13, апрель 2020  —  Компания Check Point ® Software Technologies Ltd . (NASDAQ: CHKP) , ведущий поставщик решений в области кибербезопасности, опубликовала результаты исследования Global Threat Index за март.

Банковский троян Dridex в марте впервые вошел в список 10 самых активных вредоносных программ и занял в нем сразу третье место.

Dridex — это сложная разновидность банковского вредоносного ПО, которая поражает операционную систему Windows. Рост активности произошел после нескольких спам-рассылок, которые содержали вредоносное вложение Excel. Атаки нацелены на кражу персональных данных пользователей, а также данных банковских карт для дальнейшего списания денежных средств. За последние десять лет троян Dridex был значительно обновлен и теперь злоумышленники используют его на ранних стадиях атаки для загрузки определенных программ-вымогателей, таких как BitPaymer и DoppelPaymer.

«Dridex впервые за много лет занял одно из лидирующих позиций в рейтинге активных вредоносных программ. Это доказывает, с какой гибкостью мошенники меняют свои методы атак, — отмечает Майя Хоровиц (Maya Horowitz ) , руководитель группы киберразведки компании Check Point Software Technologies. — Данный вид вредоносного ПО может быть очень прибыльным для мошенников, поэтому следует проявлять бдительность по отношению к файлам, которые мы получаем ежедневно по электронной почте. Для обеспечения корпоративной безопасности компаниям необходимо сообщать своим сотрудникам о необходимых мерах безопасности при работе в сети ».

Самое активное вредоносное ПО в марте в мире:

В марте XMRig продолжил лидировать в списке распространенного вредоносного ПО, атаковав 5% организаций во всем мире, за ним следуют Jsecoin и Dridex с охватом 4% и 3% организаций, соответственно.

•  XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

•  Jsecoin — JavaScript- майнер, который может запускать майнинг прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.

•  Dridex — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.

Самое активное вредоносное ПО в марте в России:

В России в марте самым активным вредоносом стал XMRig, который атаковал 7% российских организаций. За ним следуют Trickbot и Emotet, которые совершили попытки атак на 6% и 4% компаний, соответственно.

•  XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

•  Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

•  Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.

Примечательно, что именно сейчас в рейтинге 10 самых активных вредоносных программ в России появился вредонос Pykspa. Pykspa — программное обеспечение, которое распространяется с помощью рассылки мгновенных сообщений в Skype. Получив доступ к устройству, вредоносное ПО извлекает личную информацию пользователей.

« Рост активности вредоносного ПО Pykspa легко объясним, — считает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — По данным Роспотребнадзора, на конец марта в режиме самоизоляции оказалось более 700 тысяч человек в России. Это значит, что люди стали чаще пользоваться различными программами для связи с родственниками, коллегами и друзьями. Эти программы и стали сейчас одной из основных целей хакеров — недавно мы обнаружили уязвимость платформы для видеоконференций Zoom. Она позволяла злоумышленникам без приглашения присоединяться к чужим конференциям и получать доступ ко всем данным и файлам, которыми обмениваются участники ».

Самые распространенные уязвимости марта 2020:

Mvpower DVR продолжает оставаться наиболее эксплуатируемой уязвимостью, в результате которой были совершены попытки атак на 30% организаций во всем мире. Далее следуют PHP php-cgi Query String Parameter Code Execution и OpenSSL TLS DTLS Heartbeat Information Disclosure с охватом 29% и 27%, соответственно.

•  Удаленное выполнение кода MVPower DVR . В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.

•  Выполнение кода PHP php-cgi Query String Parameter — уязвимость удаленного выполнения кода, о которой сообщалось на страницах с использованием языка PHP. Неправильный анализ и фильтрация строк запросов с помощью PHP позволяет злоумышленнику отправлять специально созданные HTTP-запросы, что может привести к успешному выполнению произвольного кода на атакуемом сервере.

•  OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.

Самые активные мобильные угрозы марта 2020:

В марте xHelper сохранил первое место в списке самых распространенных мобильных вредоносных программ. За ним следуют AndroidBauts и Lotoor.

•  xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.

•  AndroidBauts — рекламное ПО, предназначенное для пользователей Android, которое фильтрует IMEI, IMSI, местоположение GPS и другую информацию об устройстве и позволяет устанавливать сторонние приложения на мобильные устройства.

•  Lotoor — программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ, по данным Global Threat Index за март, можно найти в блоге Check Point.

Со средствами предотвращения вредоносных атак Check Point можно ознакомиться по ссылке: http :// www . checkpoint . com / threat - prevention - resources / index . html

О компании Check Point Software Technologies

Check Point Software Technologies Ltd. ( www.checkpoint.com ) является ведущим поставщиком решений по кибербезопасности для государственных и частных компаний по всему миру. Благодаря самой высокой в индустрии скорости обнаружения вредоносного ПО, решения Check Point защищают заказчиков от продвинутых кибератак Пятого поколения, программ-вымогателей и других видов атак. Check Point предлагает многоуровневую архитектуру безопасности с новой расширенной системой предотвращения угроз Пятого поколения Gen V, которая защищает корпоративное облако, сеть и мобильные устройства, с интуитивно понятной системой управления безопасностью. Check Point защищает более 100 000 организаций по всему миру.  

Следите за новостями Check Point онлайн!

• Check Point Blog: http://blog.checkpoint.com/
• Twitter: https://twitter.com/CheckPointRu
• Facebook: https://www.facebook.com/CheckPointRussia/?fref=ts
• YouTube: http://www.youtube.com/user/CPGlobal