χρήση προηγμένων τεχνικών στο ransomware της. Οι μέθοδοι της ομάδας περιλαμβάνουν τακτικές διπλού εκβιασμού.