Команда исследователей Check Point Research представила отчет Global Threat Index о самых активных угрозах в июле 2021 года. Эксперты CPR сообщили, что в глобальный рейтинг впервые вошел Snake Keylogger — и сразу занял второе место. Лидером по-прежнему остается Trickbot. В Украине Snake Keylogger занял четвертое место в списке, затронув 4,7% организаций.
Snake Keylogger — модульный кейлоггер, программа для кражи учетных данных с возможностью их отправки на электронную почту злоумышленника. В целом, главная функция кейлоггера — записывать нажатия клавиш пользователей на устройствах и передавать собранные данные киберпреступникам. Snake активно распространялся в последние недели через фишинговые кампании, направленные на разные сектора бизнеса в самых разных странах.
Snake Keylogger — серьезная угроза для конфиденциальности и безопасности пользователей сети. Он может украсть практически все виды информации — и пытается сделать это разными способами, пока не достигнет успеха. А еще Snake Keylogger мастерски умеет уклоняться от обнаружения. Сейчас на нелегальных хакерских форумах Snake Keylogger можно приобрести от $25 до $500 (примерно 669-13400 гривен), в зависимости от уровня его возможностей.
Атаки с помощью кейлоггеров могут быть особенно опасными, потому что многие люди используют один и тот же логин и пароль для разных учетных записей — и после взлома одной записи киберпреступник получает доступ к другим, у которых те же данные для входа. Чтобы обезопасить себя, важно использовать уникальные данные для каждой учетной записи — для этого, например, можно использовать диспетчер паролей.
«Мы видим, что угроза распространения Snake Keylogger только усиливается как во всем мире, так и в Украине, — рассказывает Александр Савушкин, региональный директор по развитию бизнеса Check Point Software Technologies в Украине, Грузии и странах СНГ. — В мире он на втором месте в рейтинге, в Украине — на четвертом. Наша исследовательская команда сообщает, что фишинговые письма с ним направлены на все отрасли экономики огромного количества стран. Кейлоггеры направлены на кражу информации — и, в частности, паролей. Поэтому важно проверить, что вы и ваши сотрудники используете индивидуальный сложный пароль для каждой учетной записи. В случае, если это не так, смените повторяющиеся пароли. Напомните команде своей компании о базовых правилах гигиены: никогда нельзя открывать любое подозрительное письмо и вложение».
Самое активное вредоносное ПО в июле 2021 в Украине:
- Turla – бэкдор, нацеленный на платформу Windows. Вредоносная программа может предоставить злоумышленникам возможность удаленно управлять зараженным ПК. Затронул 6,5% организаций.
- Gujd — программа-вымогатель, которая использует шифровальщик STOP/DJVU. После запуска она шифрует все файлы с помощью алгоритма RSA Salsa20, а также помечает их расширениями «.gujd». Затронул 5,3% организаций.
- FormBook— впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует на нажатие клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера. Затронул 5,3% организаций.
Самое активное вредоносное ПО в июле 2021 в мире:
В июле Trickbot стал самым популярным вредоносным ПО, атаковав 4% организаций по всему. За ним следуют Snake Keylogger и XMRig, затронувшие по 3% организаций каждый.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- Snake Keylogger — модульный кейлоггер, программа для кражи учетных данных с возможностью их отправки на электронную почту злоумышленника. Его впервые обнаружили в конце ноября 2020 года.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero
Самые распространенные уязвимости в июле 2021 в мире:
В этом месяце «Раскрытие информации в хранилище Git на веб-сервере» стала самой эксплуатируемой уязвимостью, затрагивающей 45% организаций во всем мире. На втором и третьем месте «Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756)» и «Удаленное выполнение кода MVPower DVR» с охватом 44% и 42% соответственно.
- Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
- Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
- Удаленное выполнение кода MVPower DVR — в устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
Самые активные мобильные угрозы в июле 2021:
В этом месяце xHelper стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют AlienBot и Hiddad.
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
- AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в легальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
- Hiddad— модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 3 миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.
Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ по данным Global Threat Index за июль можно найти в блоге Check Point Software Technologies.
Со средствами предотвращения вредоносных атак Check Point Software Technologies можно ознакомиться по ссылке: http://www.checkpoint.com/threat-prevention-resources/index.html