Το FakeUpdates στην κορυφή της λίστας κυβερνοαπειλών για τον Απρίλιο 2025

Η Check Point Software Technologies Ltd., κορυφαίος πάροχος πλατφόρμας κυβερνοασφάλειας που βασίζεται σε AI και παρέχεται μέσω cloud, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Απρίλιο του 2025. Το FakeUpdates παραμένει το πιο διαδεδομένο κακόβουλο λογισμικό αυτόν τον μήνα, επηρεάζοντας το 6% των οργανισμών παγκοσμίως, ακολουθούμενο στενά από τα Remcos και AgentTesla

Για τον Απρίλιο, οι ερευνητές αποκάλυψαν μια πολύπλοκη εκστρατεία κακόβουλου λογισμικού

πολλαπλών σταδίων που παραδίδει τα AgentTesla, Remcos και Xloader (μια εξέλιξη του FormBook). Η επίθεση ξεκινά με phishing emails που παρουσιάζονται ως επιβεβαιώσεις παραγγελιών και παρασύρουν τα θύματα να ανοίξουν ένα κακόβουλο 7-Zip αρχείο. Αυτό το αρχείο περιέχει ένα κωδικοποιημένο αρχείο JScript (.JSE) που εκτελεί ένα Base64-encoded PowerShell script, το οποίο εκτελεί ένα δεύτερο στάδιο εκτελέσιμου αρχείου βασισμένο σε .NET ή AutoIt. Το τελικό κακόβουλο λογισμικό εγχέεται σε νόμιμες διαδικασίες των Windows όπως το RegAsm.exe ή το RegSvcs.exe, αυξάνοντας σημαντικά την αθέατη λειτουργία και την αποφυγή ανίχνευσης.

Τα ευρήματα αυτά αντικατοπτρίζουν μια αξιοσημείωτη τάση στο κυβερνοέγκλημα: τη σύγκλιση του κακόβουλου λογισμικού με την προηγμένη τεχνογνωσία. Εργαλεία που κάποτε πωλούνταν ανοιχτά και με χαμηλό κόστος, όπως το AgentTesla και το Remcos, ενσωματώνονται πλέον σε πολύπλοκες αλυσίδες παράδοσης που μιμούνται τις τακτικές των κρατικά υποστηριζόμενων παραγόντων – θολώνοντας τα όρια μεταξύ απειλών με οικονομικά και πολιτικά κίνητρα.

Ο Lotem Finkelstein, διευθυντής του τμήματος Threat Intelligence της Check Point Software, σχολίασε: «Αυτή η τελευταία εκστρατεία αποτελεί παράδειγμα της αυξανόμενης πολυπλοκότητας των απειλών στον κυβερνοχώρο. Οι επιτιθέμενοι τοποθετούν κωδικοποιημένα σενάρια, νόμιμες διαδικασίες και ασαφείς αλυσίδες εκτέλεσης για να παραμείνουν απαρατήρητοι. Αυτό που κάποτε θεωρούσαμε κακόβουλο λογισμικό χαμηλού επιπέδου είναι πλέον όπλο σε προηγμένες επιχειρήσεις. Οι οργανισμοί πρέπει να υιοθετήσουν μια προσέγγιση με προτεραιότητα την πρόληψη, η οποία ενσωματώνει πληροφορίες απειλών σε πραγματικό χρόνο, τεχνητή νοημοσύνη και ανάλυση συμπεριφοράς.»

Top Malware Families

(Τα βέλη δείχνουν την αλλαγή στην κατάταξη σε σύγκριση με τον Μάρτιο.)

↔  FakeUpdates – Το Fakeupdates (AKA SocGholish) είναι ένα κακόβουλο λογισμικό λήψης που ανακαλύφθηκε αρχικά το 2018. Διαδίδεται μέσω drive-by λήψεων σε εκτεθειμένους ή κακόβουλους ιστότοπους, προτρέποντας τους χρήστες να εγκαταστήσουν μια ψεύτικη ενημέρωση του προγράμματος περιήγησης. Το κακόβουλο λογισμικό Fakeupdates συνδέεται με μια ρωσική ομάδα hacking Evil Corp και χρησιμοποιείται για την παράδοση διαφόρων δευτερευόντων ωφέλιμων φορτίων μετά την αρχική μόλυνση. (Επίπτωση: 6%).↔  Remcos – Το Remcos είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που παρατηρήθηκε για πρώτη φορά το 2016 και συχνά διανέμεται μέσω κακόβουλων εγγράφων σε εκστρατείες phishing. Έχει σχεδιαστεί για να παρακάμπτει τους μηχανισμούς ασφαλείας των Windows, όπως το UAC, και να εκτελεί κακόβουλο λογισμικό με αυξημένα προνόμια, καθιστώντας το ένα ευέλικτο εργαλείο για τους φορείς απειλών. (Επίπτωση: 3%).↔ AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT (Trojan απομακρυσμένης πρόσβασης) που λειτουργεί ως keylogger και κλέφτης κωδικών πρόσβασης. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου και το πρόχειρο του συστήματος του θύματος και μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποκρύπτει τα διαπιστευτήρια που εισάγονται για διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν $15 – $69 για άδειες χρήσης (αντίκτυπος: 3%).

