Check Point® Software Technologies Ltd. (NASDAQ: CHKP), een toonaangevende leverancier van AI-gebaseerde cloud cybersecurity oplossingen, heeft zijn Global Threat Index voor maart 2024 gepubliceerd waar het gebruik van Virtual Hard Disk (VHD) bestanden wordt vastgelegd voor de implementatie van de Remote Access Trojan (RAT) Remcos. Ondertussen blijft Lockbit3 de meest voorkomende ransomwaregroep, ondanks politie-interventie in februari, hoewel hun frequentie op door Check Point Software gemonitorde ‘shame sites’ voor ransomware is gedaald van 20% naar 12%.
Remcos is een malware die sinds 2016 vrij verkrijgbaar is. Deze laatste campagne heeft beveiligingsmaatregelen weten te omzeilen en geeft cybercriminelen ongeautoriseerde toegang tot de apparaten van slachtoffers. Ondanks de legitieme oorsprong voor het op afstand beheren van Windows-systemen, begonnen aanvallers al snel apparaten te infecteren, screenshots te maken, toetsaanslagen te registreren en verzamelde gegevens naar host-servers te sturen. Bovendien heeft de Remote Access Trojan (RAT) een massa-mailingfunctie die distributiecampagnes kan starten, en over het algemeen kunnen zijn diverse functies worden gebruikt om botnets te creëren. Afgelopen maand steeg het naar de vierde plaats op de lijst van voornaamste malware en klom het twee plaatsen op sinds februari.
“De evolutie van aanvalstactieken benadrukt de vooruitgang in de strategieën van cybercriminelen,” zegt Maya Horowitz, VP Research van Check Point Software. “Dit onderstreept de noodzaak dat bedrijven proactieve maatregelen prioriteren. Door alert te blijven, solide endpointbescherming te implementeren en een cultuur van cybersecurity-bewustzijn te bevorderen, kunnen we gezamenlijk de verdediging tegen evoluerende cyberaanvallen versterken.”
Het dreigingsindex van Check Point Research bevat ook informatie uit ongeveer 200 dubbele afpersing ransomwaregroepen die verdachte contentwebsites beheren, waarvan 68 dit jaar informatie over hun slachtoffers hebben gepubliceerd om hen onder druk te zetten wanneer ze niet wilden betalen. Lockbit3 blijft de meest significante ransomware, met 12% van de gedetecteerde incidenten, gevolgd door Play met 10% en Blackbasta met 9%. Blackbasta, die voor het eerst de top drie binnenkomt, claimde onlangs de verantwoordelijkheid voor een cyberaanval op Scullion Law, een Schots juridisch bedrijf.
CPR heeft ook onthuld dat “Web Servers Malicious URL Directory Traversal” de meest uitgebuite kwetsbaarheid is geweest, waarbij 50% van de bedrijven is getroffen, gevolgd door “Command Injection Over HTTP” met 48%, en “Remote Code Execution via HTTP Headers” met 43%.
De drie meest gezochte malware in Spanje in maart
*De pijlen duiden veranderingen in de ranking aan in vergelijking met de vorige maand.
Check Point Research benadrukt dat Spanje een afname van 2% van malwareaanvallen heeft ervaren sinds februari. Dit zijn de drie meest gezochte malware in het land:
- ↓ FakeUpdates – Downloader geschreven in JavaScript. Schrijft payloads naar de schijf voordat deze worden gelanceerd. Fakeupdates heeft geleid tot vele andere kwaadaardige programma’s, waaronder GootLoader, Dridex, NetSupport, DoppelPaymer en AZORult. Deze downloader heeft 9.37% van de bedrijven in Spanje getroffen.
- ↑Remcos – Remcos is een RAT die voor het eerst in het wild verscheen in 2016. Remcos wordt verspreid via kwaadaardige Microsoft Office-documenten die zijn bijgevoegd bij ongewenste e-mails en is ontworpen om de Microsoft Windows User Account Control (UAC) beveiliging te omzeilen en malware uit te voeren met hooggeprivilegieerde rechten. De malware heeft 6.42% van de Spaanse bedrijven getroffen.
- ↓Qbot – Qbot is een multifunctionele malware die voor het eerst verscheen in 2008. Het is ontworpen om gebruikersgegevens te stelen, toetsaanslagen te registreren, browsercookies te ontvreemden, bankactiviteiten te bespioneren en aanvullende malware te implementeren. Het wordt vaak verspreid via ongewenste e-mails en gebruikt verschillende anti-VM, anti-debugging en anti-sandbox technieken om analyse te hinderen en detectie te ontwijken. Sinds 2022 heeft het zich gevestigd als een van de overwegende trojans. De malware heeft opnieuw 4.08% van de Spaanse bedrijven getroffen.
De drie meest aangevallen industrieën in Europa in maart
Vorige maand was Onderwijs/Onderzoek de meest aangevallen industrie in Spanje, gevolgd door Overheid/Militair en Gezondheidszorg.
