Команда Check Point Research (CPR) представила отчет Global Threat Index о самых активных угрозах в феврале 2022 года.
Исследователи сообщают, что Emotet остается самым распространенным вредоносным ПО, затронувшим 5% организаций по всему миру. Троян Trickbot, один из лидеров предыдущих месяцев, опустился в рейтинге на шестое место.
Trickbot – ботнет и банковский троян, который может красть финансовые и учетные данные, личную информацию, распространяться в сети сам и загружать программы-вымогатели. В течение 2021 года он семь раз занимал первое место в рейтинге самых распространенных вредоносных программ. За последние несколько недель исследователи Check Point Research не заметили новых кампаний Trickbot — теперь вредоносная программа занимает шестое место в рейтинге. Отчасти это может быть связано с тем, что некоторые члены Trickbot присоединились к кибергруппировке Conti.
«Вредоносные программы, в том числе и Emotet, сейчас активно распространяются в спам-кампаниях по электронной почте, — рассказывает Майя Горовиц, руководитель группы Threat Intelligence Research, Check Point Software Technologies, Ltd. — Они побуждают людей загружать опасные вложения. Поэтому важно всегда проверять адрес электронной почты отправителя, обращать внимание на орфографические ошибки в письмах, не открывать вложения и не переходить по ссылкам, если вы не уверены, что письмо безопасно».
Команда Check Point Research (CPR) сообщила, что в феврале компании из сектора образования и исследований атакуют чаще всего в мире. За ними идут организации из правительственного и военного сектора и интернет-провайдеры/MSP.
В феврале «раскрытие информации в хранилище Git на веб-сервере» стала наиболее часто эксплуатируемой уязвимостью, затронув 46% организаций по всему миру. За ней следует «Apache Log4j Remote Code Execution», которая опустилась с первого места на второе и затронула 44% компаний. На третьем месте с глобальным воздействием 41% — «удаленное выполнение кода в заголовках HTTP».
Самое активное вредоносное ПО в феврале 2022 в России:
- Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера. Затронул 5,42% организаций.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monerо. Затронул 4,44% организаций.
- AgentTesla — усовершенствованный троян удаленного доступа (RAT). Он заражает компьютеры с 2014 года, обладает возможностями кейлоггера и похитителя паролей. Эта вредоносная программа способна отслеживать и собирать вводимые с клавиатуры жертвы данные, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook). Затронула 3,53% организаций.
Самое активное вредоносное ПО в феврале 2022 в мире:
В этом месяце Emotet остается наиболее распространенным вредоносным ПО, затронувшим 5% организаций по всему миру. На втором и третьем местах соответственно — Formbook и Glupteba, затронувшие 3% и на 2% компаний соответственно.
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера.
- Glupteba — бэкдор, который постепенно превратился в ботнет. К 2019 году он содержал механизм обновления адресов C&C через публичные списки BitCoin, встроенную возможность кражи браузера и эксплойтер маршрутизатора.
Самые атакуемые отрасли в мире:
- Образование/Исследования
- Государственные и военные организации
- ISP/MSP
Самые распространенные уязвимости в феврале 2022 в мире:
- Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
- Apache Log4j Remote Code Execution (CVE-2021-44228) — в Apache Log4j существует уязвимость, которая делает возможным удаленное выполнение кода. Успешное использование этой уязвимости может позволить удаленному злоумышленнику выполнить произвольный код в уязвимой системе.
- Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
Самые активные мобильные угрозы в феврале 2022:
В этом месяце XLoader занимает первое место среди самых распространенных мобильных вредоносных программ, за ним следуют xHelper и AlienBot.
- XLoader — XLoader is an Android Spyware and banking Trojan developed by the Yanbian Gang, a Chinese hacker group. This malware uses DNS spoofing to distribute infected Android apps to collect personal and financial information.
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
- AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в официальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — крупнейшим сетевым сообществом по борьбе с киберпреступностью, которое предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более трех миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ.