Κακόβουλο λογισμικό Μαΐου 2025: Το SafePay αναδεικνύεται ως κορυφαία κυβερνοαπειλή

Η Check Point Software Technologies Ltd. , κορυφαίος πάροχος πλατφόρμας κυβερνοασφάλειας βασισμένης στην τεχνητή νοημοσύνη και στο cloud, δημοσίευσε το Global Threat Index για τον Μάιο του 2025.

Το SafePay, μια σχετικά νέα αλλά ταχύτατα αναπτυσσόμενη ομάδα ransomware, αναδείχθηκε

ως η πιο ενεργή απειλή για τον μήνα, κατακτώντας την κορυφή της λίστας με τις πλέον διαδεδομένες ομάδες ransomware. Η SafePay εφαρμόζει στρατηγική διπλού εκβιασμού (double extortion), εντείνοντας την επικινδυνότητά της. Παράλληλα, το FakeUpdates εξακολουθεί να κυριαρχεί ως το πιο διαδεδομένο κακόβουλο λογισμικό παγκοσμίως, επηρεάζοντας μεγάλο αριθμό οργανισμών. Ο εκπαιδευτικός τομέας παραμένει ο πιο στοχοποιημένος κλάδος, επιβεβαιώνοντας τις συνεχιζόμενες ευπάθειες που υπάρχουν στα ιδρύματα εκπαίδευσης.

Τον Μάιο, η Europol, το FBI, η Microsoft και άλλοι συνεργαζόμενοι φορείς εξαπέλυσαν μια μεγάλη επιχείρηση κατά της Lumma, μιας διαβόητης πλατφόρμας “malware-as-a-service”. Η επιχείρηση οδήγησε στην κατάσχεση χιλιάδων domains, προκαλώντας σημαντική αναστάτωση στη λειτουργία του δικτύου. Ωστόσο, οι βασικοί διακομιστές της Lumma, που φέρεται να εδρεύουν στη Ρωσία, παρέμειναν σε λειτουργία, ενώ οι προγραμματιστές της επανέφεραν γρήγορα την υποδομή της. Παρά τη μερική τεχνική αποκατάσταση, η επιχείρηση προκάλεσε πλήγμα στην αξιοπιστία της Lumma, αξιοποιώντας ψυχολογικές τακτικές όπως phishing και καλλιέργεια δυσπιστίας στους χρήστες της. Αν και η τεχνική διατάραξη υπήρξε αξιοσημείωτη, δεδομένα που σχετίζονται με τη Lumma εξακολουθούν να κυκλοφορούν, εντείνοντας τις ανησυχίες για τον μακροπρόθεσμο αντίκτυπο της επιχείρησης.

Ο Lotem Finkelstein, Director of Threat Intelligence στην Check Point Software, δήλωσε:

«Τα δεδομένα του Global Threat Index για τον Μάιο αναδεικνύουν την αυξανόμενη πολυπλοκότητα των τακτικών που ακολουθούν οι κυβερνοεγκληματίες. Με την άνοδο ομάδων όπως η SafePay και την επίμονη απειλή του FakeUpdates, οι οργανισμοί οφείλουν να υιοθετήσουν μια προληπτική, πολυεπίπεδη στρατηγική ασφάλειας. Καθώς οι κυβερνοαπειλές εξελίσσονται, είναι κρίσιμο να προηγούμαστε των επιθέσεων μέσα από real-time ανάλυση απειλών και ισχυρές αμυντικές υποδομές.»

Κορυφαίες Οικογένειες Κακόβουλου Λογισμικού

(Τα βέλη υποδεικνύουν τη μεταβολή στη σειρά κατάταξης σε σύγκριση με τον Απρίλιο)

1. ↔ FakeUpdates Το FakeUpdates (γνωστό και ως SocGholish) είναι ένα downloader malware που εντοπίστηκε για πρώτη φορά το 2018. Διαδίδεται μέσω drive-by downloads σε παραβιασμένες ή κακόβουλες ιστοσελίδες, παραπλανώντας τους χρήστες να εγκαταστήσουν μια ψεύτικη ενημέρωση του browser. Το συγκεκριμένο malware συνδέεται με τη ρωσική ομάδα hacking Evil Corp και χρησιμοποιείται για την εγκατάσταση δευτερευόντων κακόβουλων φορτίων μετά την αρχική μόλυνση.

