Команда исследователей Check Point Research (CPR) представила отчет Global Threat Index о самых активных угрозах в июне 2021 года. Исследователи сообщают, что Trickbot, который занял первое место в рейтинге в мае, по-прежнему остается в топе.
Trickbot – ботнет и банковский троян, который может красть финансовые и учетные данные, личную информацию, распространяться в сети сам и загружать программы-вымогатели. В прошлом месяце команда Check Point Research сообщила, что среднее количество атак c программами-вымогателями в неделю увеличилось на 93% за последние 12 месяцев. Эксперты также предупредили, что подобные атаки не ограничиваются использованием одной вредоносной программы. Например, при атаках программы-вымогателя Ryuk злоумышленники сначала использовали ботнет Emotet для проникновения в сеть, затем заражали ее Trickbot, и в конце с помощью вымогателя Ryuk окончательно зашифровывали данные.
Trickbot приобрел особенную популярность после ликвидации серверов Emotet в январе этого года. Кроме того, согласно недавним исследованиям, Trickbot связан с новым видом вымогателей Diavol. Trickbot постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
«В мире второй месяц в топе остается банковский троян Trickbot, и в Украине идентичная ситуация. У нас в топ-три самых активных вредоносных программ вошли даже два банковских трояна: Trickbot и Qbot, — рассказывает Александр Савушкин, региональный директор по развитию бизнеса Check Point Software Technologies в Украине, Грузии и странах СНГ. — Как и прежде, бизнес должен четко осознавать все риски и обеспечивать надежные защитные решения, не полагаясь на сотрудников. Мы видим, что в топе сейчас практически все виды вредоносного ПО: ботнеты, инфостилеры, криптомайнеры и прочее. Нужно внедрять такую защиту, чтобы даже при ошибке пользователя не произошло заражения».
Самое активное вредоносное ПО в июне 2021 в Украине:
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний. Затронул 12,65% организаций.
- FormBook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует на нажатие клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.Затронул 7,2% организаций.
- Qbot — банковский троян. Впервые появился в 2008 году, был предназначен для кражи банковских учетных данных и данных от нажатий клавиш у пользователей. Qbot часто распространяется через спам и использует несколько методов защиты от виртуальных машин и песочниц, чтобы затруднить анализ и уклониться от обнаружения. Затронул 5,42% организаций.
Самое активное вредоносное ПО в июне 2021 в мире:
В июне Trickbot стал самым популярным вредоносным ПО, атаковав 7% организаций по всему. За ним следуют XMRig и FormBook, затронувшие по 3% организаций каждый.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
- FormBook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует на нажатие клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.
Самые распространенные уязвимости в июне 2021 в мире:
В этом месяце «Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756)» стала самой эксплуатируемой уязвимостью, затрагивающей 47% организаций во всем мире. На втором и третьем месте «Удаленное выполнение кода MVPower DVR» и Обход аутентификации роутера Dasan GPON (CVE-2018-10561) с охватом 45% и 44% соответственно.
- Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
- Удаленное выполнение кода MVPower DVR — в устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
- Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
Самые активные мобильные угрозы в июне 2021:
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
- Hiddad — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
- XLoader — шпионское и банковское ПО для Android, разработанное китайской хакерской группировкой Yanbian Gang. Это вредоносное ПО использует DNS-спуфинг для распространения зараженных приложений Android чтобы собирать личную и финансовую информацию.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 3 миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.
Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ по данным Global Threat Index за июнь можно найти в блоге Check Point Software Technologies.
Со средствами предотвращения вредоносных атак Check Point Software Technologies можно ознакомиться по ссылке: http://www.checkpoint.com/threat-prevention-resources/index.html