Οι ερευνητές αποκάλυψαν μια σειρά νέων τακτικών που χρησιμοποιούν το FakeUpdates, το οποίο βρέθηκε στην κορυφή της κατάταξης κακόβουλου λογισμικού ακόμα έναν μήνα
Για τους έχοντες γνώσεις Πληροφορικής, αποτελούν ιούς πιο επικίνδυνους ακόμα κι από τα αρχικά στελέχη του κορονοϊού για τους ανθρώπους. Δύσκολα εντοπίζονται, και το κακό το οποίο δύνανται να προκαλέσουν στα πληροφοριακά συστήματα και, φυσικά, σε αυτά των επιχειρήσεων μπορεί να αποβεί μοιραίο. Ο λόγος γίνεται για τα κακόβουλα λογισμικά τα οποία κυκλοφορούν στο διαδίκτυο, έτοιμα να δώσουν τη δυνατότητα στους χάκερ να υποκλέψουν πληροφορίες, να «κλειδώσουν» αρχεία τρίτων και να εκβιάσουν, με στόχο να αποσπάσουν λύτρα από τα θύματά τους, είτε είναι φυσικά πρόσωπα είτε επιχειρήσεις!
Οπως προκύπτει από τα πρόσφατα στοιχεία, αυτά τα λογισμικά συνεχίζουν να σαρώνουν τον χώρο του internet, με τα λεγόμενα Ransomware (ιός που κρυπτογραφεί τα αρχεία υπολογιστή ή δικτύου, καθιστώντας αδύνατο το άνοιγμά τους, με στόχο τα θύματα να δώσουν λύτρα για να πάρουν πάλι πίσω τα δεδομένα τους) να αποτελούν τα πιο επικίνδυνα, με βάση τα πιο πρόσφατα στοιχεία του Ιουλίου. Η Check Point® Software Technologies Ltd (NASDAQ: CHKP), ο κορυφαίος πάροχος πλατφόρμας κυβερνοασφάλειας που υποστηρίζεται από A.I. και παρέχεται από το cloud, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών (Global Threat Index) για τον αμέσως προηγούμενο μήνα.
Παρά τη σημαντική πτώση που σημειώθηκε τον Ιούνιο, το LockBit (μία από τις πιο επικίνδυνες και ενεργές μορφές ransomware που κυκλοφορούν σήμερα) επανεμφανίστηκε και έγινε η δεύτερη πιο διαδεδομένη ομάδα ransomware, ενώ το RansomHub διατήρησε την πρώτη θέση.
Συγκεκριμένα, σύμφωνα με την Check Point, το FakeUpdates ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα, με αντίκτυπο 7% σε παγκόσμιους οργανισμούς. Ακολούθησε το Androxgh0st, με παγκόσμιο αντίκτυπο 5%, και το AgentTesla, με παγκόσμιο αντίκτυπο 3%.
Παράλληλα, οι ερευνητές εντόπισαν τόσο μια εκστρατεία από χάκερ που διανέμουν κακόβουλο λογισμικό Remcos (είναι σχεδιασμένο να δίνει σε έναν επιτιθέμενο απομακρυσμένη πρόσβαση σε έναν μολυσμένο υπολογιστή) ύστερα από ένα πρόβλημα ενημέρωσης της CrowdStrike (μιας κορυφαίας εταιρίας στον τομέα της κυβερνοασφάλειας) όσο και μια σειρά νέων τακτικών FakeUpdates, η οποία κατέλαβε πάλι την πρώτη θέση στη λίστα με τα κορυφαία κακόβουλα προγράμματα για τον Ιούλιο.
Τα επικίνδυνα ZIP
Ενα πρόβλημα στον CrowdStrike Falcon αισθητήρα για Windows (είναι ένα ελαφρύ λογισμικό που εγκαθίσταται σε κάθε συσκευή που χρειάζεται προστασία και λειτουργεί ως τα μάτια και τα αυτιά του συστήματος ασφάλειας) έχει ως αποτέλεσμα οι εγκληματίες του κυβερνοχώρου να διανέμουν ένα κακόβουλο αρχείο ZIP με την ονομασία crowdstrike-hotfix.zip. Αυτό το αρχείο περιείχε το HijackLoader, το οποίο στη συνέχεια ενεργοποίησε το κακόβουλο λογισμικό Remcos, που κατατάσσεται ως το έβδομο πιο κακόβουλο λογισμικό τον Ιούλιο.
Η εκστρατεία στόχευε επιχειρήσεις που χρησιμοποιούσαν οδηγίες στην ισπανική γλώσσα και περιελάμβανε τη δημιουργία ψεύτικων domains για επιθέσεις phishing.
