Check Point Software Technologies, поставщик решений кибербезопасности во всем мире, опубликовала отчет Global Threat Index за август 2018 года, в котором отмечает значительное увеличение числа атак с использованием банковского трояна Ramnit. За последние несколько месяцев Ramnit удвоил свою активность, чему способствовала широкомасштабная кампания, в ходе которой устройства жертв становились вредоносными прокси-серверами.
В августе 2018 года Ramnit подскочил до 6-го места в рейтинге угроз Threat Index и стал самым распространенным банковским трояном в восходящем тренде банковских угроз.
«Это второй случай за лето, когда злоумышленники все чаще используют банковские трояны, чтобы получить быструю прибыль. Тенденции, подобные этой, не следует игнорировать, поскольку хакеры четко знают, какие векторы атаки с большой вероятностью будут успешными в текущий момент. Хакеры изучают привычки пользователей и знают, что в летний период они более уязвимы для банковских троянов. Это показывает, насколько злоумышленники упорны и изобретательны в своих попытках заполучить деньги. Чтобы предотвратить эксплуатацию как банковскими троянами, так и другими типами атак, крайне важно, чтобы предприятия применяли многоуровневую стратегию кибербезопасности, которая защищает от известных вредоносных программ и от угроз нулевого дня», — комментирует Василий Дягилев, глава представительства Check Point в России и СНГ.
В августе 2018 года криптоминер Coinhive остался наиболее распространенным вредоносным ПО, атаковав 17% организации по всему миру. В топ-3 поднялся модульный бот Andromeda, который, как и Dorkbot, затронул 6% организаций по всему миру.
Самые активные зловреды в августе 2018 года:
↔ Coinhive — криптомайнер, предназначенный для онлайн-майнинга криптовалюты Monero без ведома пользователя, когда он посещает веб-страницу. Встроенный JavaScript использует большое количество вычислительных ресурсов компьютеров конечных пользователей для майнинга и может привести к сбою системы.
↑Dorkbot — IRC-червь, предназначенный для удаленного выполнения кода оператором, а также для загрузки дополнительного вредоносного ПО в зараженную систему. Это банковский троян, основной целью которого является кража конфиденциальной информации и запуск атак типа «отказ в обслуживании».
↑ Andromeda — модульный бот, используемый главным образом как бэкдор для доставки дополнительных вредоносных программ на зараженные устройства, но может быть изменен для создания различных типов бот-сетей.
По данным Check Point, в августе количество атак на российские компании по сравнению с предыдущим месяцем незначительно уменьшилось. Россия заняла в рейтинге Global Threat Index 92 место, опустившись на 2 позиции. В топ-3 самых активных зловредов остаются криптомайнеры Coinhive (37%), Cryptoloot (28%) и Jsecoin (21%). Больше всего в августе атакам подверглись Эфиопия, Сейшельские острова, Катар, Ангола и Ботсвана. Меньше всего атаковали Новую Зеландию, Норвегию и Лихтенштейн.
Lokibot, банковский троян и похититель данных с устройств на платформе Android, стал самой активной вредоносной программой для атак на мобильные устройства организаций. Следом за ним в рейтинге расположились Lotoor и Triada.
Самые активные мобильные зловреды в августе 2018 года:
1. Lokibot - банковский троян для Android, который также может превратиться во вредоносную программу-вымогателя, блокирующую телефон в случае удаления прав администратора.
2. Lotoor – программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.
3. Triada - Модульный троян для Android, который предоставляет привилегии суперпользователя для загружаемых вредоносных программ, а также помогает внедрить их в системные процессы.
Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. На первом месте уязвимость CVE-2017-7269, которая затронула 47% организаций по всему миру. На втором месте уязвимость OpenSSL TLS DTLS Heartbeat (41%), следом CVE-2017-5638 (36%).
Топ-3 самых эксплуатируемых уязвимостей в августе 2018 года:
1. ↔ Переполнение буфера Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269). Отправляя созданный запрос по сети на сервер Microsoft Windows Server 2003 R2 через службы Microsoft Internet Information Services 6.0, удаленный злоумышленник может выполнить произвольный код или вызвать отказ условий обслуживания на целевом сервере. Главным образом это связано с уязвимостью переполнения буфера, вызванной ненадлежащей проверкой длинного заголовка в HTTP-запросе.
2. ↑ Heartbeat-уязвимость OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346). В пакете OpenSSL есть уязвимость, связанная с утечкой информации. Она возникает из-за ошибки при обработке heartbeat-пакетов TLS/DTLS. Злоумышленник может использовать эту уязвимость для раскрытия содержимого памяти подключенного клиента или сервера.
3. ↑ D-Link DSL-2750B Remote Command Execution — уязвимость удаленного выполнения кода в роутерах D-Link DSL-2750B. Успешная эксплуатация может привести к произвольному выполнению кода на уязвимом устройстве.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.