Μεγάλες απειλές στον κυβερνοχώρο αποκαλύφθηκαν τον Μάρτιο 2025

Ευγένιος Λόαρης

Νέα

Μάρτιος 2025 έχει δει μια σημαντική εξέλιξη στις τακτικές απειλής στον κυβερνοχώρο, με ομάδες ransomware να υιοθετούν νέες τεχνικές και να επεκτείνουν τις δραστηριότητές τους. Οι ερευνητές ασφαλείας έχουν εντοπίσει αρκετές απειλές υψηλής επίπτωσης αυτό το μήνα, συμπεριλαμβανομένης της μετατόπισης μιας εταιρικής κατασκοπείας σε ransomware, Νέα εργαλεία φοροδιαφυγής EDR, εκλεπτυσμένες επιθέσεις εθνικού κράτους, και παραπλανητικές εκστρατείες ηλεκτρονικού ψαρέματος που στοχεύουν τις επιχειρήσεις. Αυτή η ολοκληρωμένη ανάλυση καλύπτει τις πιο σημαντικές εξελίξεις στον κυβερνοχώρο που πρέπει να γνωρίζουν οι επαγγελματίες και οι επιχειρήσεις σε θέματα ασφάλειας.

Σημαντικές απειλές για την ασφάλεια στον κυβερνοχώρο – Μάρτιος 2025 Σημαντικές απειλές για την ασφάλεια στον κυβερνοχώρο – Μάρτιος 2025 Εκτίμηση επιπτώσεων σε διάφορους τομείς Χρηματοοικονομικές Υπηρεσίες Υγειονομική περίθαλψη Κυβέρνηση Βιομηχανοποίηση IT/MSP Ψηλά Μέσον Χαμηλός QWCrypt Ransomware EDRKillShifter Εργαλείο SparrowDoor Πίσω πόρτα Ψεύτικο αρχείο Μετατροπείς Ψεύτικος Semrush Phishing

Πηγή: Αναλύθηκαν δεδομένα από Ερευνητική Μονάδα Απειλών Acronis σε συνδυασμό με εκτιμήσεις επιπτώσεων του κλάδου

Πίνακας περιεχομένων

Το RedCurl εξελίσσεται: Ο Όμιλος Εταιρικής Κατασκοπείας εγκαινιάζει την πρώτη καμπάνια Ransomware με το QWCrypt

Τον Μάρτιο 26, 2025, ερευνητές ασφαλείας εντόπισαν ότι η διαβόητη ομάδα hacking RedCurl (επίσης γνωστό ως Earth Kapre και Red Wolf) έχει μετατοπιστεί από τις παραδοσιακές της δραστηριότητες εταιρικής κατασκοπείας στην ανάπτυξη ransomware για πρώτη φορά. Αυτός ο στρατηγικός άξονας σηματοδοτεί μια σημαντική εξέλιξη στην τακτική της ομάδας, τεχνικές, και διαδικασίες (TTP).

Τεχνική Ανάλυση του QWCrypt Ransomware

Το νέο στέλεχος ransomware που εντοπίστηκε, με το όνομα QWCrypt, στοχεύει συγκεκριμένα εικονικές μηχανές, καθιστώντας το ιδιαίτερα επικίνδυνο για οργανισμούς με εικονική υποδομή. Η αλυσίδα επιθέσεων του κακόβουλου λογισμικού ξεκινά με εξελιγμένα emails spear-phishing που περιέχουν θέλγητρα με θέμα HR. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου παραδίδουν κακόβουλα αρχεία PDF και ISO που φορτώνουν κακόβουλο λογισμικό μέσω ενός νόμιμου εκτελέσιμου αρχείου Adobe, αξιοποίηση αξιόπιστων διαδρομών εφαρμογών για αποφυγή εντοπισμού.

