Το RIG Exploit Kit διανύει επί του παρόντος την πιο παραγωγική του περίοδο, πραγματοποιώντας έως και 2.000 κακόβουλες προσπάθειες την ημέρα και επιτυγχάνοντας σχεδόν στο 30% των περιπτώσεων.
Εκμεταλλευόμενο τις ευπάθειες που ενυπάρχουν στον Internet Explorer, το RIG Exploit Kit έχει βρεθεί ότι μεταφέρει μια πληθώρα κακόβουλου λογισμικού, όπως τα Dridex, SmokeLoader και RaccoonStealer.
Η Prodaft δημοσίευσε πρόσφατα μια εμπεριστατωμένη έκθεση, αποκτώντας πρόσβαση στο backend web panel της υπηρεσίας, η οποία αποκάλυψε ότι τα exploitative kits παραμένουν μια σημαντική απειλή για την ασφάλεια τόσο των ιδιωτών όσο και των οργανισμών.
Η άθλια ιστορία της RIG EK
Πριν από οκτώ χρόνια, το 2014, το RIG Exploit Kit έκανε το ντεμπούτο του ως “exploit-as-a-service”, το οποίο επιτρέπει σε άλλους κακόβουλους φορείς να εκμεταλλεύονται αποτελεσματικά ευάλωτα συστήματα και να εξαπλώνουν τον ιό τους.
Χρησιμοποιώντας κακόβουλη διαφήμιση, κακόβουλοι φορείς εισάγουν κακόβουλα JavaScript scripts, γνωστά ως κιτ εκμετάλλευσης RIG, σε εκτεθειμένους ιστότοπους. Μέσω αυτής της τεχνικής, είναι σε θέση να διαδώσουν τις κακόβουλες προθέσεις τους ευρέως.
Εάν ένας χρήστης αποκτήσει πρόσβαση σε αυτούς τους ιστότοπους, θα ενεργοποιηθούν κακόβουλα script που θα προσπαθήσουν να χρησιμοποιήσουν διάφορα τρωτά σημεία του προγράμματος περιήγησης για να κατεβάσουν γρήγορα κακόβουλο λογισμικό στον εξοπλισμό.
Το 2015, οι δημιουργοί του κιτ κυκλοφόρησαν τη δεύτερη μεγάλη έκδοσή του, ανοίγοντας το δρόμο για πιο επιτυχημένες και εκτεταμένες επιχειρήσεις.
Δυστυχώς, το 2017, το RIG υπέστη σημαντική ζημιά όταν μια οργανωμένη επιχείρηση takedown κατέστρεψε μεγάλο μέρος της υποδομής της και διέκοψε τη λειτουργία της.
Μετά από μια σύντομη παύση, το RIG επανεμφανίστηκε το 2019 με όπλο επιλογής το ransomware για να προκαλέσει τον όλεθρο σε οργανισμούς. Το κακόβουλο λογισμικό βοήθησε τα ransomware Sodinokibi (REvil), Nemty και ERIS να αποκτήσουν πρόσβαση σε εμπιστευτικά δεδομένα και να καταγράψουν τα κλειδιά κρυπτογράφησης των θυμάτων τους για να ζητήσουν λύτρα.
Το 2021, ο ιδιοκτήτης του RIG δήλωσε ότι η υπηρεσία θα τερματιζόταν- ωστόσο, το 2022 της έδωσαν νέα ζωή με δύο exploits (CVE-2020-0674 και CVE-2021-26411 στον Internet Explorer) που τους επέτρεψαν να επιτύχουν το υψηλότερο ποσοστό επιτυχών παραβιάσεων που είχαν ποτέ.
Τον Απρίλιο του 2022, η Bitdefender ειδοποίησε το κοινό ότι το RIG χρησιμοποιούνταν για την εγκατάσταση κακόβουλου λογισμικού Redline για την κλοπή πληροφοριών σε ανυποψίαστα θύματα.
Παρόλο που ο Microsoft Edge έχει διαδεχθεί τον Internet Explorer, εκατομμύρια συσκευές Enterprise εξακολουθούν να χρησιμοποιούν το πρόγραμμα περιήγησης. Αυτό τις καθιστά πρωταρχικό στόχο για τα κακόβουλα exploits του RIG EK.
Τρέχοντες όγκοι επιθέσεων
Η Prodaft ανέφερε ότι το RIG EK επιτίθεται επί του παρόντος σε 207 χώρες, με σχεδόν 2.000 καθημερινές επιθέσεις και ποσοστό επιτυχίας 30%. Το ποσοστό αυτό ήταν μόλις 22% πριν το exploit kit κάνει την επανεμφάνισή του, διαθέτοντας δύο ολοκαίνουργια exploits σύμφωνα με την Prodaft.
