TM_749

8 13|6|2025 #749 Η Check Point Software Technologies δημοσίευσε το Global Threat Index για τον Μάιο του 2025. Το SafePay, μια σχετικά νέα αλλά ταχύτατα αναπτυσ- σόμενη ομάδα ransomware, αναδεί- χθηκε ως η πιο ενεργή απειλή για τον μήνα, κατακτώντας την κορυφή της λί- στας με τις πλέον διαδεδομένες ομάδες ransomware. Η SafePay εφαρμόζει στρα- τηγική διπλού εκβιασμού εντείνοντας την επικινδυνότητά της. Παράλληλα, το FakeUpdates εξακολουθεί να κυριαρχεί ως το πιο διαδεδομένο κακόβουλο λογι- σμικό παγκοσμίως, επηρεάζοντας μεγά- λο αριθμό οργανισμών. Ο εκπαιδευτικός τομέας παραμένει ο πιο στοχοποιημένος κλάδος, επιβεβαιώνοντας τις συνεχιζό- μενες ευπάθειες που υπάρχουν στα ιδρύ- ματα εκπαίδευσης. Τον Μάιο, η Europol, το FBI, η Microsoft και άλλοι συνεργαζόμενοι φορείς εξα- πέλυσαν μια μεγάλη επιχείρηση κατά της Lumma, μιας διαβόητης πλατφόρ- μας «malware-as-a-service». Η επιχείρη- ση οδήγησε στην κατάσχεση χιλιάδων domains, προκαλώντας σημαντική ανα- στάτωση στη λειτουργία του δικτύου. Ωστόσο, οι βασικοί διακομιστές της Lumma, που φέρεται να εδρεύουν στη Ρωσία, παρέμειναν σε λειτουργία, ενώ οι προγραμματιστές της επανέφεραν γρή- γορα την υποδομή της. Παρά τη μερική τεχνική αποκατάσταση, η επιχείρηση προκάλεσε πλήγμα στην αξιοπιστία της Lumma, αξιοποιώντας ψυχολογικές τα- κτικές, όπως phishing και καλλιέργεια δυσπιστίας στους χρήστες της. Αν και η τεχνική διατάραξη υπήρξε αξιοσημεί- ωτη, δεδομένα που σχετίζονται με τη Lumma εξακολουθούν να κυκλοφορούν, εντείνοντας τις ανησυχίες για τον μακρο- πρόθεσμο αντίκτυπο της επιχείρησης. Οι κορυφαίες οικογένειες κακόβουλου λογισμικού είναι: FakeUpdates: Το FakeUpdates είναι ένα downloader malware που εντοπίστη- κε για πρώτη φορά το 2018. Διαδίδεται μέσω drive-by downloads σε παραβια- σμένες ή κακόβουλες ιστοσελίδες, πα- ραπλανώντας τους χρήστες να εγκατα- στήσουν μια ψεύτικη ενημέρωση του browser. Το συγκεκριμένο malware συν- δέεται με τη ρωσική ομάδα hacking Evil Corp. και χρησιμοποιείται για την εγκα- τάσταση δευτερευόντων κακόβουλων φορτίων μετά την αρχική μόλυνση. Remcos: Το Remcos είναι ένα Remote Access Trojan που έχει σχεδιαστεί για να παρακάμπτει τους μηχανισμούς ασφα- λείας των Windows, όπως το UAC, επι- τρέποντας την εκτέλεση κακόβουλου λογισμικού με αυξημένα δικαιώματα. Πρόκειται για ένα ευέλικτο εργαλείο στα χέρια των κυβερνοεγκληματιών. AndroxGh0st: Το AndroxGh0st είναι κακόβουλο λογισμικό που σαρώνει για εκτεθειμένα αρχεία .env που περι- έχουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια πρόσβασης σε υπηρε- σίες όπως AWS, Twilio, Office 365 και SendGrid. Χρησιμοποιεί ένα botnet για τον εντοπισμό τέτοιων ιστοσελίδων και την εξαγωγή εμπιστευτικών δεδομένων. Το ransomware εξακολουθεί να κυριαρ- χεί στο τοπίο του κυβερνοεγκλήματος. Οι τακτικές που χρησιμοποιούν οι ομάδες ransomware εξελίσσονται διαρκώς, ενώ ο ανταγωνισμός μεταξύ τους εντείνεται. Οι κορυφαίες ομάδες ransomware είναι: SafePay: Η SafePay είναι μια ομάδα ransomware που παρατηρήθηκε για πρώτη φορά τον Νοέμβριο του 2024, με ενδείξεις πιθανής σύνδεσης με τη Ρωσία. Λειτουργεί με το μοντέλο δι- πλού εκβιασμού, κρυπτογραφώντας τα αρχεία των θυμάτων και ταυτόχρο- να αποσπώντας ευαίσθητα δεδομένα, ασκώντας έτσι επιπρόσθετη πίεση για την καταβολή λύτρων. Αν και δεν λει- τουργεί ως Ransomware-as-a-Service, έχει καταγράψει εντυπωσιακά μεγάλο αριθμό θυμάτων. Το κεντρικοποιημένο και εσωτερικά διαχειριζόμενο μοντέλο της οδηγεί σε συνεπή χρήση τακτικών, τεχνικών και διαδικασιών (TTPs), με στοχευμένες επιθέσεις. Qilin: Το Qilin είναι μια εγκληματική επιχείρηση ransomware-as-a-service, η οποία στοχεύει κυρίως μεγάλους οργα- νισμούς και επιχειρήσεις υψηλής αξίας, με έμφαση στους τομείς υγείας και εκ- παίδευσης. Οι επιθέσεις ξεκινούν συχνά μέσω phishing e-mails με κακόβουλα links, μέσω των οποίων αποκτάται πρό- σβαση στο δίκτυο του οργανισμού. Έπει- τα, πραγματοποιείται πλευρική κίνηση για τον εντοπισμό κρίσιμων δεδομένων προς κρυπτογράφηση. Play: Το Play Ransomware συνήθως αποκτά πρόσβαση μέσω παραβιασμέ- νων έγκυρων λογαριασμών ή εκμεταλ- λευόμενo ευπάθειες που δεν έχουν διορ- θωθεί, όπως σε Fortinet SSL VPNs. Μόλις εισέλθει στο σύστημα, χρησιμοποιεί τεχνικές τύπου «living-off-the-land» για την εξαγωγή δεδομένων και την υποκλο- πή διαπιστευτηρίων. Το πιο διαδεδομένο κακόβουλο λογισμικό για τον Μάιο 2025