Κορυφαίες ομάδες Ransomware

Δεδομένα που βασίζονται σε πληροφορίες από “shame sites”  ransomware, τα οποία διαχειρίζονται ομάδες ransomware διπλού εκβιασμού. Η Akira είναι η πιο διαδεδομένη ομάδα ransomware αυτό το μήνα, υπεύθυνη για το 11% των δημοσιευμένων επιθέσεων, ακολουθούμενη από τις SatanLock και Qilin με 10% η καθεμία.

Akira – Το Akira Ransomware, το οποίο αναφέρθηκε για πρώτη φορά στις αρχές του 2023, στοχεύει συστήματα Windows και Linux. Χρησιμοποιεί συμμετρική κρυπτογράφηση με CryptGenRandom() και Chacha 2008 για την κρυπτογράφηση αρχείων και μοιάζει με το ransomware Conti v2 που διέρρευσε. Το Akira διανέμεται με διάφορα μέσα, συμπεριλαμβανομένων μολυσμένων συνημμένων email και exploits σε τελικά σημεία VPN. Μετά τη μόλυνση, κρυπτογραφεί δεδομένα και προσθέτει μια επέκταση «. akira» στα ονόματα των αρχείων, και στη συνέχεια παρουσιάζει ένα σημείωμα λύτρων που απαιτεί πληρωμή για την αποκρυπτογράφηση.SatanLock – Η SatanLock είναι μια νέα ομάδα με δημόσια δραστηριότητα από τις αρχές Απριλίου. Έχει δημοσιεύσει 67 θύματα, αλλά όπως συμβαίνει με πολλούς άλλους νέους φορείς, πάνω από το 65% αυτών έχουν ήδη αναφερθεί από άλλους φορείςQilin – Το Qilin, που αναφέρεται επίσης ως Agenda, είναι μια εγκληματική επιχείρηση ransomware-as-a-service που συνεργάζεται με θυγατρικές εταιρείες για την κρυπτογράφηση και την απομόνωση δεδομένων από οργανισμούς που έχουν εκτεθεί, ζητώντας στη συνέχεια λύτρα. Αυτή η παραλλαγή ransomware εντοπίστηκε για πρώτη φορά τον Ιούλιο του 2022 και αναπτύσσεται σε γλώσσα Golang. Η Agenda είναι γνωστή για τη στόχευση μεγάλων επιχειρήσεων και οργανισμών υψηλής αξίας, με ιδιαίτερη έμφαση στους τομείς της υγειονομικής περίθαλψης και της εκπαίδευσης. Το Qilin συνήθως διεισδύει στα θύματα μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing που περιέχουν κακόβουλους συνδέσμους για να αποκτήσει πρόσβαση στα δίκτυά τους και να εξαφανίσει ευαίσθητες πληροφορίες. Μόλις εισέλθει, το Qilin κινείται συνήθως πλευρικά μέσω της υποδομής του θύματος, αναζητώντας κρίσιμα δεδομένα προς κρυπτογράφηση.

Top Mobile Malware

↔ Anubis – Το Anubis είναι ένα ευέλικτο τραπεζικό trojan που ξεκίνησε σε συσκευές Android και έχει εξελιχθεί ώστε να περιλαμβάνει προηγμένες δυνατότητες όπως η παράκαμψη της πολυπαραγοντικής αυθεντικοποίησης (MFA) μέσω της υποκλοπής των κωδικών μιας χρήσης (OTP) που αποστέλλονται μέσω SMS, καταγραφή πληκτρολογήσεων, ηχογράφηση και λειτουργίες ransomware. Συχνά διανέμεται μέσω κακόβουλων εφαρμογών στο Google Play Store και έχει γίνει μία από τις πιο διαδεδομένες οικογένειες κακόβουλου λογισμικού για κινητά. Επιπλέον, το Anubis περιλαμβάνει δυνατότητες απομακρυσμένου ελέγχου (RAT), επιτρέποντας εκτεταμένη παρακολούθηση και έλεγχο των μολυσμένων συστημάτων.↑ AhMyth – Το AhMyth είναι ένα trojan απομακρυσμένης πρόσβασης (RAT) που στοχεύει συσκευές Android, συνήθως μεταμφιεσμένο ως νόμιμες εφαρμογές όπως καταγραφείς οθόνης, παιχνίδια ή εργαλεία κρυπτονομισμάτων. Μόλις εγκατασταθεί, αποκτά εκτεταμένα δικαιώματα για να παραμένει μετά την επανεκκίνηση και να εξάγει ευαίσθητες πληροφορίες όπως τραπεζικά διαπιστευτήρια, λεπτομέρειες πορτοφολιού κρυπτονομισμάτων, κωδικούς πολυπαραγοντικής αυθεντικοποίησης (MFA) και κωδικούς πρόσβασης. Το AhMyth επιτρέπει επίσης την καταγραφή πληκτρολογήσεων, την καταγραφή οθόνης, την πρόσβαση στην κάμερα και το μικρόφωνο και την υποκλοπή SMS, καθιστώντας το ένα ευέλικτο εργαλείο για κλοπή δεδομένων και άλλες κακόβουλες δραστηριότητες.↑ Hydra – Το Hydra είναι ένα τραπεζικό trojan σχεδιασμένο να κλέβει τραπεζικά διαπιστευτήρια ζητώντας από τα θύματα να ενεργοποιήσουν επικίνδυνα δικαιώματα και πρόσβαση κάθε φορά που εισέρχονται σε οποιαδήποτε τραπεζική εφαρμογή.