Φάση επίθεσης Τεχνικές λεπτομέρειες
Αρχική Πρόσβαση Μηνύματα ηλεκτρονικού ψαρέματος με δόρυ με θέλγητρα με θέμα HR που περιέχουν κακόβουλα αρχεία PDF και αρχεία ISO
Εκτέλεση Παράπλευρη φόρτωση κακόβουλου λογισμικού μέσω του νόμιμου εκτελέσιμου αρχείου Adobe
επιμονή Τροποποιήσεις μητρώου και προγραμματισμένες εργασίες που δημιουργούνται με δικαιώματα συστήματος
Πλευρική Κίνηση Κλοπή διαπιστευτηρίων και εκμετάλλευση μη επιδιορθωμένων τρωτών σημείων
Σύγκρουση Κρυπτογράφηση εικονικών μηχανών, καθιστώντας εκτός λειτουργίας ολόκληρες υποδομές

Ο σχεδιασμός του ransomware φαίνεται να μιμείται στοιχεία από καθιερωμένες ομάδες όπως το LockBit και το HardBit, μπορεί να προκαλέσει σύγχυση στις προσπάθειες απόδοσης. Ιδιαίτερα, Οι ερευνητές δεν έχουν εντοπίσει έναν αποκλειστικό ιστότοπο διαρροής που να σχετίζεται με αυτές τις επιθέσεις, εγείροντας ερωτήματα σχετικά με το εάν η ζήτηση λύτρων είναι γνήσια ή εάν η ανάπτυξη ransomware χρησιμεύει ως απόσπαση της προσοχής από τις παραδοσιακές δραστηριότητες κατασκοπείας της ομάδας.

Στόχοι και Γεωγραφική Κατανομή

Το RedCurl έχει ιστορικά στοχεύσει οργανισμούς στον Καναδά, Γερμανία, Νορβηγία, το Ηνωμένο Βασίλειο, και των Ηνωμένων Πολιτειών. Η στροφή της ομάδας σε λειτουργίες ransomware επεκτείνει δυνητικά το προφίλ απειλής της από κλοπή δεδομένων έως λειτουργική διακοπή σε αυτές τις περιοχές.

EDRKillShifter: Το Εργαλείο Αποφυγής Ασφαλείας του RansomHub συνδέει πολλές ομάδες εγκλήματος στον κυβερνοχώρο

Σε μια σημαντική εξέλιξη που παρακολουθείται όλο τον Μάρτιο, ερευνητές ασφαλείας ανακάλυψαν συνδέσεις μεταξύ τριών χωριστών ομάδων εγκλήματος στον κυβερνοχώρο μέσω της χρήσης ενός κοινού εργαλείου διαφυγής ασφαλείας που ονομάζεται EDRKillShifter. Αυτό το εργαλείο, που αναπτύχθηκε αρχικά για θυγατρικές του RansomHub ransomware-as-a-service (RaaS) λειτουργία, εκμεταλλεύεται ευάλωτα προγράμματα οδήγησης για να απενεργοποιήσει τον εντοπισμό και την απόκριση τελικού σημείου (EDR) λογισμικό.

Δυνατότητες εργαλείου και τεχνικές λεπτομέρειες

Το EDRKillShifter αντιπροσωπεύει ένα προηγμένο “φέρτε τον δικό σας ευάλωτο οδηγό” (BYOVD) προσέγγιση για την απενεργοποίηση της άμυνας ασφαλείας. Το εργαλείο στοχεύει νόμιμα αλλά ευάλωτα προγράμματα οδήγησης συστήματος, που τα εκμεταλλεύονται για να τερματίσουν τα προστατευτικά μέτρα εντός του λειτουργικού συστήματος. Όταν αναπτυχθεί με επιτυχία, τυφλώνει αποτελεσματικά τα εργαλεία ασφαλείας σε επακόλουθες κακόβουλες δραστηριότητες.

Ένας νέος ηθοποιός απειλής, ονομάστηκε QuadSwitcher, έχει παρατηρηθεί χρησιμοποιώντας EDRKillShifter σε επιθέσεις που αποδίδονται σε πολλαπλές ομάδες ransomware, συμπεριλαμβανομένου:

  • RansomHub
  • Παίξτε ransomware
  • Medusa ransomware
  • BianLian ransomware

Οι ερευνητές επιβεβαίωσαν τη σύνδεση μεταξύ αυτών των ομάδων αναλύοντας κοινόχρηστα δείγματα EDRKillShifter και υποδομή διακομιστή εντολών και ελέγχου, επιδεικνύοντας τον τρόπο κοινής χρήσης εργαλείων σε διαφορετικές λειτουργίες ransomware.

