Şirketleri hedefleyen herhangi bir kötü amaçlı yazılım fikri, kapsamın ötesine geçer. Burada Varonis Threat Labs, son yıllarda özellikle şirketlerdeki bilgileri hedef alan 9 önemli kötü amaçlı yazılım çeşidini sunuyor - çoğunlukla uzaktan erişim truva atları (RAT), bilgi hırsızları veya bankacılık truva atları.
Son derece kişiselleştirilmiş fidye yazılımlarına yönelik açık bir eğilime ek olarak, Varonis Tehdit Laboratuvarları geçen yıl sözde "ticari mal kötü amaçlı yazılımlarının" artan bir şekilde yayıldığını da fark etti. Bu terim, büyük ölçekte satın alınabilen veya ücretsiz olarak indirilebilen, bireysel kurbanlar için özelleştirilmemiş ve çeşitli farklı saldırganlar tarafından kullanılan kötü amaçlı yazılımları ifade eder. Güvenlik araştırmacılarının gözlemlerine göre, mevcut çok sayıda kötü amaçlı yazılım çeşidi arasında, özellikle aşağıdaki dokuz tanesi önemli bir rol oynamaktadır.
njRAT – Uzaktan Erişim Truva Atı (RAT)
İlk olarak 2012'nin sonlarında/2013'ün başlarında gözlemlenen njRAT, orijinal olarak siber suç çetesi Sparclyheason tarafından geliştirilen yaygın bir uzaktan erişim Truva Atı'dır (RAT). Bu RAT'ın kaynak kodu zaten Mayıs 2013'te yayınlandı. Sonuç olarak, çoğunlukla daha az bilgili siber suçlular tarafından kullanılır. Nasıl kullanılacağına dair çok sayıda kılavuz ve öğretici yer altı forumlarında ve YouTube'da yayınlandı. njRAT hala çok yaygın ve çoğunlukla spam kampanyaları aracılığıyla dağıtılıyor. Ayrıca, şüpheli kaynaklardan ve dosya paylaşım web sitelerinden indirilen meşru uygulamaların 'truva atı' haline getirilmiş' sürümlerinde de bulunur.
Diğer popüler RAT programlarına benzer şekilde njRAT, uzaktan kontrol ve izleme yeteneklerinin yanı sıra dosyaları aktarma ve çalıştırma, kayıt defterini değiştirme ve uzak bir kabuğa erişme yeteneği sunar. Buna ek olarak, RAT, bağlı mikrofonlar ve web kameraları aracılığıyla uzaktan ses ve video kaydedebilir, ayrıca keylogging ve parola çalma işlevlerini kullanabilir.
Form Kitabı (XLoader)
Formbook ilk olarak 2016'nın başlarında gözlemlendi ve 2020'de XLoader olarak yeniden adlandırıldı. Formbook, yeraltı forumlarında bir hizmet olarak kötü amaçlı yazılım olarak mevcuttur ve genellikle daha az yetenekli saldırganlar tarafından kurbanlardan kimlik bilgilerini veya diğer verileri çalmak için kullanılır.
Formbook'un yaygınlığı, muhtemelen kullanılabilirliği, düşük maliyeti ve kullanım kolaylığı nedeniyle 2021'de artmaya devam etti. Başlangıçta, Formbook yalnızca Windows'u hedefliyordu. Ancak XLoader'ın kullanıma sunulmasından bu yana Apple macOS da desteklenmektedir. Formbook, kimlik bilgilerini çalma yeteneklerine ek olarak, yükleri aktarma ve yürütme ve yeniden başlatmayı veya sistemi kapatmaya zorlama gibi bazı RAT benzeri özellikler de içerir. Bu açıdan Formbook, kötü amaçlı yükleri yaymak ve veri hırsızlığının ötesinde başka hedeflere ulaşmak için bir giriş noktası olarak da uygundur.
NanoCore - Uzaktan Erişim Truva Atı (RAT)
NanoCore ilk olarak 2013 yılında keşfedildi ve yaklaşık 25 $ karşılığında satın alınabiliyordu. "Kırık" sürümler artık yeraltı siber suçlarında da yaygın. Kötü amaçlı yazılım, modüler bir mimariyle tamamlanabilen tipik RAT işlevleri sunar. Eklentiler, işlevselliği önemli ölçüde genişletmek için kullanılabilir. Crackli ve sızdırılmış sürümlerin mevcudiyeti sayesinde NanoCore bugün hala yaygın olarak kullanılmaktadır. Dağıtım genellikle kimlik avı postaları ve virüslü korsan kopyalar aracılığıyla gerçekleşir.
Lokibot - Bilgi Hırsızı
Lokibot (Loki ve LokiPWS olarak da bilinir), ilk olarak 2015'in ortalarında ortaya çıkan ve kaynak kodu sızdırılmadan önce siber suç forumlarında 400 dolara kadar satılan bir bilgi hırsızıdır. Keylogger ve kripto para cüzdanı çalma özellikleri gibi ek modülleri destekler. Son zamanlarda, genellikle COVID-19 kimlik avı kampanyalarıyla bağlantılı olarak gözlemlenmiştir.
Remcos - Uzaktan Erişim Truva Atı (RAT)
Remcos, "meşru" bir ticari uzaktan erişim aracı olarak pazarlanmaktadır ve geliştiricileri tarafından düzenli olarak güncellenmektedir. Remcos, en yaygın Uzaktan Erişim Truva Atlarından biridir ve benzer araçlar gibi, öncelikle çok sayıda YouTube eğitiminden kötü amaçlı yazılım hakkında daha fazla bilgi edinebilen deneyimsiz saldırganları hedeflemektedir. Ancak birçok profesyonel saldırgan, kendi araçlarını geliştirmek zorunda kalmamak ve saldırılarının diğer aşamalarına konsantre olabilmek için Remcos'u da kullanır.