2. ↔ Remcos Το Remcos είναι ένα Remote Access Trojan (RAT) που παρατηρήθηκε για πρώτη φορά το 2016 και συχνά διανέμεται μέσω κακόβουλων εγγράφων σε phishing καμπάνιες. Έχει σχεδιαστεί για να παρακάμπτει τα μηχανισμούς ασφαλείας των Windows, όπως το UAC, επιτρέποντας την εκτέλεση κακόβουλου λογισμικού με αυξημένα δικαιώματα. Πρόκειται για ένα ευέλικτο εργαλείο στα χέρια των κυβερνοεγκληματιών.

3. ↑ AndroxGh0st Το AndroxGh0st είναι κακόβουλο λογισμικό βασισμένο σε Python, που στοχεύει εφαρμογές που χρησιμοποιούν το Laravel PHP framework. Σαρώνει για εκτεθειμένα αρχεία .env που περιέχουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια πρόσβασης σε υπηρεσίες όπως AWS, Twilio, Office 365 και SendGrid. Χρησιμοποιεί ένα botnet για τον εντοπισμό τέτοιων ιστοσελίδων και την εξαγωγή εμπιστευτικών δεδομένων. Μόλις αποκτήσει πρόσβαση, μπορεί να εγκαταστήσει επιπλέον κακόβουλο λογισμικό, να δημιουργήσει backdoors και να εκμεταλλευτεί πόρους cloud για δραστηριότητες όπως το cryptocurrency mining.

Κορυφαίες Ομάδες Ransomware

Το ransomware εξακολουθεί να κυριαρχεί στο τοπίο του κυβερνοεγκλήματος. Τον Μάιο, η SafePay αναδεικνύεται ως η πλέον σημαντική απειλή ransomware, εκπροσωπώντας μια νέα γενιά επιτιθέμενων που στοχεύουν τόσο μεγάλες επιχειρήσεις όσο και μικρότερες εταιρείες. Οι τακτικές που χρησιμοποιούν οι ομάδες ransomware εξελίσσονται διαρκώς, ενώ ο ανταγωνισμός μεταξύ τους εντείνεται.

1. SafePay Η SafePay είναι μια ομάδα ransomware που παρατηρήθηκε για πρώτη φορά τον Νοέμβριο του 2024, με ενδείξεις πιθανής σύνδεσης με τη Ρωσία. Λειτουργεί με το μοντέλο διπλού εκβιασμού (double extortion), κρυπτογραφώντας τα αρχεία των θυμάτων και ταυτόχρονα αποσπώντας ευαίσθητα δεδομένα, ασκώντας έτσι επιπρόσθετη πίεση για την καταβολή λύτρων. Αν και δεν λειτουργεί ως Ransomware-as-a-Service (RaaS), έχει καταγράψει εντυπωσιακά μεγάλο αριθμό θυμάτων. Το κεντρικοποιημένο και εσωτερικά διαχειριζόμενο μοντέλο της οδηγεί σε συνεπή χρήση τακτικών, τεχνικών και διαδικασιών (TTPs), με στοχευμένες επιθέσεις.

2. Qilin (γνωστό και ως Agenda) Το Qilin είναι μια εγκληματική επιχείρηση ransomware-as-a-service, η οποία συνεργάζεται με «συνεργάτες» (affiliates) για την κρυπτογράφηση και εξαγωγή δεδομένων από οργανισμούς, απαιτώντας λύτρα για την αποκατάστασή τους. Εντοπίστηκε πρώτη φορά τον Ιούλιο του 2022 και είναι ανεπτυγμένο σε γλώσσα Golang. Το Qilin στοχεύει κυρίως μεγάλους οργανισμούς και επιχειρήσεις υψηλής αξίας, με έμφαση στους τομείς υγείας και εκπαίδευσης. Οι επιθέσεις ξεκινούν συχνά μέσω phishing emails με κακόβουλα links, μέσω των οποίων αποκτάται πρόσβαση στο δίκτυο του οργανισμού. Έπειτα, πραγματοποιείται πλευρική κίνηση (lateral movement) για τον εντοπισμό κρίσιμων δεδομένων προς κρυπτογράφηση.

3. Play (ή PlayCrypt) Το Play Ransomware εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022 και έχει στοχεύσει ένα ευρύ φάσμα επιχειρήσεων και κρίσιμων υποδομών σε Βόρεια, Νότια Αμερική και Ευρώπη, επηρεάζοντας περίπου 300 οργανισμούς μέχρι τον Οκτώβριο του 2023. Συνήθως αποκτά πρόσβαση μέσω παραβιασμένων έγκυρων λογαριασμών ή εκμεταλλευόμενo ευπάθειες που δεν έχουν διορθωθεί – όπως σε Fortinet SSL VPNs. Μόλις εισέλθει στο σύστημα, χρησιμοποιεί τεχνικές τύπου “living-off-the-land” (LOLBins), για την εξαγωγή δεδομένων και την υποκλοπή διαπιστευτηρίων.