Αμυντικές συστάσεις

Δεδομένου ότι αυτές οι επιθέσεις απαιτούν πρόσβαση διαχειριστή, οι οργανισμοί μπορούν να εφαρμόσουν διάφορα προληπτικά μέτρα:

  1. Εφαρμογή λίστας αποκλεισμού προγραμμάτων οδήγησης για γνωστά ευάλωτα προγράμματα οδήγησης
  2. Χρησιμοποιήστε τη λειτουργία λίστας αποκλεισμού προγραμμάτων οδήγησης του Windows Defender για προστασία
  3. Παρακολούθηση συμβάντων φόρτωσης προγραμμάτων οδήγησης, ιδιαίτερα εκείνων που σχετίζονται με εργαλεία τρίτων
  4. Αναπτύξτε προηγμένες λύσεις EDR που μπορούν να ανιχνεύσουν προσπάθειες απενεργοποίησης λογισμικού ασφαλείας
  5. Εφαρμόστε ισχυρούς ελέγχους πρόσβασης για να αποτρέψετε τους εισβολείς από το να αποκτήσουν δικαιώματα διαχειριστή

Η άνοδος των δολοφόνων EDR υπογραμμίζει μια ανησυχητική τάση στις τακτικές ransomware, καθώς οι φορείς απειλών προσαρμόζονται συνεχώς για να παρακάμπτουν όλο και πιο εξελιγμένες άμυνες ασφαλείας.

Το κινεζικό APT Group FamousSparrow εξελίσσει το Attack Toolkit με το ShadowPad

Ερευνητές ασφαλείας εντόπισαν στοχευμένες επιθέσεις κατά των Η.Π.Α. εμπορική ομάδα και ένα μεξικανικό ερευνητικό ινστιτούτο που αποδίδεται στην προηγμένη κινεζική επίμονη απειλή (ΚΑΤΑΛΛΗΛΟΣ) ομάδα FamousSparrow. Η καμπάνια, εντοπίστηκε για πρώτη φορά στις αρχές Μαρτίου 2025, περιλαμβάνει την ανάπτυξη της υπογραφής SparrowDoor backdoor της ομάδας μαζί με κακόβουλο λογισμικό ShadowPad – σηματοδοτώντας την πρώτη παρατηρούμενη εμφάνιση του FamousSparrow χρησιμοποιώντας αυτό το συγκεκριμένο εργαλείο.

Τεχνικές λεπτομέρειες της επίθεσης

Η ανάλυση της καμπάνιας αποκάλυψε δύο νέες εκδόσεις του SparrowDoor, συμπεριλαμβανομένης μιας σημαντικά βελτιωμένης αρθρωτής παραλλαγής με βελτιωμένες δυνατότητες εκτέλεσης εντολών. Η ακολουθία επίθεσης ακολουθεί ένα οικείο μοτίβο για τους φορείς του έθνους-κράτους:

  1. Αρχική Πρόσβαση: Εκμετάλλευση ξεπερασμένων ευπαθειών του Windows Server και του Microsoft Exchange Server
  2. επιμονή: Ανάπτυξη ενός εξελιγμένου κελύφους ιστού για τη διατήρηση της πρόσβασης
  3. Παράδοση ωφέλιμου φορτίου: Εγκατάσταση κακόβουλου λογισμικού SparrowDoor backdoor και ShadowPad

Η αρθρωτή έκδοση του SparrowDoor υποστηρίζει πολλαπλές προηγμένες δυνατότητες, συμπεριλαμβανομένου:

  • Καταγραφή πληκτρολόγησης για κλοπή διαπιστευτηρίων
  • Μεταφορά αρχείων για εξαγωγή δεδομένων
  • Χειρισμός της διαδικασίας για τη διατήρηση της μυστικότητας
  • Λήψη απομακρυσμένης επιφάνειας εργασίας για συλλογή οπτικής νοημοσύνης

ShadowPad, μια σπονδυλωτή κερκόπορτα που συνήθως συνδέεται με κινεζικούς φορείς απειλών που χρηματοδοτούνται από το κράτος, επεκτείνει σημαντικά τις δυνατότητες του FamousSparrow, προτείνοντας πιθανή συνεργασία ή κοινή χρήση εργαλείων μεταξύ κινεζικών ομάδων APT.

