Podsumowanie zagrożeń Bitdefender Listopad 2023

Monitorowanie ruchu poprzecznego w środowiskach chmury hybrydowej, obejmujących platformy takie jak Google Cloud, Amazon Web Services (AWS) i Microsoft Azure, to kluczowy aspekt utrzymania solidnego poziomu cyberbezpieczeństwa, wymagający od zespołów technicznych zwiększonej wiedzy specjalistycznej w zakresie bezpieczeństwa. Chociaż dynamika ruchu bocznego w tradycyjnych środowiskach Active Directory (AD) jest dobrze poznana, wprowadzenie infrastruktur chmury hybrydowej wprowadza nowy poziom złożoności.

Najpoważniejsze cyberzagrożenia odkryte przez Bitdefender w listopadzie 2023

Laboratoria Bitdefender odkryły niedawno nieznane wcześniej metody ataku umożliwiające eskalację kompromisu z pojedynczego punktu końcowego do naruszenia w całej sieci, co może prowadzić do ataków oprogramowania ransomware lub eksfiltracji danych. Zaczynając od pojedynczej zainfekowanej maszyny, przestępcy mogą postępować na kilka sposobów: mogą przenieść się na inne sklonowane maszyny z zainstalowanym GCPW, uzyskać dostęp do platformy chmurowej z niestandardowymi uprawnieniami lub odszyfrować hasła przechowywane lokalnie, aby kontynuować atak poza ekosystemem Google.

Aby skutecznie stawić czoła tym wyzwaniom, kluczowe jest wykorzystanie odpowiednich narzędzi do wykrywania dostosowanych do środowisk hybrydowych. Rozwiązania takie jak Bitdefender GravityZone XDR wyróżniają się zdolnością do rozpoznawania subtelnych wzorców wskazujących na ruch boczny na różnych platformach chmurowych. Co więcej, zdobycie wiedzy niezbędnej do zwalczania wyrafinowanych zagrożeń w środowiskach hybrydowych to obszar, w którym szczególnie pomocne są zarządzane usługi bezpieczeństwa, takie jak Bitdefender MDR.

Zarządzane usługi bezpieczeństwa oferują ciągłe monitorowanie, proaktywne wykrywanie zagrożeń i możliwości reagowania przez ekspertów, zwiększając wysiłki wewnętrznych zespołów ds. bezpieczeństwa i zapewniając kompleksową ochronę przed zagrożeniami wynikającymi z ruchu bocznego w dynamicznym krajobrazie architektur chmur hybrydowych.

Raport dotyczący oprogramowania ransomware

Ataki typu spear phishing są często wykorzystywane jako początkowy wektor ataku, a infekcja oprogramowaniem ransomware jest często ostatnim etapem łańcucha zabijania. Na potrzeby tego raportu zespół Bitdefender przeanalizował wykrycia złośliwego oprogramowania zebrane w październiku 2023 r. przez ich statyczne silniki chroniące przed złośliwym oprogramowaniem.

Uwaga: zespół Bitdefender liczył tylko ogólną liczbę przypadków, a nie znaczenie finansowe wpływu infekcji. Oportunistyczni przeciwnicy i niektóre grupy oferujące oprogramowanie ransomware jako usługę (RaaS) stanowią wyższy odsetek w porównaniu z grupami, które są bardziej selektywne w wyborze swoich celów, ponieważ przedkładają ilość nad większą wartość.

Przeglądając te dane, pamiętaj, że są to wykrycia oprogramowania ransomware, a nie dokonane infekcje.

10 najpowszechniejszych rodzin oprogramowania ransomware

Zespół Bitdefender przeanalizował wykrycia szkodliwego oprogramowania od 1 do 31 października. W sumie zidentyfikowano 226 rodzin ransomware. Liczba wykrytych rodzin oprogramowania ransomware może zmieniać się w każdym miesiącu, w zależności od bieżących kampanii oprogramowania ransomware w różnych krajach.