Remcos, standart RAT özelliklerine ek olarak, kodun birden çok ana bilgisayarda aynı anda çalışmasına izin veren bir "Uzaktan Komut Dosyası Yazma" özelliği sunar. Ayrıca, Remcos kullanıcıları geliştiricilerden ek hizmetler satın alabilirler, örn. B. kimlik avı e-postaları göndermek için bir toplu posta göndericisi ve dinamik bir DNS hizmeti. Bu, komut ve kontrol (C2) ana bilgisayarına erişimi kolaylaştıran ve saldırganların Remcos ikili dosyasını güncellemek zorunda kalmadan IP adreslerini güncellemelerine olanak tanıyan tek bir ana bilgisayar adı sağlar.
AZORult - Bilgi Hırsızı
İlk olarak 2016'nın başlarında keşfedilen AZORult, genellikle güncel konuları ele alan veya kendilerini meşru iş iletişimleri olarak gizleyen malspam kampanyaları aracılığıyla dağıtılan bir bilgi hırsızıdır. Çoğunlukla Microsoft Office belgelerini kötü amaçlı makrolarla dağıtır. Kurbanlar makroları etkinleştirdiğinde, saldırganların komuta ve kontrol altyapısı kötü amaçlı yükü indirir. Ardından, oturum açma kimlik bilgileri, ödeme kartı ayrıntıları, tarama verileri ve kripto para cüzdanları gibi hassas verileri C2'ye göndermeden ve kendisini devre dışı bırakmadan önce çalmak için AZORult'u başlatır.
AZORult genellikle, çoğu başka hedeflere sahip olan diğer saldırılarla birlikte gerçekleşir. İş iletişimleri gibi görünmeye ek olarak, çoğalma genellikle virüslü "çatlaklar" veya genellikle telif hakkı ihlaliyle ilişkilendirilen diğer şüpheli içerik yoluyla gerçekleşir.
Netwire - Uzaktan Erişim Truva Atı (RAT)
Netwire ilk olarak 2012'de tanımlandı ve çok yaygın. Uzaktan Erişim Truva Atı (RAT), genellikle sipariş onayları veya takip bildirimleri gibi görünen kimlik avı kampanyaları aracılığıyla dağıtılır. Netwire, standart RAT işlevlerine ek olarak 2016'dan beri ödeme kartlarını okuma işlevine sahiptir. Bu, özellikle mağazalardaki ödeme cihazlarını hedefler.
Netwire, tespit edilmekten kaçınmak ve araştırmaları karmaşık hale getirmek için komuta ve kontrol trafiği için özel şifreleme kullanır. Çalınan veriler iletilmeden önce şifrelenir.
Danabot - Banka Truva Atı
Danabot, başlangıçta tek bir grup tarafından kullanılan ve şimdi diğer siber suçlulara Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak satılan modüler bir bankacılık Truva Atı'dır. Başlangıçta Danabot, web enjeksiyonları yoluyla kimlik bilgilerini, kripto para birimi hesaplarını ve banka kimlik bilgilerini çalmaya odaklandı. Bununla birlikte, modüler mimari, kötü amaçlı yazılımın kolayca özelleştirilmesine ve çeşitli şekillerde kullanılmasına olanak tanır. Örneğin, RAT ve fidye yazılımı şifreleme işlevleri mevcuttur.
Ekim 2021'de, popüler UAParser.js JavaScript kitaplığı için bir NPM paketi tehlikeye atıldı ve Danabot'u bir kripto madencisiyle birlikte indirip çalıştırmak için değiştirildi. Meşru paketin haftada XNUMX ila XNUMX milyon kez indirilmesi, bir tedarik zinciri saldırısının büyük etkisini gösteriyor.
Emotet – Kötü Amaçlı Yazılım, Casus, İndirici, Fidye Yazılımı
Emotet muhtemelen en iyi bilinen kötü amaçlı programlardan biridir. Emotet başlangıçta bir bankacılık Truva Atı olarak geliştirildi. Emotet, bazı temel bilgi çalma yeteneklerini elinde tutsa da, kötü amaçlı yazılım yıllar içinde diğer kötü amaçlı yükler için bir indiriciye dönüştü. Emotet'in arkasındaki aktörler ayrıca botnet'lerini bir hizmet olarak sunarak Ryuk fidye yazılımı gibi diğer popüler tehditlerin önde gelen dağıtıcısı oldular.
Bu arada Emotet, çeşitli kolluk kuvvetleri tarafından uluslararası bir yayından kaldırma nedeniyle biraz sessizleşti. Ancak faaliyetler, bazen yeni isimler altında ve farklı takımyıldızlarda yeniden artıyor.
Daha fazlası Varonis.com'da
Varonis Hakkında 2005 yılında kuruluşundan bu yana Varonis, hem şirket içinde hem de bulutta depolanan kurumsal verileri güvenlik stratejisinin merkezine yerleştirerek çoğu BT güvenlik satıcısına farklı bir yaklaşım benimsemiştir: hassas dosyalar ve e-postalar, gizli müşteri, hasta ve hasta bilgileri Çalışan kayıtları, mali kayıtlar, stratejik ve ürün planları ve diğer fikri mülkiyet. Varonis Veri Güvenliği Platformu (DSP), verileri, hesap etkinliğini, telemetriyi ve kullanıcı davranışını analiz ederek içeriden gelen tehditleri ve siber saldırıları tespit eder, hassas, düzenlenmiş ve eskimiş verileri kilitleyerek veri güvenliği ihlallerini önler veya hafifletir ve sistemlerin güvenli durumunu korur verimli otomasyon yoluyla.,