LATEST
Το πιο διαδεδομένο κακόβουλο λογισμικό για τον Μάιο 2025
Η Check Point Software Technologies δημοσίευσε το Global Threat Index για τον Μάιο του 2025. Το SafePay, μια σχετικά νέα αλλά ταχύτατα αναπτυσσόμενη ομάδα ransomware, αναδείχθηκε ως η πιο ενεργή απειλή για τον μήνα, κατακτώντας την κορυφή της λίστας με τις πλέον διαδεδομένες ομάδες ransomware. Η SafePay εφαρμόζει στρατηγική διπλού εκβιασμού εντείνοντας την επικινδυνότητά της. Παράλληλα, το FakeUpdates εξακολουθεί να κυριαρχεί ως το πιο διαδεδομένο κακόβουλο λογισμικό παγκοσμίως, επηρεάζοντας μεγάλο αριθμό οργανισμών. Ο εκπαιδευτικός τομέας παραμένει ο πιο στοχοποιημένος κλάδος, επιβεβαιώνοντας τις συνεχιζόμενες ευπάθειες που υπάρχουν στα ιδρύματα εκπαίδευσης.
Τον Μάιο, η Europol, το FBI, η Microsoft και άλλοι συνεργαζόμενοι φορείς εξαπέλυσαν μια μεγάλη επιχείρηση κατά της Lumma, μιας διαβόητης πλατφόρμας «malware-as-a-service». Η επιχείρηση οδήγησε στην κατάσχεση χιλιάδων domains, προκαλώντας σημαντική αναστάτωση στη λειτουργία του δικτύου. Ωστόσο, οι βασικοί διακομιστές της Lumma, που φέρεται να εδρεύουν στη Ρωσία, παρέμειναν σε λειτουργία, ενώ οι προγραμματιστές της επανέφεραν γρήγορα την υποδομή της. Παρά τη μερική τεχνική αποκατάσταση, η επιχείρηση προκάλεσε πλήγμα στην αξιοπιστία της Lumma, αξιοποιώντας ψυχολογικές τακτικές, όπως phishing και καλλιέργεια δυσπιστίας στους χρήστες της. Αν και η τεχνική διατάραξη υπήρξε αξιοσημείωτη, δεδομένα που σχετίζονται με τη Lumma εξακολουθούν να κυκλοφορούν, εντείνοντας τις ανησυχίες για τον μακροπρόθεσμο αντίκτυπο της επιχείρησης. Οι κορυφαίες οικογένειες κακόβουλου λογισμικού είναι:
FakeUpdates: Το FakeUpdates είναι ένα downloader malware που εντοπίστηκε για πρώτη φορά το 2018. Διαδίδεται μέσω drive-by downloads σε παραβιασμένες ή κακόβουλες ιστοσελίδες, παραπλανώντας τους χρήστες να εγκαταστήσουν μια ψεύτικη ενημέρωση του browser. Το συγκεκριμένο malware συνδέεται με τη ρωσική ομάδα hacking Evil Corp. και χρησιμοποιείται για την εγκατάσταση δευτερευόντων κακόβουλων φορτίων μετά την αρχική μόλυνση.
Remcos: Το Remcos είναι ένα Remote Access Trojan που έχει σχεδιαστεί για να παρακάμπτει τους μηχανισμούς ασφαλείας των Windows, όπως το UAC, επιτρέποντας την εκτέλεση κακόβουλου λογισμικού με αυξημένα δικαιώματα. Πρόκειται για ένα ευέλικτο εργαλείο στα χέρια των κυβερνοεγκληματιών.
AndroxGh0st: Το AndroxGh0st είναι κακόβουλο λογισμικό που σαρώνει για εκτεθειμένα αρχεία .env που περιέχουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια πρόσβασης σε υπηρεσίες όπως AWS, Twilio, Office 365 και SendGrid. Χρησιμοποιεί ένα botnet για τον εντοπισμό τέτοιων ιστοσελίδων και την εξαγωγή εμπιστευτικών δεδομένων.
Το ransomware εξακολουθεί να κυριαρχεί στο τοπίο του κυβερνοεγκλήματος. Οι τακτικές που χρησιμοποιούν οι ομάδες ransomware εξελίσσονται διαρκώς, ενώ ο ανταγωνισμός μεταξύ τους εντείνεται. Οι κορυφαίες ομάδες ransomware είναι:
SafePay: Η SafePay είναι μια ομάδα ransomware που παρατηρήθηκε για πρώτη φορά τον Νοέμβριο του 2024, με ενδείξεις πιθανής σύνδεσης με τη Ρωσία. Λειτουργεί με το μοντέλο διπλού εκβιασμού, κρυπτογραφώντας τα αρχεία των θυμάτων και ταυτόχρονα αποσπώντας ευαίσθητα δεδομένα, ασκώντας έτσι επιπρόσθετη πίεση για την καταβολή λύτρων. Αν και δεν λειτουργεί ως Ransomware-as-a-Service, έχει καταγράψει εντυπωσιακά μεγάλο αριθμό θυμάτων. Το κεντρικοποιημένο και εσωτερικά διαχειριζόμενο μοντέλο της οδηγεί σε συνεπή χρήση τακτικών, τεχνικών και διαδικασιών (TTPs), με στοχευμένες επιθέσεις.
Qilin: Το Qilin είναι μια εγκληματική επιχείρηση ransomware-as-a-service, η οποία στοχεύει κυρίως μεγάλους οργανισμούς και επιχειρήσεις υψηλής αξίας, με έμφαση στους τομείς υγείας και εκπαίδευσης. Οι επιθέσεις ξεκινούν συχνά μέσω phishing e-mails με κακόβουλα links, μέσω των οποίων αποκτάται πρόσβαση στο δίκτυο του οργανισμού. Έπειτα, πραγματοποιείται πλευρική κίνηση για τον εντοπισμό κρίσιμων δεδομένων προς κρυπτογράφηση.
Play: Το Play Ransomware συνήθως αποκτά πρόσβαση μέσω παραβιασμένων έγκυρων λογαριασμών ή εκμεταλλευόμενo ευπάθειες που δεν έχουν διορθωθεί, όπως σε Fortinet SSL VPNs. Μόλις εισέλθει στο σύστημα, χρησιμοποιεί τεχνικές τύπου «living-off-the-land» για την εξαγωγή δεδομένων και την υποκλοπή διαπιστευτηρίων.