Προειδοποίηση FBI: Ψεύτικοι μετατροπείς αρχείων που κλέβουν πληροφορίες και αναπτύσσουν λογισμικό λύτρων

Το επιτόπιο γραφείο του FBI στο Ντένβερ εξέδωσε επείγουσα προειδοποίηση μετά την παρατήρηση αύξησης των αναφορών πλαστών ηλεκτρονικών μετατροπέων εγγράφων που χρησιμοποιούνται για την κλοπή ευαίσθητων πληροφοριών και την ανάπτυξη ransomware. Αυτή η προειδοποίηση, που εκδόθηκε τον Μάρτιο 20, 2025, υπογραμμίζει μια ανησυχητική τάση που στοχεύει τόσο προσωπικούς όσο και επαγγελματικούς χρήστες.

Πώς λειτουργεί η επίθεση

Οι εγκληματίες του κυβερνοχώρου δημιουργούν παραπλανητικές ιστοσελίδες που ισχυρίζονται ότι παρέχουν δωρεάν υπηρεσίες μετατροπής εγγράφων αλλά αποκρύπτουν κακόβουλες προθέσεις:

  1. Οι χρήστες που αναζητούν εργαλεία μετατροπής εγγράφων συναντούν αυτούς τους ιστότοπους, συχνά προωθούνται μέσω διαφημίσεων Google
  2. Οι ιστότοποι φαίνονται νόμιμοι και ενδέχεται να παρέχουν στην πραγματικότητα την υποσχεμένη λειτουργία μετατροπής
  3. Όταν οι χρήστες ανεβάζουν έγγραφα για μετατροπή, οι ιστότοποι εξάγουν ευαίσθητες πληροφορίες από τα περιεχόμενα του αρχείου
  4. Τα επιστρεφόμενα αρχεία που έχουν μετατραπεί περιέχουν ενσωματωμένο κακόβουλο λογισμικό που δημιουργεί απομακρυσμένη πρόσβαση
  5. Σε πιο σοβαρές περιπτώσεις, ransomware έχει αναπτυχθεί, κρυπτογράφηση των αρχείων του θύματος

Οι ερευνητές έχουν εντοπίσει πολλούς δείκτες που βοηθούν στον εντοπισμό αυτών των δόλιων τοποθεσιών μετατροπέων:

Προειδοποιητικό σημάδι Καθέκαστα
Ηλικία Τομέα Τυπικά καταχωρημένο στο παρελθόν 30 ημέρες
Πολιτική Απορρήτου Λείπουν ή εξαιρετικά ασαφείς πληροφορίες απορρήτου
Στοιχεία Επικοινωνίας Δεν υπάρχουν νόμιμα στοιχεία επικοινωνίας της επιχείρησης
Πιστοποιητικό SSL Συχνά χρησιμοποιεί δωρεάν πιστοποιητικά με ελάχιστη επικύρωση
Σχεδιασμός Ιστοσελίδας Κλωνοποίηση νόμιμων υπηρεσιών με μικρές τροποποιήσεις

Το κακόβουλο λογισμικό που παρέχεται μέσω αυτών των υπηρεσιών μπορεί να εξάγει ένα ευρύ φάσμα ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των ονομάτων, κωδικούς πρόσβασης, σπόροι κρυπτονομισμάτων, και τραπεζικά διαπιστευτήρια, οδηγώντας σε σημαντικές οικονομικές απώλειες για τα θύματα.

Αποτροπή επιθέσεων ψεύτικων μετατροπέων

Για προστασία από αυτές τις απειλές, το FBI συνιστά διάφορα προληπτικά μέτρα:

  • Χρησιμοποιήστε μόνο καθιερωμένη, αξιόπιστα εργαλεία και υπηρεσίες μετατροπής αρχείων
  • Εγκαταστήστε ολοκληρωμένο λογισμικό ασφαλείας που μπορεί να αναγνωρίσει κακόβουλους ιστότοπους
  • Επαληθεύστε τη νομιμότητα του ιστότοπου πριν ανεβάσετε ευαίσθητα έγγραφα
  • Εξετάστε το ενδεχόμενο χρήσης εργαλείων μετατροπής εκτός σύνδεσης κατά το χειρισμό ευαίσθητων πληροφοριών
  • Δημιουργήστε τακτικά αντίγραφα ασφαλείας κρίσιμων αρχείων για να ενεργοποιήσετε την ανάκτηση σε περίπτωση επίθεσης ransomware

Για επιχειρήσεις και ιδιώτες που έχουν ήδη πέσει θύματα αυτών των απατών, μια προτροπή διαδικασία αφαίρεσης κακόβουλου λογισμικού είναι απαραίτητο για τον μετριασμό πιθανών ζημιών.

Επαγγελματίες SEO Στοχοθετημένοι από εξελιγμένη καμπάνια phishing

Μια καμπάνια ηλεκτρονικού "ψαρέματος" που εντοπίστηκε πρόσφατα στοχεύει ειδικά επαγγελματίες SEO χρησιμοποιώντας ψεύτικα Semrush Google Ads που έχουν σχεδιαστεί για να κλέβουν διαπιστευτήρια λογαριασμού Google. Semrush, μια δημοφιλής πλατφόρμα SaaS που παρέχει εργαλεία για SEO, διαδικτυακή διαφήμιση, και μάρκετινγκ περιεχομένου, πλαστοπροσωπείται σε αυτήν την εξαιρετικά στοχευμένη καμπάνια.

Λεπτομέρειες και στόχοι καμπάνιας

Αναλυτές ασφαλείας πιστεύουν ότι μια ομάδα απειλών από τη Βραζιλία βρίσκεται πίσω από αυτή την εκστρατεία, η οποία στοχεύει συγκεκριμένα να συλλάβει λογαριασμούς Google Ads για την έναρξη περαιτέρω επιθέσεων κακόβουλης διαφήμισης. Η λειτουργία καταδεικνύει μια εξελιγμένη κατανόηση του οικοσυστήματος ψηφιακού μάρκετινγκ:

  1. Οι εισβολείς δημιουργούν πειστικούς ιστότοπους phishing που μιμούνται τη διεπαφή του Semrush
  2. Αυτοί οι ιστότοποι χρησιμοποιούν ονόματα τομέα παρόμοια με το Semrush αλλά με διαφορετικούς τομείς ανώτατου επιπέδου
  3. Τα θύματα αναγκάζονται να ελέγχουν την ταυτότητα μέσω “Συνδεθείτε με το Google” λειτουργικότητα
  4. Όταν εισάγονται τα διαπιστευτήρια, οι εισβολείς αποκτούν πρόσβαση στον λογαριασμό Google του θύματος
  5. Αυτή η πρόσβαση επιτρέπει την κλοπή ευαίσθητων επιχειρηματικών δεδομένων από το Google Analytics και το Google Search Console

Σε σχετική εξέλιξη, μια άλλη συνεχιζόμενη καμπάνια phishing αξιοποιεί ψεύτικες διαφημίσεις DeepSeek στα αποτελέσματα αναζήτησης Google για να προσφέρει το Heracles MSIL Trojan, ένα κακόβουλο λογισμικό κλοπής πληροφοριών που στοχεύει πορτοφόλια κρυπτονομισμάτων. Αυτή η καμπάνια χρησιμοποιεί χορηγούμενα αποτελέσματα αναζήτησης Google για να κατευθύνει τα θύματα σε κακόβουλους ιστότοπους που διανέμουν τον κλέφτη πληροφοριών.