10 najbardziej dotkniętych krajów
W sumie w tym miesiącu zespół Bitdefender wykrył oprogramowanie ransomware ze 145 krajów. Ransomware w dalszym ciągu stanowi zagrożenie dotykające niemal cały świat. Poniżej znajduje się lista 10 krajów najczęściej atakowanych za pomocą oprogramowania ransomware. Wiele ataków oprogramowania ransomware w dalszym ciągu ma charakter oportunistyczny, a wielkość populacji jest skorelowana z liczbą wykrycia.

Trojany na Androida

Poniżej znajduje się lista 10 trojanów atakujących Androida, które zespół Bitdefender wykrył za pomocą telemetrii w październiku 2023 r.

SMSSend.AYE – złośliwe oprogramowanie, które przy pierwszym uruchomieniu próbuje zarejestrować się jako domyślna aplikacja SMS, prosząc o zgodę użytkownika. Jeśli się powiedzie, zbiera wiadomości przychodzące i wychodzące użytkownika i przekazuje je do serwera dowodzenia i kontroli (C&C).

SpyAgent.JA – złośliwe oprogramowanie zbierające dane osobowe, takie jak wiadomości i kontakty użytkowników, umożliwiające dostęp do kamery i mikrofonu zaatakowanego urządzenia. Umożliwia to złośliwym osobom potajemne monitorowanie zainfekowanych użytkowników.

Downloader.DN – przepakowane aplikacje pobrane z Google App Store i dołączone do agresywnego oprogramowania reklamowego. Niektóre adware pobierają inne warianty złośliwego oprogramowania.

Triada.LD — złośliwe oprogramowanie, które zbiera poufne informacje o urządzeniu (identyfikatory urządzeń, identyfikatory abonentów, adresy MAC), a następnie wysyła je do serwera kontroli.

Banker.XO – aplikacje polimorficzne podszywające się pod legalne aplikacje (Google, Facebook, Sagawa Express…). Po zainstalowaniu lokalizuje aplikacje bankowe zainstalowane na urządzeniu i próbuje pobrać ich wersję z trojanem z serwera C&C.

Marcher.AV – aplikacje udające aplikacje ze Sklepu Play. Szkodnik próbuje zapytać o uprawnienia dostępu w celu przechwytywania naciśnięć klawiszy, a także wykorzystuje funkcję nagrywania ekranu VNC do rejestrowania aktywności użytkownika na telefonie.

InfoStealer.SO – aplikacje regularnie ekstrahujące wiadomości tekstowe użytkowników.

Banker.AFX – aplikacje polimorficzne, które podszywają się pod legalne aplikacje, takie jak Google, Facebook, Sagawa Express.

Agent.AWQ – złośliwe oprogramowanie typu dropper to trojan, który w ramach techniki unikania ukrywa niebezpieczny ładunek w aplikacji. Jeśli uda mu się ominąć zabezpieczenia, ten ładunek zostanie wdrożony. Złośliwy ładunek jest odszyfrowywany i ładowany przez dropper.

SpyAgent.DW — aplikacje, które wydobywają poufne dane, takie jak wiadomości SMS, dzienniki połączeń, kontakty lub lokalizacja GPS.

Raport dotyczący phishingu homograficznego

Ataki homograficzne mają na celu nadużywanie międzynarodowych nazw domen (IDN). Podmioty zagrażające tworzą międzynarodowe nazwy domen, które sfałszują nazwę domeny docelowej. Kiedy mówimy o „celu” ataków typu phishing na podstawie homografii IDN, mamy na myśli domenę, pod którą próbują się podszywać ugrupowania zagrażające.

Poniżej znajduje się lista 10 najczęstszych celów witryn phishingowych.

Informacje o zagrożeniach od zespołu Bitdefender

Podsumowanie zagrożeń Bitdefender (BDTD) to miesięczna seria analizująca wiadomości o zagrożeniach, trendy i badania z poprzedniego miesiąca. Nie przegap kolejnej wersji BDTD, subskrybuj nasz kanał na YouTubie i śledź nas na LinkedIn.

Anrtywirus Bitdefender zapewnia rozwiązania w zakresie cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 150 marek technologicznych udzieliło licencji i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne zebrane już z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci wyobrażenie o skali, Bitdefender Labs odkrywa ponad 400 nowych zagrożeń w każdej minucie i codziennie sprawdza 30 miliardów zapytań o zagrożeniach. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń.