Ένα διαβόητο botnet επέστρεψε τον τελευταίο μήνα, με τους χάκερς να προσπαθούν μέσω αυτού να διανείμουν μία ransomware εκστρατεία, μαζί με άλλα malware. Οι ερευνητές του “Check Point” ανέλυσαν τις πιο κοινές απειλές στον κυβερνοχώρο που στοχεύουν οργανισμούς, και παρατήρησαν μια τεράστια αύξηση των επιθέσεων που εκτελούνται μέσω του Phorpiex botnet. Το Phorpiex botnet διανέμει έναν αριθμό malware και spam εκστρατειών, συμπεριλαμβανομένων των sextortion email εκστρατειών. Αυτός ο αριθμός αυξήθηκε σημαντικά τον Ιούνιο συγκριτικά με τον Μάιο. Συγκεκριμένα, ο αριθμός αυξήθηκε σε τέτοιο βαθμό που το Phorpiex αποτέλεσε την 2η πιο συχνά ανιχνεύσιμη malware εκστρατεία τον Ιούνιο, ενώ τον Μάιο βρισκόταν στην 13η θέση. Επιπλέον, ο αριθμός των αποπειρών επιθέσεων ήταν τόσο υψηλός που το 2% των οργανισμών στοχεύονταν από το botnet. Το botnet στέλνει spam email που προσπαθούν να μεταφέρουν κακόβουλο payload στα υποψήφια θύματα. Τον τελευταίο μήνα αυτό έχει χρησιμοποιηθεί στην εκστρατεία του Avaddon ransomware.
Αυτή η συγκεκριμένη οικογένεια ransomware εμφανίστηκε μόνο τον Ιούνιο, ενώ το Phorpeix προσπαθεί να παρακινήσει τα υποψήφια θύματα να ανοίξουν ένα συνημμένο αρχείο Zip που υπάρχει σε ένα phishing email, το οποίο χρησιμοποιεί ένα θέμα emoji wink. Ενώ μπορεί να ακούγεται σαν μια κοινή μορφή κυβερνοεπίθεσης, οι χάκερς που κρύβονται πίσω από την εκστρατεία, δεν θα την χρησιμοποιούσαν αν δεν ήταν αποτελεσματική.
Το Phorpiex, το οποίο είναι γνωστό και ως “Trik”, έχει χρησιμοποιηθεί στο παρελθόν για τη διανομή spam εκστρατειών για άλλες μορφές ransomware, συμπεριλαμβανομένων των GandCrab και Pony, καθώς και για την εξόρυξη κρυπτονομισμάτων σε μολυσμένες συσκευές.
Οι ερευνητές του Check Point τόνισαν πως οι οργανισμοί πρέπει να εκπαιδεύσουν τους υπαλλήλους τους σχετικά με τον τρόπο αναγνώρισης των τύπων malspam που φέρουν αυτές τις απειλές, όπως η πιο πρόσφατη εκστρατεία που στοχεύει χρήστες μέσω email που περιέχουν emoji wink, ενώ πρέπει να διασφαλίσουν πως αναπτύσσουν ασφάλεια που εμποδίζει αποτελεσματικά την μόλυνση των δικτύων τους.
Ενώ οι επιθέσεις του Phorpiex έχουν αυξηθεί σημαντικά, το malware που εντοπίστηκε περισσότερες φορές τον Ιούνιο ήταν το Agent Tesla, ένα προηγμένο trojan απομακρυσμένης πρόσβασης που είχε ως στόχο περίπου το 3% των οργανισμών.
Το Agent Tesla είναι ένας “κλέφτης” πληροφοριών και keylogger, το οποίο παρέχει στους εισβολείς τη δυνατότητα να βλέπουν τα πάντα σε έναν μολυσμένο υπολογιστή, συμπεριλαμβανομένων usernames, κωδικών πρόσβασης, ιστορικού browser, πληροφοριών συστήματος και πολλά άλλα. Οι εισβολείς έχουν δηλαδή τη δυνατότητα να αποκτήσουν πρόσβαση σε όλα όσα χρειάζονται για να θέσουν σε κίνδυνο ένα δίκτυο.
Το τρίτο malware που ανιχνεύθηκε πιο πολύ μέσα στον Ιούνιο ήταν το XMRig, ένα λογισμικό εξόρυξης κρυπτονομισμάτων ανοιχτού κώδικα που χρησιμοποιεί την ισχύ CPU των μολυσμένων συσκευών για τη δημιουργία Monero. Αυτό το malware φαίνεται να λειτουργεί από τον Μάιο του 2017.
Μεταξύ των υπόλοιπων malware που συμπληρώνουν τη δεκάδα των malware που εντοπίστηκαν σε μεγαλύτερη συχνότητα τον Ιούνιο, περιλαμβάνονται τα Dridex, Trickbot, Ramnit και Emotet που εδώ και καιρό έχουν αναπτύξει έντονη δραστηριότητα στον χώρο του κυβερνοεγκλήματος, είτε κλέβοντας τα ίδια πληροφορίες, είτε χρησιμοποιούμενα ως “σκαλοπάτι” για πολύ πιο καταστροφικές εκστρατείες. Για παράδειγμα, το Trickbot και το Emotet χρησιμοποιούνται συχνά ως το πρώτο στάδιο ransomware επιθέσεων μεγάλης κλίμακας.
Τέλος, αξίζει να σημειωθεί ότι πολλές από τις κοινές μορφές malware βασίζονται σε εκμεταλλεύσεις και τρωτά σημεία που είναι γνωστά εδώ και καιρό. Επομένως, είναι δυνατή η προστασία από αυτά τα malware, με την εφαρμογή ενημερώσεων κώδικα ασφαλείας.
