Skip to main content
15 October 2024 05:49

Η CPS παρουσίασε το πιο δημοφιλές ransomware για τον Σεπτέμβριο

Η Check Point Software δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Σεπτέμβριο του 2024. Η έκθεση αναδεικνύει μια ενδιαφέρουσα τάση στο τοπίο της κυβερνοασφάλειας, ιδίως την εμφάνιση κακόβουλου λογισμικού που βασίζεται στην τεχνητή νοημοσύνη, παράλληλα με τη συνεχιζόμενη κυριαρχία των απειλών ransomware.

Τον Σεπτέμβριο, οι ερευνητές ανακάλυψαν ότι οι δράστες των επιθέσεων χρησιμοποίησαν πιθανότατα τεχνητή νοημοσύνη για να αναπτύξουν ένα σενάριο που παραδίδει το κακόβουλο λογισμικό AsyncRAT, το οποίο έχει πλέον καταλάβει τη 10η θέση στη λίστα με τα πιο διαδεδομένα κακόβουλα λογισμικά. Η μέθοδος περιελάμβανε λαθρεμπόριο HTML, όπου ένα προστατευμένο με κωδικό πρόσβασης αρχείο ZIP, το οποίο περιείχε κακόβουλο κώδικα VBScript, εστάλη για να ξεκινήσει μια αλυσίδα μόλυνσης στη συσκευή του θύματος. Ο καλά δομημένος και με σχόλια κώδικας υποδήλωνε συμμετοχή τεχνητής νοημοσύνης. Μόλις εκτελεστεί πλήρως, το AsyncRAT εγκαθίσταται επιτρέποντας στον επιτιθέμενο να καταγράφει πληκτρολογήσεις, να ελέγχει εξ αποστάσεως τη μολυσμένη συσκευή και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Η ανακάλυψη αυτή αναδεικνύει μια αυξανόμενη τάση εγκληματιών του κυβερνοχώρου με περιορισμένες τεχνικές δεξιότητες να χρησιμοποιούν AI για να δημιουργούν ευκολότερα κακόβουλο λογισμικό.

Αυτόν τον μήνα, το Joker εξακολουθεί να είναι το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ενώ το RansomHub παραμένει η κορυφαία ομάδα ransomware, διατηρώντας και οι δύο τις θέσεις που είχαν και τον προηγούμενο μήνα. Τα ευρήματα αυτά αναδεικνύουν την επιμονή στις απειλές που θέτουν αυτές οι κακόβουλες οντότητες στο εξελισσόμενο τοπίο της κυβερνοασφάλειας. Τα κορυφαία malware είναι:

FakeUpdates: Είναι το πιο διαδεδομένο κακόβουλο λογισμικό για τον Σεπτέμβριο με αντίκτυπο 7% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Androxgh0st με παγκόσμιο αντίκτυπο 6% και το Formbook με παγκόσμιο αντίκτυπο 4%. Είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα ωφέλιμα φορτία στον δίσκο πριν από την εκτόξευσή τους.

Androxgh0st: Είναι ένα botnet που στοχεύει σε πλατφόρμες Windows, Mac και Linux. Για την αρχική μόλυνση, το Androxgh0st εκμεταλλεύεται πολλαπλές ευπάθειες, στοχεύοντας συγκεκριμένα το PHPUnit, το Laravel Framework και τον Apache Web Server. Το κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες, όπως πληροφορίες λογαριασμού Twilio, διαπιστευτήρια SMTP, κλειδί AWS κ.λπ. Χρησιμοποιεί αρχεία Laravel για να συλλέξει τις απαιτούμενες πληροφορίες. Διαθέτει διαφορετικές παραλλαγές, οι οποίες σαρώνουν για διαφορετικές πληροφορίες.

Formbook: Είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του. Τα κορυφαία Ransomware Groups είναι:

Το RansomHub είναι μια επιχείρηση Ransomware-as-a-Service (RaaS), η οποία εμφανίστηκε ως μια αναβαθμισμένη έκδοση του προηγουμένως γνωστού ransomware Knight. Το RansomHub που εμφανίστηκε στις αρχές του 2024 σε υπόγεια φόρουμ κυβερνοεγκλήματος, απέκτησε γρήγορα φήμη για τις επιθετικές εκστρατείες του που στόχευαν διάφορα συστήματα, συμπεριλαμβανομένων των Windows, macOS, Linux και ιδιαίτερα περιβάλλοντα VMware ESXi. Αυτό το κακόβουλο λογισμικό είναι γνωστό για τη χρήση εξελιγμένων μεθόδων κρυπτογράφησης. Το Play Ransomware, που αναφέρεται επίσης ως PlayCrypt, είναι ένα ransomware που εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022. Αυτό το ransomware έχει στοχεύσει ένα ευρύ φάσμα επιχειρήσεων και κρίσιμων υποδομών στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη, επηρεάζοντας περίπου 300 οντότητες μέχρι τον Οκτώβριο του 2023. Το Play Ransomware αποκτά συνήθως πρόσβαση σε δίκτυα μέσω παραβιασμένων έγκυρων λογαριασμών ή με την εκμετάλλευση μη ενημερωμένων ευπαθειών, όπως αυτές στα VPN SSL της Fortinet. Μόλις εισέλθει στο εσωτερικό, χρησιμοποιεί τεχνικές όπως η χρήση δυαδικών αρχείων που ζουν από τη χώρα (LOLBins) για εργασίες όπως η διαρροή δεδομένων και η κλοπή διαπιστευτηρίων.

ΤΕΥΧΟΣ 598

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