Команда исследователей Check Point Research опубликовала отчет Global Threat Index с самыми активными угрозами в сентябре 2020 года. Исследователи отметили, что обновленная версия вредоносного ПО Valak впервые вошла в топ самых распространенных вредоносных программ в сентябре, заняв 9-е место.
Впервые Valak обнаружили в конце 2019 года. Сейчас Valak представляет собой сложную угрозу -- ранее он классифицировался как загрузчик вредоносных программ. Но в последние месяцы появились новые варианты со значительными функциональными изменениями. Они позволяют Valak быть полноценным инфостилером, который способен атаковать как отдельных людей, так и организации. Новая версия Valak может красть информацию из почтовых систем Microsoft Exchange, например такую, как учетные данные пользователей и сертификаты домена. В сентябре Valak широко распространялся через спам-кампании, содержащие вредоносные файлы .doc.
«Мы видим, что злоумышленники постоянно работают над усовершенствованием вредоносного ПО, которое ранее уже успешно использовали, –– объясняет Александр Савушкин, региональный директор по развитию бизнеса Check Point Software Technologies в Украине, Грузии и странах СНГ. –– Qbot, который попал в топ-лист в августе (и которого активно эксплуатировали в сентябре) и новая версия Valak подтверждают это. Компаниям необходимо заранее подготовиться и внедрить надежную защиту. Также мы рекомендуем регулярно напоминать своим сотрудникам о том, как может заразиться компания, тренировать их внимательность. Можно попросить их, чтобы они были очень осторожными и не открывали электронные письма, если их что-то настораживает».
Самое активное вредоносное ПО в сентябре 2020 в Украине
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Ramnit — модульный банковский троян, впервые обнаруженный в 2010 году. Ramnit крадет информацию о веб-сессиях, предоставляя операторам доступ к учетным данным всех сервисов, используемых жертвой, включая банковские счета, а также корпоративные и социальные сети
- RigEK –– Rig содержит эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
Самое активное вредоносное ПО в сентябре 2020 в мире
В этом месяце Emotet остается самым популярным вредоносным ПО, затрагивая 14% организаций в мире. На втором и третьем мест Trickbot (4%) и Dridex (3%), соответственно.
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- Dridex — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
Самые распространенные уязвимости в сентябре 2020
В этом месяце «Удаленное выполнение кода MVPower DVR» стало наиболее распространенной уязвимостью, затронувшей 46% организаций во всем мире. Уязвимости «Обход аутентификации роутера Dasan GPON» и «OpenSSL TLS DTLS Heartbeat Information Disclosure», затронули 42% и 36% организаций по всему миру соответственно.
- Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
- Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
Самые активные мобильные угрозы в сентябре 2020
В этом месяце xHelper стал самым популярным вредоносным ПО для мобильных устройств, за ним следуют Xafecopy и Hiddad.
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.
- Xafekopy – троян Xafecopy маскируется под полезные приложения вроде Battery Master, но фактически тайно загружает на устройство вредоносный код. После активации приложения вредоносная программа Xafecopy переходит на веб-страницы с биллингом по протоколу беспроводного приложения (WAP) -- формой мобильного платежа, который взимается непосредственно со счета мобильного телефона пользователя.
- Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 2,5 миллиардов веб-сайтов; 500 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.
Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ, по данным Global Threat Index за август, можно найти в блоге Check Point.