Check Point Research, its Threat Intelligence division Check Point Software Technologies, a leading provider of cyber security solutions worldwide, published the Global Threat Index for October 2021.
Οι ερευνητές αναφέρουν ότι το modular botnet και τραπεζικό trojan, Trickbot, παραμένει στην κορυφή της λίστας με τα πιο διαδεδομένα κακόβουλα προγράμματα, επηρεάζοντας το 4% των οργανισμών παγκοσμίως, ενώ το "Apache HTTP Server Directory Traversal" έχει εισέλθει στην πρώτη δεκάδα της λίστας με τις ευπάθειες που αξιοποιούνται. Η CPR αποκαλύπτει επίσης ότι ο κλάδος που δέχεται τις περισσότερες επιθέσεις είναι αυτός της Εκπαίδευσης/Έρευνας.
Trickbot can steal financial information, account credentials and personal data, as well as spread through the network by distributing ransomware. From abolition of Emotet in January, Trickbot has topped the list of most widespread malware five times. It is constantly updated with new features, features and distribution methods, which allows it to be a flexible and adaptable malicious software that can be distributed as part of multipurpose campaigns.
Η νέα ευπάθεια, "Apache HTTP Server Directory Traversal", μπήκε στην πρώτη δεκάδα της λίστας των ευπαθειών για τον Οκτώβριο, κατακτώντας τη δέκατη θέση. Όταν ανακαλύφθηκε για πρώτη φορά, οι προγραμματιστές του Apache κυκλοφόρησαν διορθώσεις για το CVE-2021-41773 στον Apache HTTP Server 2.4.50. Ωστόσο, η επιδιόρθωση κρίθηκε ανεπαρκής και η ευπάθεια διάσχισης καταλόγου εξακολουθεί να υφίσταται στον Apache HTTP Server. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει πρόσβαση σε αυθαίρετα αρχεία στο επηρεαζόμενο σύστημα.
"Η ευπάθεια του Apache ήρθε στο φως μόλις στις αρχές Οκτωβρίου και ήδη συγκαταλέγεται στις δέκα πρώτες ευπάθειες με τις περισσότερες εκμεταλλεύσεις παγκοσμίως, γεγονός που δείχνει πόσο γρήγορα κινούνται οι δράστες. Αυτή η ευπάθεια μπορεί να οδηγήσει στο να αντιστοιχίσουν URLs σε αρχεία εκτός της αναμενόμενης διαδρομής του εγγράφου (document root), εξαπολύοντας επίθεση path traversal", δήλωσε η Maya Horowitz, VP Research της Check Point Software. "Είναι επιτακτική ανάγκη οι χρήστες του Apache να διαθέτουν τις κατάλληλες τεχνολογίες προστασίας. Αυτόν τον μήνα, το Trickbot, το οποίο χρησιμοποιείται συχνά για την απόρριψη ransomware, είναι και πάλι το πιο διαδεδομένο κακόβουλο λογισμικό. Σε παγκόσμιο επίπεδο, ένας στους 61 οργανισμούς επηρεάζεται από ransomware κάθε εβδομάδα. Αυτό είναι ένα συγκλονιστικό ποσοστό και οι εταιρείες πρέπει να κάνουν περισσότερα. Πολλές επιθέσεις ξεκινούν με ένα απλό μήνυμα ηλεκτρονικού post officeυ, οπότε η εκπαίδευση των χρηστών σχετικά με τον τρόπο αναγνώρισης μιας πιθανής απειλής είναι μία από τις σημαντικότερες άμυνες που μπορεί να αναπτύξει ένας οργανισμός".
The CPR also revealed this month that Education / Research is the industry with the most attacks worldwide, followed by those in Communications and Government / Military.
Το "Web Servers Malicious URL Directory Traversal" είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 60% των οργανισμών παγκοσμίως, ακολουθούμενη από το "Web Server Exposed Git Repository Information Disclosure" που επηρεάζει το 55% των οργανισμών παγκοσμίως, ενώ το "HTTP Headers Remote Code Execution" παραμένει στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 54%.
Top malware families
* The arrows refer to the change of the ranking in relation to the previous month.
This month, Trickbot is the most popular malware affecting 4% of organizations worldwide, followed by XMRig with 3% and Remcos with 2%.
- ↔ Trickbot - Το Trickbot είναι ένα modular Botnet και Τραπεζικό Trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, δυνατότητες και διαύλους διανομής. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί ως μέρος καμπανιών πολλαπλών χρήσεων.
- ↑ XMRig - Το XMRig είναι ένα λογισμικό εξόρυξης CPU ανοιχτού κώδικα που χρησιμοποιείται για τη διαδικασία εξόρυξης του κρυπτονομίσματος Monero και πρωτοεμφανίστηκε τον Μάιο του 2017.
- ↑ Remcos - Ο Remcos είναι ένα RAT που εμφανίστηκε για πρώτη φορά στη φύση το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windows και να εκτελεί κακόβουλο λογισμικό με προνόμια υψηλού επιπέδου.
Top attacks worldwide by industry:
This month, Education / Research is the industry with the most attacks worldwide, followed by Communications and Government / Military.
- Education / Research
- Communications
- Government / Army
The most exploitable vulnerabilities
Αυτόν τον μήνα, η " Web Servers Malicious URL Directory Traversal " είναι η πιο συχνά αξιοποιούμενη ευπάθεια, επηρεάζοντας το 60% των οργανισμών παγκοσμίως, ακολουθούμενη από την " Web Server Exposed Git Repository Information Disclosure ", η οποία επηρεάζει το 55% των οργανισμών παγκοσμίως. Η "HTTP Headers Remote Code Execution" παραμένει στην τρίτη θέση της λίστας με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 54%.
- ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Υπάρχει μια ευπάθεια στο directory traversal σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά τη διεύθυνση URL για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
- Ser Web Server Exposed Git Repository Information Disclosure- A vulnerability has been reported in the Git Repository. Successfully exploiting this vulnerability could allow account information to be disclosed.
- ↔HTTP Headers Remote -- Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Οι HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να διαβιβάζουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
Top Malware for mobile phones
This month, xHelper remains at the forefront of the most prevalent mobile malware, followed by AlienBot and XLoader.
- xHelper - Μια κακόβουλη εφαρμογή που παρατηρείται στη φύση από τον Μάρτιο του 2019, η οποία χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και μπορεί ακόμη και να επανεγκατασταθεί σε περίπτωση που έχει απεγκατασταθεί.
- AlienBot - Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα, ως πρώτο βήμα, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
- XLoader - Το XLoader είναι ένα Android Spyware και Banking Trojan που αναπτύχθηκε από την Yanbian Gang, μια κινεζική ομάδα χάκερ. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί DNS spoofing για τη διανομή μολυσμένων εφαρμογών Android για τη συλλογή προσωπικών και οικονομικών πληροφοριών.
|
The top 10 in Greece |
||
| Malware name | Global Impact | Impact on Greece |
| Nanocore | Present in several = 1.28% | Present in several = 5.62% |
| Remcos | Present in several = 2.39% | Present in several = 5.33% |
| Trickbot | Present in several = 4.26% | Present in several = 4.44% |
| Vidar | Present in several = 0.95% | Present in several = 3.25% |
| Joker | Present in several = 0.08% | Present in several = 2.96% |
| XMRig | Present in several = 2.56% | Present in several = 2.66% |
| xHelper | Present in several = 0.64% | Present in several = 2.66% |
| XLoader | Present in several = 0.45% | Present in several = 2.37% |
| Danabot | Present in several = 0.43% | Present in several = 2.37% |
| Triada | Present in several = 0.20% | Present in several = 2.07% |
| RigEK | Present in several = 0.52% | Present in several = 2.07% |
| Guloader | Present in several = 0.68% | Present in several = 2.07% |
The top 10 Malware families per country
NanoCore- NanoCore is a Remote Access Trojan, first detected in 2013 and targeting users of the Windows operating system. All versions of RAT have basic add-ons and features such as screen capture, cryptocurrency mining, remote desktop control and webcam session theft.
Remcos - Remcos is a RAT that first appeared in 2016. Remcos is distributed through malicious Microsoft Office documents that attach to SPAM emails and is designed to bypass Microsoft Windowss UAC security and run malware with high level privileges.
Trickbot - Trickbot is a modular Botnet and Banking Trojan that targets Windows platforms and is mainly transmitted via spam or other malware families such as Emotet. Trickbot sends information about the infected system and can also download and execute modules arbitrarily from a wide range of available, such as a VNC module for remote use or an SMB module for deployment within an affected network. Once a machine is infected, the threat agents behind Trickbot malware use this wide range of modules not only to steal bank credentials from the target computer, but also for lateral movement and recognition within the organization itself, before a targeted attack. ransomware throughout the company.
Vidar - Vidar is an infolstealer that targets Windows operating systems. First detected in late 2018, it is designed to steal passwords, credit card data and other sensitive information from various web browsers and digital wallets. Vidar has been sold on various online forums and a malware dropper has been used to download GandCrab ransomware as its secondary load.
Joker - An android Spyware on Google Play, designed to steal SMS messages, contact lists and device information. In addition, the malware silently signs the victim for premium services on advertising sites.
XMRig - XMRig, first introduced in May 2017, is an open source CPU mining software used to extract Monero cryptocurrency.
xHelper- A malicious application that has been in use since March 2019 and is used to download other malicious applications and display ads. The application is capable of being hidden from the user and reinstalled in case it has been uninstalled.
XLoader - XLoader is an Android Spyware and Banking Trojan developed by Yanbian Gang, a Chinese hacker group. This malware uses DNS spoofing to distribute infected Android applications in order to collect personal and financial information.
Danabot - Danabot is a Trickler that targets the Windows platform. The malware sends information to its control server and downloads and decrypts a file to run on the infected computer. According to information, the downloaded drive can download other malicious files to the network. In addition, the malware creates a shortcut in the user's boot folder to ensure that it stays on the infected system.
Triada -Triada is a modular backdoor for Android that provides super-user privileges for downloading malware. Triada has also been observed to falsify URLs loaded in the browser.
Rig EK -Rig EK was first introduced in April 2014. Since then it has received several major updates and continues to be active to this day. In 2015, as a result of an internal dispute between its administrators, the source code was leaked and has been thoroughly investigated by researchers. Rig provides Exploits for Flash, Java, Silverlight and Internet Explorer. Η αλυσίδα μόλυνσης ξεκινά με μια ανακατεύθυνση σε μια σελίδα target containing JavaScript that checks for vulnerable plug-ins and delivers the exploit.
Guloader - Guloader is a download program that has been widely used since December 2019. When it first appeared, GuLoader was used to download Parallax RAT, but has been applied to other remote access trojans and information thieves such as Netwire, FormBook and Agent Tesla.
Check Point Software's Global Threat Impact Index and ThreatCloud Map are based on the company's ThreatCloud intelligence division. ThreatCloud provides real-time threat information from hundreds of millions of sensors worldwide, through networks, endpoints, and mobile devices. The intelligence is enriched with AI-based engines and exclusive research data from Check Point Research, the Intelligence & Research department of Check Point Software Technologies.
The full list of the top 10 malware families in October is available at blog of Check Point.
