TM_598

8 15|10|2024 #598 Η Check Point Software δ ημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Σεπτέμβριο του 2024. Η έκθεση αναδει- κνύει μια ενδιαφέρουσα τάση στο τοπίο της κυβερνοασφάλειας, ιδίως την εμφά- νιση κακόβουλου λογισμικού που βασί- ζεται στην τεχνητή νοημοσύνη, παράλ- ληλα με τη συνεχιζόμενη κυριαρχία των απειλών ransomware. Τον Σεπτέμβριο, οι ερευνητές ανακάλυ- ψαν ότι οι δράστες των επιθέσεων χρη- σιμοποίησαν πιθανότατα τεχνητή νοη- μοσύνη για να αναπτύξουν ένα σενάριο που παραδίδει το κακόβουλο λογισμικό AsyncRAT, το οποίο έχει πλέον καταλάβει τη 10η θέση στη λίστα με τα πιο διαδε- δομένα κακόβουλα λογισμικά. Η μέθο- δος περιελάμβανε λαθρεμπόριο HTML, όπου ένα προστατευμένο με κωδικό πρόσβασης αρχείο ZIP, το οποίο περιείχε κακόβουλο κώδικα VBScript, εστάλη για να ξεκινήσει μια αλυσίδα μόλυνσης στη συσκευή του θύματος. Ο καλά δομημέ- νος και με σχόλια κώδικας υποδήλωνε συμμετοχή τεχνητής νοημοσύνης. Μόλις εκτελεστεί πλήρως, το AsyncRAT εγκα- θίσταται επιτρέποντας στον επιτιθέμε- νο να καταγράφει πληκτρολογήσεις, να ελέγχει εξ αποστάσεως τη μολυσμένη συσκευή και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Η ανακάλυψη αυτή αναδεικνύει μια αυξανόμενη τάση εγκληματιών του κυβερνοχώρου με πε- ριορισμένες τεχνικές δεξιότητες να χρη- σιμοποιούν AI για να δημιουργούν ευκο- λότερα κακόβουλο λογισμικό. Αυτόν τον μήνα, το Joker εξακολου- θεί να είναι το πιο διαδεδομένο κακό- βουλο λογισμικό για κινητά, ενώ το RansomHub παραμένει η κορυφαία ομάδα ransomware, διατηρώντας και οι δύο τις θέσεις που είχαν και τον προη- γούμενο μήνα. Τα ευρήματα αυτά ανα- δεικνύουν την επιμονή στις απειλές που θέτουν αυτές οι κακόβουλες οντότητες στο εξελισσόμενο τοπίο της κυβερνοα- σφάλειας. Τα κορυφαία malware είναι: FakeUpdates: Είναι το πιο διαδεδομένο κακόβουλο λογισμικό για τον Σεπτέμ- βριο με αντίκτυπο 7% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Androxgh0st με παγκόσμιο αντίκτυπο 6% και το Formbook με παγκόσμιο αντί- κτυπο 4%. Είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα ωφέ- λιμα φορτία στον δίσκο πριν από την εκτόξευσή τους. Androxgh0st: Είναι ένα botnet που στοχεύει σε πλατφόρμες Windows, Mac και Linux. Για την αρχική μόλυνση, το Androxgh0st εκμεταλλεύεται πολλαπλές ευπάθειες, στοχεύοντας συγκεκριμένα το PHPUnit, το Laravel Framework και τον Apache Web Server. Το κακόβουλο λογι- σμικό κλέβει ευαίσθητες πληροφορίες, όπως πληροφορίες λογαριασμού Twilio, διαπιστευτήρια SMTP, κλειδί AWS κ.λπ. Χρησιμοποιεί αρχεία Laravel για να συλ- λέξει τις απαιτούμενες πληροφορίες. Δια- θέτει διαφορετικές παραλλαγές, οι οποίες σαρώνουν για διαφορετικές πληροφορίες. Formbook: Είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε υπό- γεια φόρουμ hacking για τις ισχυρές τε- χνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπι- στευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγ- μιότυπα οθόνης, παρακολουθεί και κατα- γράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμ- φωνα με εντολές από το C&C του. Τα κο- ρυφαία Ransomware Groups είναι: Το RansomHub είναι μια επιχείρηση Ransomware-as-a-Service (RaaS), η οποία εμφανίστηκε ως μια αναβαθμισμέ- νη έκδοση του προηγουμένως γνωστού ransomware Knight. Το RansomHub που εμφανίστηκε στις αρχές του 2024 σε υπόγεια φόρουμ κυβερνοεγκλήματος, απέκτησε γρήγορα φήμη για τις επι- θετικές εκστρατείες του που στόχευαν διάφορα συστήματα, συμπεριλαμβανο- μένων των Windows, macOS, Linux και ιδιαίτερα περιβάλλοντα VMware ESXi. Αυτό το κακόβουλο λογισμικό είναι γνω- στό για τη χρήση εξελιγμένων μεθόδων κρυπτογράφησης. Το Play Ransomware, που αναφέρεται επίσης ως PlayCrypt, είναι ένα ransomware που εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022. Αυτό το ransomware έχει στοχεύσει ένα ευρύ φάσμα επιχειρήσεων και κρίσιμων υποδομών στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη, επηρεάζοντας περίπου 300 οντότητες μέχρι τον Οκτώ- βριο του 2023. Το Play Ransomware αποκτά συνήθως πρόσβαση σε δίκτυα μέσω παραβιασμένων έγκυρων λογαρι- ασμών ή με την εκμετάλλευση μη ενη- μερωμένων ευπαθειών, όπως αυτές στα VPN SSL της Fortinet. Μόλις εισέλθει στο εσωτερικό, χρησιμοποιεί τεχνικές όπως η χρήση δυαδικών αρχείων που ζουν από τη χώρα (LOLBins) για εργασίες όπως η διαρροή δεδομένων και η κλοπή διαπιστευτηρίων. Η CPS παρουσίασε το πιο δημοφιλές ransomware για τον Σεπτέμβριο