Команда Check Point Research (CPR) представила отчет Global Threat Index о самых активных угрозах в сентябре 2021 года. Исследователи сообщают, что многоцелевой ботнет Trickbot вернулся в топ рейтинга.
Trickbot — банковский троян, который может красть личные, финансовые и учетные данные, а также распространять программы-вымогатели в сетях своих жертв. Trickbot обрел особенную популярность после ликвидации серверов Emotet в январе 2021 года, и с тех пор он продолжает дополняться новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, способное распространяться в рамках многоцелевых кампаний.
В сентябре в число самых распространенных вредоносных программ впервые попал троян удаленного доступа njRAT, способный перехватывать управление компьютером жертвы. Он использовался в нескольких шпионских кампаниях, проведенных злоумышленниками из разных стран и регионов.
«После того, как в начале этого года сотрудники Европола и Евроюста отключили сервера ботнета Emotet, одним из лидеров среди вредоносных программ стал Trickbot, — рассказывает Александр Савушкин, региональный директор по развитию бизнеса Check Point Software Technologies в Украине, Грузии и странах СНГ. — Даже несмотря на то, что потом в США задержали одного из членов группировки Trickbot, троян все равно продолжает занимать первые места в рейтинге. Поэтому организациям очень важно не игнорировать обеспечение кибербезопасности и сосредоточиться на предотвращении атак».
Самое активное вредоносное ПО в сентябре 2021 в Украине
- Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера. Затронул 5,85% организаций.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero. Затронул 5,85% организаций.
- AgentTesla — усовершенствованный троян удаленного доступа (RAT). Он заражает компьютеры с 2014 года, обладает возможностями кейлоггера и похитителя паролей. Эта вредоносная программа способна отслеживать и собирать вводимые с клавиатуры жертвы данные, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook). Затронула 4,68% организаций.
- Tofsee — троян удаленного доступа, известный с 2013 года. Это многоцелевой инструмент, способный проводить DDoS-атаки, рассылать спам-сообщения, майнить криптовалюту и прочее. Затронул 4,09% организаций.
Самое активное вредоносное ПО в сентябре 2021 в мире
В августе Trickbot стал самым распространенным вредоносным ПО, затронувшим 4% организаций во всем мире. На втором и третьем местах — Formbook и XMRig, затронувшие по 3% организаций по всему миру каждый.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, способное распространяться в рамках многоцелевых кампаний.
- Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero
Самые распространенные уязвимости в сентябре 2021 в мире
В этом месяце «Раскрытие информации в хранилище Git на веб-сервере» — наиболее часто используемая уязвимость, затрагивающая 44% организаций во всем мире. На втором и третьем месте «Внедрение команд через HTTP (Command Injection Over HTTP)» и «Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)» — обе с охватом 43% каждая.
- Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
- Внедрение команд через HTTP (Command Injection Over HTTP) — Злоумышленники удаленно используют эту уязвимость, отправляя жертве специальный запрос. Успешная атака позволит злоумышленнику выполнить произвольный код на устройстве жертвы.
- Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
Самые активные мобильные угрозы в сентябре 2021
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
- AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в официальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
- FluBot — вредоносная программа-ботнет для Android. Распространяется через фишинговые СМС, которые часто имитируют бренды логистических служб. Как только пользователь переходит по ссылке из сообщения, происходит автоматическая установка FluBot, который сразу получает доступ ко всей конфиденциальной информации на телефоне.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — крупнейшим сетевым сообществом по борьбе с киберпреступностью, которое предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 3 миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ.
Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ по данным Global Threat Index за сентябрь можно найти в блоге Check Point Software Technologies.