Οι ερευνητές αποκάλυψαν μια σειρά νέων τακτικών που χρησιμοποιούν το FakeUpdates (μια επικίνδυνη τακτική που χρησιμοποιούν οι κυβερνοεγκληματίες για να εξαπατήσουν τους χρήστες, ώστε να κατεβάσουν και να εγκαταστήσουν κακόβουλο λογισμικό στους υπολογιστές τους), το οποίο βρέθηκε στην κορυφή της κατάταξης κακόβουλου λογισμικού ακόμα έναν μήνα.
Οι χρήστες που επισκέπτονταν εκτεθειμένους ιστοτόπους αντιμετώπιζαν ψεύτικες προτροπές ενημέρωσης του προγράμματος περιήγησης, οι οποίες οδηγούσαν στην εγκατάσταση Trojan απομακρυσμένης πρόσβασης (RAT), όπως το AsyncRAT, που σήμερα κατατάσσεται στην ένατη θέση του δείκτη της Check Point. Είναι ανησυχητικό ότι οι εγκληματίες του κυβερνοχώρου άρχισαν τώρα να εκμεταλλεύονται το BOINC (λογισμικό ανοιχτού κώδικα που επιτρέπει σε εθελοντές να συνεισφέρουν την υπολογιστική ισχύ των υπολογιστών τους για την επίλυση πολύπλοκων επιστημονικών προβλημάτων), μια πλατφόρμα που προορίζεται για εθελοντική Πληροφορική, για να αποκτήσουν απομακρυσμένο έλεγχο μολυσμένων συστημάτων.
Κορυφαίες ομάδες Ransomware
Τα δεδομένα βασίζονται σε πληροφορίες από τους γνωστούς ως «shame ιστοτόπους», από ομάδες double-extortion ransomware, και δημοσιεύουν πληροφορίες για τα θύματα. Το RansomHub είναι η πιο διαδεδομένη ομάδα ransomware αυτόν τον μήνα, υπεύθυνη για το 11% των δημοσιευμένων επιθέσεων, ακολουθούμενη από το Lockbit3, με 8%, και το Akira, με 6%.
RansomHub: Το RansomHub είναι μια επιχείρηση Ransomware-as-a-Service (RaaS) που προέκυψε ως μια αναβαθμισμένη έκδοση του προηγουμένως γνωστού ransomware Knight. Το RansomHub, που εμφανίστηκε στις αρχές του 2024 σε υπόγεια fora ηλεκτρονικού εγκλήματος, απέκτησε γρήγορα φήμη για τις επιθετικές εκστρατείες του που στόχευαν διάφορα συστήματα, συμπεριλαμβανομένων των Windows, macOS και Linux, και ιδιαίτερα περιβάλλοντα VMware ESXi. Αυτό το κακόβουλο λογισμικό είναι γνωστό για τη χρήση εξελιγμένων μεθόδων κρυπτογράφησης.
Lockbit3: Το LockBit είναι ένα ransomware που λειτουργεί σε μοντέλο RaaS και αναφέρθηκε πρώτη φορά τον Σεπτέμβριο του 2019. Το LockBit στοχεύει μεγάλες επιχειρήσεις και κυβερνητικούς φορείς από διάφορες χώρες, ενώ δεν στοχεύει ιδιώτες στη Ρωσία ή στην Κοινοπολιτεία Ανεξάρτητων Κρατών.
Akira: Το Akira Ransomware, που αναφέρθηκε πρώτη φορά στις αρχές του 2023, στοχεύει τόσο σε συστήματα Windows όσο και σε συστήματα Linux. Χρησιμοποιεί συμμετρική κρυπτογράφηση με CryptGenRandom και Chacha 2008 για την κρυπτογράφηση αρχείων και είναι παρόμοιο με το ransomware Conti v2. Το Akira διανέμεται με διάφορα μέσα, συμπεριλαμβανομένων μολυσμένων συνημμένων e-mails και exploits σε τελικά σημεία VPN. Μετά τη μόλυνση, κρυπτογραφεί δεδομένα και προσθέτει μια επέκταση «.akira» στα ονόματα των αρχείων, ενώ στη συνέχεια παρουσιάζει ένα σημείωμα λύτρων που απαιτεί πληρωμή για την αποκρυπτογράφηση.
ΑΠΟ ΤΗΝ ΕΝΤΥΠΗ ΕΚΔΟΣΗ (ΦΥΛΛΟ 23/08/2024)