Rośnie aktywnosć trojana Androxgh0st, który wykorzystywany jest do kradzieży poufnych informacji za pomocą botnetów, rośnie na całym świecie – ostrzegają analitycy bezpieczeństwa z Check Point Research. Zdaniem ekspertów to obecnie najbardziej powszechne zagrożenie dla polskich firm, wpływające na 3,9 proc. sieci! Spada za to powszechność ransomware LockBit3.
Od grudnia 2022 r. badacze cyberbezpieczeństwa obserwują aktywność Androxgh0st, który – wykorzystując luki w zabezpieczeniach, takie jak CVE-2021-3129 i CVE-2024-1709 – wdraża powłoki internetowe do zdalnej kontroli, koncentrując się jednocześnie na budowaniu botnetów w celu kradzieży danych uwierzytelniających. Informacje te zostały nawet odnotowane we wspólnym poradniku cyberbezpieczeństwa (CSA) wydanym przez FBI i CISA. Warto zauważyć, że operator złośliwego oprogramowania jest powiązany również z dystrybucją oprogramowania ransomware Adhublika. Grupa atakująca za pomocą Androxgh0st do tej pory preferowała wykorzystywanie luk w aplikacjach Laravel w celu kradzieży danych uwierzytelniających do usług opartych na chmurze, takich jak AWS, SendGrid i Twilio, jednak ostatnie działania sugerują zmiany. Punkt ciężkości został przesunięty w kierunku tworzenia botnetów w celu szerszego wykorzystania systemu.
Wg analityków Check Pointa Androxgh0st to obecnie drugi najczęściej wykorzystywany malware na świecie, a zarazem najpopularniejszy w Polsce! W skali globalnej wykryty został w ponad 3,7 proc. sieci firmowych, natomiast w Polsce jest to już 3,9 proc. Najpopularniejszym na świecie złośliwym oprogramowaniem w zeszłym miesiącu był FakeUpdates z wpływem na poziomie 6 proc. organizacji na całym świecie, a podium zamknął Qbot z 3-proc. wpływem.
- ↔ FakeUpdates – FakeUpdates (AKA SocGholish) to downloader napisany w JavaScript. Zapisuje ładunki na dysku przed ich uruchomieniem. FakeUpdates doprowadziły do dalszych naruszeń za pośrednictwem wielu dodatkowych złośliwych programów, w tym GootLoader, Dridex, NetSupport, DoppelPaymer i AZORult.
- ↑ Androxgh0st — Androxgh0st to botnet atakujący platformy Windows, Mac i Linux. Do początkowej infekcji Androxgh0st wykorzystuje wiele luk, w szczególności atakując PHPUnit, Laravel Framework i Apache Web Server. Szkodnik kradnie poufne informacje, takie jak informacje o koncie Twilio, dane uwierzytelniające SMTP, klucz AWS itp. Do gromadzenia wymaganych informacji wykorzystuje z kolei pliki Laravel. Ma różne warianty, które skanują w poszukiwaniu różnych informacji.
- ↓ Qbot — Qbot, znany także jako Qakbot, to wielofunkcyjne szkodliwe oprogramowanie, które pojawiło się po raz pierwszy w 2008 roku. Zostało zaprojektowane w celu kradzieży danych uwierzytelniających użytkownika, rejestrowania naciśnięć klawiszy, kradzieży plików cookie z przeglądarek, szpiegowania działań bankowych i wdrażania dodatkowego złośliwego oprogramowania. Często rozpowszechniany za pośrednictwem spamu, Qbot wykorzystuje kilka technik ochrony przed maszynami wirtualnymi, debugowaniem i piaskownicą, aby utrudnić analizę i uniknąć wykrycia. Od 2022 r. stał się jednym z najpowszechniejszych trojanów.
Check Point Research ujawnił ponadto najnowsze dane dotyczące grup ransomawe. LockBit3 po raz kolejny znajduje się na szczycie rankingu z 9 proc. ogłoszonych ataków. Za nim plasuje się Play z 7 proc. i 8Base z 6 proc. Ostatnia z tych grup ogłosiła niedawno, że zinfiltrowała systemy informatyczne Organizacji Narodów Zjednoczonych, wydobywając informacje z obszaru HR i zamówień. Chociaż LockBit3 wciąż pozostaje na pierwszym miejscu, to jej znaczenie spada (z 20 proc. do 9 proc.). W lutym międzynarodowe organy ścigania ogłosiły, że zidentyfikowały 194 podmioty stowarzyszone oraz aresztowały lidera grupy.