Τα παραπάνω δεδομένα βασίζονται σε αναλύσεις από ransomware “shame sites” που διατηρούν ομάδες ransomware διπλού εκβιασμού.

Κορυφαία Κακόβουλα Λογισμικά για Κινητές Συσκευές

1. ↔ Anubis- Το Anubis είναι ένα ευέλικτο banking trojan που πρωτοεμφανίστηκε σε συσκευές Android και έχει εξελιχθεί ώστε να περιλαμβάνει προηγμένες δυνατότητες, όπως η παράκαμψη του multi-factor authentication (MFA) μέσω υποκλοπής SMS με κωδικούς OTP, keylogging, ηχογράφηση, καθώς και λειτουργίες ransomware. Διανέμεται συχνά μέσω κακόβουλων εφαρμογών στο Google Play Store και αποτελεί μία από τις πιο διαδεδομένες οικογένειες mobile malware. Επιπλέον, διαθέτει χαρακτηριστικά remote access trojan (RAT), επιτρέποντας ευρεία παρακολούθηση και απομακρυσμένο έλεγχο των μολυσμένων συστημάτων.

2. ↔ AhMyth-Το AhMyth είναι ένα remote access trojan (RAT) που στοχεύει συσκευές Android, μεταμφιεσμένο συνήθως σε νόμιμες εφαρμογές, όπως screen recorders, παιχνίδια ή εργαλεία για κρυπτονομίσματα. Μόλις εγκατασταθεί, αποκτά εκτεταμένα δικαιώματα για να διατηρείται ενεργό μετά από επανεκκινήσεις και να εξάγει ευαίσθητες πληροφορίες, όπως τραπεζικά στοιχεία, MFA κωδικούς, passwords και wallets. Περιλαμβάνει keylogging, λήψη screenshot, πρόσβαση σε κάμερα και μικρόφωνο, καθώς και υποκλοπή SMS, καθιστώντας το ιδιαίτερα επικίνδυνο.

3. ↑ Necro-Το Necro είναι κακόβουλο λογισμικό για Android που λειτουργεί ως downloader, ανακτώντας και εκτελώντας επικίνδυνα modules κατ’ εντολή των δημιουργών του. Έχει εντοπιστεί σε δημοφιλείς εφαρμογές στο Google Play αλλά και σε τροποποιημένες εκδόσεις εφαρμογών σε ανεπίσημες πλατφόρμες όπως Spotify, WhatsApp και Minecraft. Το Necro μπορεί να προβάλλει και να κάνει κλικ σε αόρατες διαφημίσεις, να κατεβάζει εκτελέσιμα αρχεία και να εγκαθιστά τρίτες εφαρμογές. Μπορεί επίσης να ανοίγει κρυφά παράθυρα για την εκτέλεση JavaScript και να εγγράφει χρήστες σε ανεπιθύμητες επί πληρωμή υπηρεσίες, ενώ χρησιμοποιεί τις συσκευές ως proxies για εγκληματικά botnets.

Κλάδοι με τις Περισσότερες Επιθέσεις – Μάιος 2025

Ο τομέας της εκπαίδευσης παραμένει ο πιο στοχοποιημένος για τον Μάιο του 2025, με τους κλάδους δημόσιας διοίκησης και τηλεπικοινωνιών να ακολουθούν. Οι επιθέσεις εστιάζουν σε τομείς κρίσιμων υποδομών και μεγάλου αριθμού χρηστών, καθιστώντας τους ιδιαίτερα ευάλωτους σε ποικίλες απειλές.

ΕκπαίδευσηΔημόσιος ΤομέαςΤηλεπικοινωνίες

Τα δεδομένα του Μαΐου καταγράφουν την περαιτέρω άνοδο πολύπλοκων, πολυεπίπεδων εκστρατειών κακόβουλου λογισμικού. Η SafePay αναδεικνύεται σε κορυφαία απειλή τύπου ransomware, ενώ το FakeUpdates διατηρεί την κυριαρχία του ως το πιο διαδεδομένο malware παγκοσμίως. Παράλληλα, η στοχοποίηση του Lumma infostealer καταδεικνύει τη μεταβαλλόμενη φύση του τοπίου των κυβερνοαπειλών. Η συνεχής στοχοποίηση του τομέα της εκπαίδευσης ενισχύει την ανάγκη για άμεση υιοθέτηση πολυεπίπεδων, προληπτικών στρατηγικών ασφάλειας από τους οργανισμούς.

Για περισσότερες πληροφορίες και το πλήρες Global Threat Index Μαΐου 2025, επισκεφθείτε το Check Point Blog.