29, март 2021  —  Команда исследователей Check Point Research, подразделения Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в   области кибербезопасности по   всему миру, представила отчет Global Threat Index о   самых активных угрозах в   феврале 2021   года. Исследователи сообщили, что троян Trickbot впервые возглавил список, поднявшись с третьего места и атаковав 3% организаций во всем мире. В России уже третий раз за последние полгода первое место занимает троян Fareit. В прошедшем месяце он атаковал более 11% компаний в стране.  

После ликвидации ботнета Emotet в январе хакерские группировки начали активно использовать другие опасные угрозы, в том числе и троян Trickbot, а также искать новые методы распространения вредоносного ПО. В феврале Trickbot распространялся с помощью спам-кампании, нацеленной на юридический и страховой секторы. Работников этих сфер обманным путем убеждали скачать вложение в формате .zip, которое содержало вредоносный файл JavaScript. Сразу после открытия файл предпринимал попытку загрузить дополнительную полезную нагрузку с удаленного сервера.  

По итогам 2020 года Trickbot занял четвертое место по распространенности в мире, атаковав 8% организаций. Он сыграл решающую роль в одной из наиболее дорогостоящих и нашумевших кибератак 2020 года, нацеленную на компанию Universal Health Services (UHS) — ведущего поставщика медицинских услуг в США. UHS была атакована вымогателем Ryuk, а убыток компании составил 67 миллионов долларов. Trickbot использовался для поиска и сбора данных в системах компании, а также для доставки полезной нагрузки в виде программы-вымогателя.  

« Злоумышленники продолжат использовать все существующие угрозы и имеющиеся у них инструменты. Trickbot получил популярность благодаря универсальности и целой череде успешных атак, осуществленных с его помощью ранее, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Несмотря на то, что главная угроза была устранена, многие другие из них все еще представляют опасность для сетей по всему миру. Это доказывает и тот факт, что для атак на Россию чаще использовался другой троян Fareit, который в январе занимал лишь второе место. Кроме того, активное использование сервисов видеосвязи россиянами привело к увеличению числа вредоносов, эксплуатирующих их уязвимости, например, таких, как Pyksa, который распространяется через Skype. Чтобы предотвратить атаки на корпоративную сеть и минимизировать риски, организациям стоит обзавестись надежными системами безопасности, а также обучить сотрудников определять типы электронных писем, которые распространяют Trickbot и другие вредоносные программы ».

Самое активное вредоносное ПО в феврале 2021 в России:

В России самым распространенным вредоносным ПО стал Fareit, атаковав 11% организаций в стране, а мировой лидер — Trickbot — занял лишь третью строчку c 6% соответственно.

•  Fareit — троян, обнаруженный в 2012 году. Его разновидности похищают пароли пользователей, FTP аккаунты, телефонные номера и другие идентификационные данные, которые хранят браузеры. Способен устанавливать другие вредоносные программы на зараженные устройства и использовался для распространения трояна P2P Game over Zeus.

Исходный код Fareit (версия 1.9) был опубликован в Интернете — теперь любой злоумышленник может изменить его и использовать во вредоносных кампаниях.

•  XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

•  Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

•  Pykspa — червь, распространяющийся через отправку сообщений контактам в Skype. Он извлекает личную информацию о пользователях с устройств и обменивается данными с удаленными серверами с помощью алгоритмов генерации доменов (DGA).

•  FakeMBAM — бэкдор удаленного доступа, который скрывается внутри программы установки и маскируется под официальную программу установки.

Самое активное вредоносное ПО в феврале 2021 в мире:

В этом месяце Trickbot оказался в топе и атаковал 3% организаций в мире. За ним вплотную следуют XMRing и Qbot, которые также охватили по 3% организаций.

•  Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

•  XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

•  Qbot — банковский троян. Впервые появился в 2008 году, был предназначен для кражи банковских учетных данных и данных от нажатий клавиш у пользователей. Qbot часто распространяется через спам и использует несколько методов защиты от виртуальных машин и песочниц, чтобы затруднить анализ и уклониться от обнаружения.

Самые распространенные уязвимости в феврале 2021 в мире:  

Самой распространенной уязвимостью февраля стало раскрытие информации в хранилище Git на веб-сервере. С ее помощью были совершены атаки на 48% организаций по всему миру. Далее следуют удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) и удаленное выполнение кода MVPower DVR, которые затронули 46% и 45% компаний соответственно.

•  Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.

•  Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.

•  Удаленное выполнение кода MVPower DVR — в устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.

Самые активные мобильные угрозы в феврале 2021:

В этом месяце Hiddad стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют xHelper и FurBall.

•  Hiddad  — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

•  xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.

•  FurBall — мобильный троян удаленного доступа для Android, который используется иранской APT-группировкой APT-C-50, связанной с иранским правительством. С 2017 года это вредоносное ПО участвовало во множественных кампаниях и активно до сих пор. FurBall может перехватывать SMS-сообщения и журналы звонков, записывать разговоры и звуки вокруг, похищать медиафайлы, отслеживать GPS-координаты устройства и т.д.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 3 миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.

Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ по данным Global Threat Index за февраль можно найти в блоге Check Point Software Technologies .

Со средствами предотвращения вредоносных атак Check Point Software Technologies можно ознакомиться по ссылке :   http :// www . checkpoint . com / threat - prevention - resources / index . html

О компании Check Point Software Technologies

Check Point Software Technologies Ltd. ( www . checkpoint . com ) является ведущим поставщиком решений по кибербезопасности для государственных и частных компаний по всему миру. Благодаря самой высокой в индустрии скорости обнаружения вредоносного ПО, решения Check Point защищают заказчиков от продвинутых кибератак Пятого поколения, программ-вымогателей и других видов атак. Check Point предлагает многоуровневую архитектуру безопасности с новой расширенной системой предотвращения угроз Пятого поколения Gen V, которая защищает корпоративное облако, сеть и мобильные устройства, с интуитивно понятной системой управления безопасностью. Check Point защищает более 100 000 организаций по всему миру.

Следите за новостями Check Point онлайн!

• Check Point Blog:  http://blog.checkpoint.com/
• Twitter: https://twitter.com/CheckPointRu
• Facebook: https://www.facebook.com/CheckPointRussia/?fref=ts
• YouTube: http://www.youtube.com/user/CPGlobal  
• Telegram: https://t.me/chkpstar