Επιπτώσεις στον κλάδο και Πρόληψη

Αυτές οι εκστρατείες phishing υπογραμμίζουν την εξελισσόμενη φύση των στοχευμένων επιθέσεων κατά συγκεκριμένων επαγγελματικών ομάδων. Οι επαγγελματίες SEO και ψηφιακού μάρκετινγκ θα πρέπει να εφαρμόσουν πρόσθετα μέτρα ασφαλείας, συμπεριλαμβανομένου:

  • Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων σε όλους τους λογαριασμούς Google
  • Επαληθεύστε προσεκτικά τη διεύθυνση URL των σελίδων σύνδεσης πριν εισαγάγετε τα διαπιστευτήρια
  • Χρήση διαχειριστών κωδικών πρόσβασης με δυνατότητες εντοπισμού phishing
  • Δύσπιστος απέναντι στο Google Ads για υπηρεσίες λογισμικού, ακόμα και όταν εμφανίζονται στην κορυφή των αποτελεσμάτων αναζήτησης
  • Εφαρμογή εκπαίδευσης ευαισθητοποίησης για την ασφάλεια σε ολόκληρη την εταιρεία σχετικά με αυτές τις συγκεκριμένες απειλές

Οι οργανισμοί θα πρέπει επίσης να εξετάσουν την εφαρμογή ολοκληρωμένες λύσεις ασφάλειας που μπορεί να εντοπίσει και να αποκλείσει αυτόματα τις απόπειρες phishing και τις λήψεις κακόβουλου λογισμικού.

Συντονισμένη Άμυνα: Ανταπόκριση στο εξελισσόμενο τοπίο απειλών

Όπως δείχνουν αυτές οι απειλές, οι τακτικές κυβερνοεγκληματικότητας εξακολουθούν να εξελίσσονται σε πολυπλοκότητα και αντίκτυπο. Οι οργανισμοί θα πρέπει να υιοθετήσουν μια πολυεπίπεδη προσέγγιση ασφάλειας που να περιλαμβάνει:

  1. Διαχείριση ευπάθειας: Διατηρήστε ένα ενημερωμένο απόθεμα συστημάτων και εφαρμόστε τακτικές ενημερώσεις κώδικα, ιδιαίτερα για εφαρμογές που έχουν πρόσβαση στο Διαδίκτυο όπως το Microsoft Exchange.
  2. Ασφάλεια email: Αναπτύξτε προηγμένες λύσεις φιλτραρίσματος email για τον εντοπισμό και τον αποκλεισμό εξελιγμένων προσπαθειών phishing, ειδικά εκείνα που χρησιμοποιούν θέλγητρα με θέμα HR.
  3. Λύσεις EDR/XDR: Εφαρμόστε σύγχρονες πλατφόρμες προστασίας τελικών σημείων που μπορούν να ανιχνεύουν και να ανταποκρίνονται σε προσπάθειες απενεργοποίησης εργαλείων ασφαλείας.
  4. Ευαισθητοποίηση για την ασφάλεια: Διεξαγωγή τακτικής εκπαίδευσης των εργαζομένων, με ιδιαίτερη έμφαση στην αναγνώριση προσπαθειών phishing και ύποπτων ιστότοπων.
  5. Σχεδιασμός Αντιμετώπισης Συμβάντων: Αναπτύξτε και δοκιμάζετε τακτικά διαδικασίες απόκρισης συμβάντων για να διασφαλίσετε τον γρήγορο περιορισμό και την ανάκτηση σε περίπτωση παραβίασης ασφάλειας.

Η σύγκλιση των λειτουργιών ransomware, τακτικές έθνους-κράτους, και οι στοχευμένες εκστρατείες ηλεκτρονικού ψαρέματος δημιουργούν ένα απαιτητικό περιβάλλον ασφάλειας που απαιτεί επαγρύπνηση και προληπτικά μέτρα άμυνας. Με την παραμονή ενήμερων για τις αναδυόμενες απειλές και την εφαρμογή κατάλληλων ελέγχων ασφαλείας, οι οργανισμοί μπορούν να μειώσουν την έκθεσή τους σε κινδύνους σε αυτό το εξελισσόμενο τοπίο.

Για άτομα και επιχειρήσεις που ανησυχούν για πιθανές λοιμώξεις, σκεφτείτε να χρησιμοποιήσετε εργαλεία όπως Trojan Remover για να σαρώσετε και να εξαλείψετε κακόβουλο λογισμικό που μπορεί να έχει ήδη θέσει σε κίνδυνο τα συστήματά σας.

PUA:Win32/rdpwrap – Τι να κάνω?

Αφήστε ένα σχόλιο