- Onderwijs/Onderzoek
- Overheid/Militair
- Gezondheidszorg
De drie meest uitgebuite kwetsbaarheden in maart
Daarnaast meldt Check Point Software dat de meest uitgebuite kwetsbaarheid afgelopen maand “Malicious URL Directory Traversal in Web Servers” was, die 50% van de bedrijven wereldwijd trof, gevolgd door “Command Injection Over HTTP” met 48% en “Remote Code Execution via HTTP Headers” met 43%.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Er is een directory traversal kwetsbaarheid in verschillende web servers aangetroffen. De kwetsbaarheid is te wijten aan een invoervalidatiefout in een webserver die de URI niet correct ontsmet voor directory-traversal patronen. Succesvolle uitbuiting stelt niet-geauthenticeerde externe aanvallers in staat om willekeurige bestanden op de kwetsbare server te bekijken of te benaderen.
- ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Er is een kwetsbaarheid voor command injection over HTTP gerapporteerd. Een externe aanvaller kan dit probleem uitbuiten door een speciaal ontworpen verzoek naar het slachtoffer te sturen. Succesvolle uitbuiting zou een aanvaller in staat stellen om willekeurige code uit te voeren op het doelapparaat.
- ↑HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – HTTP-headers stellen de client en de server in staat om extra informatie uit te wisselen met een HTTP-verzoek. Een externe aanvaller kan een kwetsbare HTTP-header gebruiken om willekeurige code uit te voeren op het slachtoffertoestel.
De drie meest gebruikte mobiele malware in maart
Vorige maand Anubis bleef de meest gebruikte mobiele malware, gevolgd door AhMyth en Cerberus.
- Anubis – Een trojan bankmalware ontworpen voor Android mobiele telefoons. Sinds de detectie heeft het extra functies toegevoegd, zoals capaciteiten van een Remote Access Trojan (RAT), keylogger, audio-opname en verschillende ransomware-kenmerken. Het is gedetecteerd in honderden verschillende applicaties die beschikbaar zijn op de Google Store.
- AhMyth – Een Remote Access Trojan (RAT) ontdekt in 2017. Het wordt verdeeld via Android-applicaties die te vinden zijn in app stores en verschillende websites. Wanneer een gebruiker een van deze geïnfecteerde apps installeert, kan de malware vertrouwelijke informatie van het apparaat verzamelen en acties uitvoeren zoals keylogging, schermafdrukken, het versturen van sms-berichten en het activeren van de camera, gewoonlijk gebruikt om gevoelige informatie te stelen.
- Cerberus – Voor het eerst waargenomen in het wild in juni 2019, is Cerberus een Remote Access Trojan (RAT) met specifieke overlay-mogelijkheden op bankapplicaties voor Android-apparaten. Cerberus werkt op een Malware-as-a-Service (MaaS) model, en heeft de plaats ingenomen van banktrojans zoals Anubis en Exobot. De kenmerken omvatten SMS-controle, keylogging, audio-opname, locatie-tracking, en meer.
De drie meest opvallende ransomwaregroepen in maart
Deze sectie is gebaseerd op informatie ontvangen van meer dan 200 ‘shame sites’ die gerund worden door dubbele afpersing ransomwaregroepen die namen en informatie van hun slachtoffers publiceren. De gegevens op deze sites hebben hun eigen bias, maar bieden toch waardevolle informatie over het ransomware-ecosysteem.
In de afgelopen maand LockBit3 was de meest opvallende ransomware, verantwoordelijk voor 12% van de uitgevoerde aanvallen, gevolgd door Play met 10% en Blackbasta met 9%.
- LockBit3 – LockBit3 is een ransomware die werkt op een RaaS-model, voor het eerst gemeld in september 2019. LockBit richt zich op grote bedrijven en overheidsentiteiten in verschillende landen en richt zich niet op individuen in Rusland of de Gemenebest van Onafhankelijke Staten. Ondanks aanzienlijke verstoringen in februari 2024 als gevolg van handhavingsacties, heeft LockBit3 hervat met het publiceren van informatie over zijn slachtoffers.
- Play – Play Ransomware, ook bekend als PlayCrypt, is een ransomwaregroep die voor het eerst opdook in juni 2022. Deze ransomware heeft zich gericht op een breed spectrum van bedrijven en kritieke infrastructuur in Noord-Amerika, Zuid-Amerika en Europa, waarbij naar schatting 300 entiteiten zijn getroffen tegen oktober 2023. Play Ransomware krijgt doorgaans toegang tot netwerken via gecompromitteerde geldige accounts of door het uitbuiten van ongepatchte kwetsbaarheden, zoals die in Fortinet SSL VPNVPN, afkorting voor Virtual Private Network, of Privénetwerk…. Eenmaal binnen, maakt het gebruik van technieken zoals het gebruik van ‘living-off-the-land’ binaries (LOLBins) voor taken zoals data-exfiltratie en diefstal van inloggegevens.
- Blackbasta – De BlackBasta ransomware werd voor het eerst waargenomen in 2022 en werkt als ransomware-as-a-service (RaaS). De dreigingsactoren achter het richten zich voornamelijk op organisaties en individuen door het exploiteren van RDP-kwetsbaarheden en phishing e-mails om de ransomware te leveren.