Trojan Androxgh0st atakuje. Zmaga się z nim niemal 4% polskich firm.

Od grudnia 2022 r. badacze cyberbezpieczeństwa obserwują aktywność Androxgh0st, który – wykorzystując luki w zabezpieczeniach, takie jak CVE-2021-3129 i CVE-2024-1709 - wdraża powłoki internetowe do zdalnej kontroli, koncentrując się jednocześnie na budowaniu botnetów w celu kradzieży danych uwierzytelniających. Informacje te zostały nawet odnotowane we wspólnym poradniku cyberbezpieczeństwa (CSA) wydanym przez FBI i CISA. Warto zauważyć, że operator złośliwego oprogramowania jest powiązany również z dystrybucją oprogramowania ransomware Adhublika. Grupa atakująca za pomocą Androxgh0st do tej pory preferowała wykorzystywanie luk w aplikacjach Laravel w celu kradzieży danych uwierzytelniających do usług opartych na chmurze, takich jak AWS, SendGrid i Twilio, jednak ostatnie działania sugerują zmiany. Punkt ciężkości został przesunięty w kierunku tworzenia botnetów w celu szerszego wykorzystania systemu.

Wg analityków Check Pointa Androxgh0st to obecnie drugi najczęściej wykorzystywany malware na świecie, a zarazem najpopularniejszy w Polsce! W skali globalnej wykryty został w ponad 3,7 proc. sieci firmowych, natomiast w Polsce jest to już 3,9 proc. Najpopularniejszym na świecie złośliwym oprogramowaniem w zeszłym miesiącu był FakeUpdates z wpływem na poziomie 6 proc. organizacji na całym świecie, a podium zamknął Qbot z 3-proc. wpływem.

1. ↔ FakeUpdates – FakeUpdates (AKA SocGholish) to downloader napisany w JavaScript. Zapisuje ładunki na dysku przed ich uruchomieniem. FakeUpdates doprowadziły do dalszych naruszeń za pośrednictwem wielu dodatkowych złośliwych programów, w tym GootLoader, Dridex, NetSupport, DoppelPaymer i AZORult.
2. ↑ Androxgh0st — Androxgh0st to botnet atakujący platformy Windows, Mac i Linux. Do początkowej infekcji Androxgh0st wykorzystuje wiele luk, w szczególności atakując PHPUnit, Laravel Framework i Apache Web Server. Szkodnik kradnie poufne informacje, takie jak informacje o koncie Twilio, dane uwierzytelniające SMTP, klucz AWS itp. Do gromadzenia wymaganych informacji wykorzystuje z kolei pliki Laravel. Ma różne warianty, które skanują w poszukiwaniu różnych informacji.
3. ↓ Qbot — Qbot, znany także jako Qakbot, to wielofunkcyjne szkodliwe oprogramowanie, które pojawiło się po raz pierwszy w 2008 roku. Zostało zaprojektowane w celu kradzieży danych uwierzytelniających użytkownika, rejestrowania naciśnięć klawiszy, kradzieży plików cookie z przeglądarek, szpiegowania działań bankowych i wdrażania dodatkowego złośliwego oprogramowania. Często rozpowszechniany za pośrednictwem spamu, Qbot wykorzystuje kilka technik ochrony przed maszynami wirtualnymi, debugowaniem i piaskownicą, aby utrudnić analizę i uniknąć wykrycia. Od 2022 r. stał się jednym z najpowszechniejszych trojanów.

Check Point Research ujawnił ponadto najnowsze dane dotyczące grup ransomawe. LockBit3 po raz kolejny znajduje się na szczycie rankingu z 9 proc. ogłoszonych ataków. Za nim plasuje się Play z 7 proc. i 8Base z 6 proc. Ostatnia z tych grup ogłosiła niedawno, że zinfiltrowała systemy informatyczne Organizacji Narodów Zjednoczonych, wydobywając informacje z obszaru HR i zamówień. Chociaż LockBit3 wciąż pozostaje na pierwszym miejscu, to jej znaczenie spada (z 20 proc. do 9 proc.). W lutym międzynarodowe organy ścigania ogłosiły, że zidentyfikowały 194 podmioty stowarzyszone oraz aresztowały lidera grupy.