Όπως δείχνει ο heatmap της έκθεσης, η Γερμανία, η Ιταλία, η Γαλλία, η Ρωσία, η Τουρκία, η Σαουδική Αραβία, η Αίγυπτος, η Αλγερία, το Μεξικό και η Βραζιλία είναι μεταξύ των χωρών που πλήττονται περισσότερο από την κρίση αυτή. Παρόλα αυτά όμως πρόκειται για ένα παγκόσμιο ζήτημα με αμέτρητα θύματα σε όλο τον κόσμο.
Από όλες τις ευπάθειες, το CVE-2021-26411 παρουσίασε ένα αξιοσημείωτο ποσοστό επιτυχίας με 45%, ενώ τα CVE-2016-0189 και CVE-2019-0752 απέκτησαν 29% και 10% αντίστοιχα.
Το CVE-2021-26411 αποτελεί κρίσιμο κίνδυνο ασφάλειας για τους χρήστες του Internet Explorer και επιδιορθώθηκε τον Μάρτιο του 2021. Αυτό το ελάττωμα διαφθοράς μνήμης ενεργοποιείται με την απλή επίσκεψη ενός κακόβουλου ιστότοπου – επομένως είναι σημαντικό να είστε σε εγρήγορση απέναντι σε δυνητικά επικίνδυνους ιστότοπους.
Ο Internet Explorer δεν εξαιρείται από τις ευπάθειες CVE-2016-0189 και CVE-2019-0752, οι οποίες είναι ικανές να επιτρέψουν απομακρυσμένη εκτέλεση κώδικα στο πρόγραμμα περιήγησης.
Αυτόν τον Φεβρουάριο, η CISA δημοσίευσε μια ειδοποίηση ενεργής εκμετάλλευσης για το CVE-2019-0752 ως ειδοποίηση προς τους διαχειριστές συστημάτων ότι η ευπάθεια εξακολουθεί να χρησιμοποιείται και πρέπει να επιδιορθώνεται με ενημερώσεις ασφαλείας.
Μια ποικιλία από κακόβουλα ωφέλιμα φορτία
Επί του παρόντος, το RIG EK διαδίδει κυρίως κακόβουλο λογισμικό κλοπής δεδομένων και πρωτογενούς πρόσβασης, με το Dridex να κατέχει το μεγαλύτερο μερίδιο με 34%, ακολουθούμενο από τα SmokeLoader (26%), RaccoonStealer (20%), Zloader (2,5%), Truebot (1,8%) και IcedID(1,4%).
Όπως είναι αναμενόμενο, το κακόβουλο λογισμικό που διαδίδεται μέσω του RIG EK αλλάζει συνεχώς, καθώς διαφορετικοί εγκληματίες του κυβερνοχώρου χρησιμοποιούν την υπηρεσία.
Η Prodaft εντόπισε την παρουσία πολλαπλών εξελιγμένων ransomware, συμπεριλαμβανομένων διαβόητων ονομάτων όπως Redline, RecordBreaker, Gozi και PureCrypter. Επιπλέον, έχει εντοπίσει τα Royal Ransomware και UrSnif στη διαδικασία διανομής τους.
Η διανομή του banking trojan Dridex είναι ιδιαίτερα ενδιαφέρουσα επειδή υπάρχουν ενδείξεις ότι οι χειριστές RIG έχουν λάβει μέτρα για να εξασφαλίσουν ότι η διανομή του γίνεται χωρίς προβλήματα.
Δεν πρέπει να παραβλέψουμε το γεγονός ότι τα περιστατικά ransomware Entropy συνδέθηκαν με το Dridex πριν από ένα χρόνο, οπότε οι εισβολές RIG EK θα μπορούσαν να συνδεθούν με περιπτώσεις κρυπτογράφησης δεδομένων.
Το RIG EK αποτελεί τεράστιο κίνδυνο για τους χρήστες outdated software, καθώς είναι γνωστό για την επιδεξιότητά του να διεισδύει κρυφά σε συστήματα και να κλέβει άκρως εμπιστευτικές πληροφορίες.
Παρά την αφοσίωση του RIG EK στον Internet Explorer, το μέλλον του φαίνεται ζοφερό, καθώς η Microsoft διέκοψε τη χρήση του IE τον Φεβρουάριο του 2023 και έστειλε τους πελάτες της στον Microsoft Edge.
Πηγή πληροφοριών: bleepingcomputer.com
