Компания Check Point® Software Technologies Ltd. (NASDAQ:CHKP), ведущий поставщик решений в области кибербезопасности, опубликовала результаты исследования Global Threat Index за июль. Так, троян Emotet после пятимесячного отсутствия возглавил рейтинг самых распространенных вредоносных ПО, оказав влияние на 5% организаций по всему миру.
С февраля 2020 года деятельность Emotet замедлилась, однако, в июле троян снова усилил свою активность. Мошенники рассылали письма, которые содержали зараженные файлы формата doc. с именами «form.doc» или «invoice.doc». После загрузки файла на устройство пользователя устанавливался вредонос, который крал банковские учетные данные жертвы и распространялся внутри целевых сетей.
«Интересно, что Emotet был неактивным в течение нескольких месяцев с начала этого года, повторяя свою модель поведения, которую мы впервые наблюдали в 2019 году. Мы можем предположить, что разработчики ботнета все это время обновляли его функции, — прокомментировала Майя Хоровиц (Maya Horowitz), руководитель группы киберразведки компании Check Poin. — Поскольку Emotet снова активен, компаниям следует проинформировать своих сотрудников о том, как определять вредоносные спам-рассылки, а также предупредить о потенциальных рисках при загрузке вложений и переходе по ссылкам, присланным от неизвестных отправителей. Также важно помнить об использовании антивирусных решений, которые могут предотвратить попадание вредоносного ПО на устройства конечных пользователей».
Самое активное вредоносное ПО в июне в мире:
Троян Emotet возглавил список самых активных вредоносных ПО, оказав влияние на 5% организаций во всем мире. За ним следуют Dridex и Agent Tesla с охватом 4% каждый.
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Dridex — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
- Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
Самое активное вредоносное ПО в июле в России:
В России в июле самым активным был XMRig, атаковавший 5% российских организаций. За ним следуют Trickbot и Agenttesla с охватом 4% и 3% соответственно.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
Самые распространенные уязвимости июля 2020:
MVPower DVR Remote Code Execution является наиболее распространенной эксплуатируемой уязвимостью, в результате которой были совершены попытки атак на 44% организаций по всему миру. Далее следуют OpenSSL TLS DTLS Heartbeat Information Disclosure и Command Injection Over HTTP Payload с охватом 42% и 38% соответственно.
- Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
- Command Injection Over HTTP Payload. Злоумышленники удаленно используют эту уязвимость, отправляя жертве специальный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на устройстве жертвы.
Самые активные мобильные угрозы июля 2020:
В июле самой распространённой мобильной угрозой был xHelper. Далее следуют Necro и PreAMo.
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.
- Necro — троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей.
- PreAMo —вредоносная приложение для Android, которое имитирует клики пользователя по рекламным баннерам от трех рекламных агентств-Presage, Admob и Mopub.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.
Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ, по данным Global Threat Index за июль, можно найти в блоге Check Point.
Со средствами предотвращения вредоносных атак Check Point можно ознакомиться по ссылке: http://www.checkpoint.com/threat-prevention-resources/index.html