April’s data reveals a growing use of stealthy, multi-stage malware campaigns and a continued focus on sectors with lower defenses. With FakeUpdates remaining the most prevalent threat and new ransomware actors like SatanLock emerging, organizations must prioritize proactive, layered security to stay ahead of evolving attacks.

Κορυφαία επιτιθέμενες βιομηχανίες παγκοσμίως

Για τρίτο συνεχόμενο μήνα, ο τομέας της εκπαίδευσης ήταν ο πιο στοχευμένος κλάδος, λόγω της ευρείας βάσης χρηστών και της συνήθως ασθενέστερης κυβερνοασφάλειας. Ακολούθησαν η κυβέρνηση και οι τηλεπικοινωνίες, αντανακλώντας τη συνεχιζόμενη εστίαση σε κρίσιμες υποδομές και δημόσιες υπηρεσίες, ιδίως σε περιοχές υψηλού κινδύνου ή ταχείας ψηφιοποίησης.

1. Εκπαίδευση

2. Κυβέρνηση

3. Τηλεπικοινωνίες

Τα στοιχεία του Απριλίου αποκαλύπτουν μια αυξανόμενη χρήση μυστικών εκστρατειών κακόβουλου λογισμικού πολλαπλών σταδίων και μια συνεχιζόμενη εστίαση σε τομείς με χαμηλότερη άμυνα. Με το FakeUpdates να παραμένει η πιο διαδεδομένη απειλή και νέους φορείς ransomware όπως το SatanLock να αναδύονται, οι οργανισμοί πρέπει να δώσουν προτεραιότητα στην προληπτική, πολυεπίπεδη ασφάλεια για να παραμείνουν μπροστά από τις εξελισσόμενες επιθέσεις.

AgentTesla: Πρωταθλητής των κυβερνοαπειλών στην Ελλάδα – Πώς διαμορφώνεται ο χάρτης των κακόβουλων λογισμικών παγκοσμίως

To κακόβουλο λογισμικό AgentTesla αναδεικνύεται ως η μεγαλύτερη απειλή για την ελληνική ψηφιακή πραγματικότητα, καθώς ευθύνεται για το 5,11% των εντοπισμένων επιθέσεων στη χώρα, ξεπερνώντας κατά πολύ τον παγκόσμιο μέσο όρο του (3,52%). Ακολουθούν οι Remcos, Formbook και AsyncRat, όλα με ποσοστά άνω του 4%, δείχνοντας ότι τα εργαλεία απομακρυσμένης πρόσβασης και οι πληροφοριοκλέπτες έχουν βρει εύφορο έδαφος στη χώρα μας. Ενδιαφέρον προκαλεί η διαφορά σε σύγκριση με τις παγκόσμιες τάσεις: ενώ διεθνώς κυριαρχεί το FakeUpdates (6,37%), στην Ελλάδα καταγράφεται μειωμένη παρουσία του (3,83%), γεγονός που αποτυπώνει διαφορετικά πρότυπα επιθέσεων. Απειλές όπως το Formbook και το εξειδικευμένο Injuke εμφανίζουν υπερδιπλάσια ποσοστά σε σχέση με τον διεθνή μέσο όρο, υποδηλώνοντας στοχευμένες επιθέσεις ή μεγαλύτερη ευαλωτότητα σε τοπικό επίπεδο. Το ελληνικό τοπίο κυβερνοαπειλών φαίνεται να αποκλίνει από τα παγκόσμια δεδομένα, καθιστώντας επιτακτική την ανάγκη για στρατηγικές άμυνας που λαμβάνουν υπόψη τις ιδιαίτερες προκλήσεις της εγχώριας αγοράς.

Για τον πλήρη Παγκόσμιο Δείκτη Απειλών Απριλίου 2025 και πρόσθετες πληροφορίες, επισκεφθείτε το Blog της Check Point.