Το Emotet και το QSnatch, δύο από τους πιο διαβόητους τύπους κακόβουλου λογισμικού, κυριαρχούν στην κακόβουλη κυκλοφορία DNS.
Οι κακόβουλοι φορείς έχουν μετατρέψει το domain name system (DNS) του Διαδικτύου σε έναν superhighway, με τους ερευνητές να αναφέρουν ότι ένας στους έξι οργανισμούς αντιμετώπισε κακόβουλη δικτυακή κυκλοφορία – αποτελούμενη από κακόβουλο λογισμικό Emotet, επιθέσεις phishing και δραστηριότητα command-and-control (C2) – κατά τη διάρκεια οποιουδήποτε συγκεκριμένου τριμήνου.
Εξερευνώντας πάνω από 7 τρισεκατομμύρια καθημερινά αιτήματα DNS, οι ερευνητές της Akamai αποκάλυψαν πώς κακόβουλοι φορείς χειραγωγούν τους servers και τις συσκευές που χρησιμοποιούν οι επιχειρήσεις για τη διαχείριση αυτών των αιτημάτων για τις εγκληματικές τους δραστηριότητες.
Αυτό που βρήκαν είναι ότι οι εισβολείς μεγεθύνουν και αποκλείουν τα δίκτυα μέσω DNS με ανησυχητική συχνότητα, με το 23% έως το 27% των οργανισμών να αντιμετωπίζουν τουλάχιστον μία περίπτωση κατά την οποία παρατηρήθηκε κίνηση C2 να ταξιδεύει έξω από το δίκτυό τους σε οποιοδήποτε δεδομένο τρίμηνο, ανέφεραν οι ερευνητές του Akamai σε έκθεση που δημοσιεύτηκε σήμερα.
Σύμφωνα με τον Eliad Kimhy, επικεφαλής της ερευνητικής ομάδας κυβερνοασφάλειας της Akamai, η συγκεκριμένη κίνηση προσφέρει έναν απίστευτα ακριβή δείκτη για συνεχιζόμενες επιθέσεις και μπορεί να παρέχει μια σαφή εικόνα του τρέχοντος περιβάλλοντος απειλών.
Επιπλέον, μεγάλο μέρος αυτής της κίνησης πραγματοποιείται real time, οπότε μπορεί να είναι δύσκολο για μια επιχείρηση να προστατευτεί από αυτές τις απειλές.
Emotet, QSnatch & η τρέχουσα κατάσταση των επιθέσεων
Οι ερευνητές της Akamai αποκάλυψαν μια σειρά από πληροφορίες σχετικά με τον τρόπο με τον οποίο οι επιτιθέμενοι αξιοποιούν το DNS για κακόβουλη δραστηριότητα και ποιος τύπος κακόβουλου λογισμικού χρησιμοποιείται συχνότερα. Ίσως η πιο εντυπωσιακή ανακάλυψη ήταν ότι το Emotet, το οποίο επέστρεψε εντυπωσιακά μετά τη σύντομη παύση του, επέστρεψε με μεγαλύτερη δύναμη από πριν.
Οι ερευνητές παρατήρησαν μια «μαζική εκστρατεία» πέρυσι και φαίνεται ότι η απειλητική ομάδα ανεβάζει την δραστηριότητα και για άλλη, λέει. «Πρόκειται για μια πολύ δύσκολη ομάδα να αντιμετωπίσεις, καθώς ειδικεύεται στην παραβίαση και την πώληση πρόσβασης σε πιο επικίνδυνες ομάδες ransomware», σημειώνει η Kimhy.
Πέρα από αυτό, αυτή η επανεμφάνιση του Emotet αποτελεί προειδοποιητικό σημάδι επικείμενων επιθέσεων από ομάδες ransomware, καθώς το κακόβουλο λογισμικό χρησιμοποιείται συχνά για να αποκτήσει αρχική πρόσβαση σε δίκτυα. Κατά συνέπεια, οι οργανισμοί πρέπει να παραμείνουν σε εγρήγορση στις επιχειρήσεις κυβερνοασφάλειας και να είναι προετοιμασμένοι για μια πιθανή επίθεση.
Στην πραγματικότητα, οι ερευνητές διαπίστωσαν ότι το 9% των μολυσμένων συσκευών δικτύου που παρατήρησαν ότι προσέγγισαν C2s είχαν πρόσβαση σε domains που σχετίζονται με την ομάδα ransomware-as-a-service (RaaS), καταδεικνύοντας τον συνεχή κίνδυνο από επιθέσεις ransomware με συνέπειες που καταστρέφουν τις επιχειρήσεις — συμπεριλαμβανομένων έξοδα αποκατάστασης και ανάκτησης, νομικές αμοιβές, πρόστιμα, διακοπές λειτουργίας που οδηγούν σε απώλεια παραγωγικότητας και ζημιές στο εμπορικό brand και τη φήμη — για την επιχείρηση.
Καθώς οι κακόβουλοι φορείς γίνονται όλο και πιο εξελιγμένοι, διεισδύουν όλο και περισσότερο στα δίκτυα των οργανισμών μέσω συσκευών NAS. Η πλειονότητα των μηχανημάτων που παρατηρήθηκαν εξέπεμπε κίνηση σε C2 domains που σχετίζονται με το επικίνδυνο botnet QSnatch – πάνω από το ένα τρίτο από αυτά μάλιστα! Οι ερευνητές τόνισαν ότι πρόκειται για μια ανησυχητική τάση που απαιτεί σοβαρή προσοχή.
Η Akamai μας προειδοποιεί ότι αυτές οι συσκευές μπορούν να αποτελέσουν μεγάλο κίνδυνο αν δεν διασφαλιστούν σωστά, καθώς χρησιμοποιούνται συνήθως για την αποθήκευση σημαντικών δεδομένων και πληροφοριών αντιγράφων ασφαλείας.
Οι επιτιθέμενοι στον κυβερνοχώρο εκμεταλλεύονται το DNS για να στοχεύσουν περισσότερο τις εταιρείες μεταποίησης, επιχειρηματικών υπηρεσιών και λιανικού εμπορίου. Ωστόσο, κανένας τομέας δεν είναι απρόσβλητος από αυτού του είδους τις κακόβουλες δραστηριότητες – όλοι πρέπει να είναι σε εγρήγορση προκειμένου να προστατεύσουν τους οργανισμούς τους.
Δεδομένων των σημαντικών κινδύνων που συνδέονται με τις απειλές DNS, είναι επιτακτική ανάγκη οι υπερασπιστές της ασφάλειας στον κυβερνοχώρο να υιοθετήσουν μια προληπτική, πολυεπίπεδη προσέγγιση για την ασφάλεια της υποδομής DNS. Με την κατανόηση των τύπων και των επιπτώσεων των απειλών DNS, τη διενέργεια τακτικών ελέγχων, την εφαρμογή βέλτιστων πρακτικών, την αξιοποίηση προηγμένων τεχνολογιών και την καλλιέργεια μιας κουλτούρας ευαισθητοποίησης στον τομέα της κυβερνοασφάλειας, οι οργανισμοί μπορούν να προστατεύονται αποτελεσματικά από αυτές τις κακόβουλες δραστηριότητες και να διατηρούν μια ισχυρή και ασφαλή διαδικτυακή παρουσία.
Πηγή πληροφοριών: darkreading.com
