Команда исследователей Check Point Research, подразделение Check Point® Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности по всему миру, опубликовала отчет Global Threat Index с самыми активными угрозами в июне 2019 года.
Исследователи сообщают, что Emotet (крупнейший ботнет на данный момент) пока не работает — почти весь июнь не было никаких новых кампаний. В течение первого полугодия 2019 года Emotet входил в топ-5 вредоносных программ во всем мире и распространялся с помощью масштабных спам-кампаний.
Исследователи Check Point считают, что инфраструктура Emotet может быть отключена для обслуживания и обновления. Возможно, что как только ее серверы будут снова запущены, Emotet будет повторно активирован с новыми расширенными возможностями угроз.
«Emotet — банковский троян, который используется с 2014 года. Однако с 2018 года мы видим его использование в качестве ботнета в крупных кампаниях по распространению спама и других вредоносных программ. Несмотря на то, что его инфраструктура была неактивна большую часть июня 2019 года, ботнет попал на пятую строчку мирового рейтинга вредоносных программ. Такая позиция показывает, насколько активно его используют злоумышленники, и вполне вероятно, что он вновь появится с новыми функциями, — комментирует Никита Дуров, технический директор Check Point Software Technologies в России и СНГ. — Как только Emotet попадает на компьютер жертвы, ботнет может использовать устройство для дальнейшего распространения спам-кампаний, загружать другие вредоносные программы (например, Trickbot, который, в свою очередь, заражает всю хостинговую сеть с помощью печально известной программы-вымогателя Ryuk), и распространяться на другие ресурсы в сети».
Самое активное вредоносное ПО в июне 2019*:
*Стрелки показывают изменение позиции по сравнению с предыдущим месяцем
- ↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
- ↑ Jsecoin — JavaScript-майнер, который может запускать майнинг прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.
- ↓ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга — добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
В России три самых известных криптомайнера — Cryptoloot, XMRig и Jsecoin продолжают лидировать в рейтинге вредоносных программ. В июне Cryptoloot атаковал 11% организаций в России, XMRig и Jsecoin соответственно — 9% и 7% российских компаний.
Самые активные мобильные угрозы июня 2019:
Lotoor продолжает лидировать в рейтинге вредоносных программ для мобильных устройств. За ним следуют Triada и Ztorg — новая вредоносная программа в топ-листе.
- Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах
- Triada — модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузера.
- Ztorg — трояны семейства Ztorg получают расширенные привелегии на устройствах Android и устанавливают себя в системный каталог. Вредоносная программа может также установить любое другое приложение на устройстве.
Самые распространенные уязвимости июня 2019:
В июне исследователи отметили лидирующую позицию методов SQL-инъекций в рейтинге угроз (52% организаций по всему миру). Уязвимость в OpenSSL TLS DTLS Heartbeat и CVE-2015-8562 заняли второе и третье место соответственно, затронув 43% и 41% организаций во всем мире.
- ↑ SQL-инъекция (несколько способов использования) — вставка SQL-кода во входные данные от клиента к странице с использованием уязвимости в программном обеспечении приложения.
- ↑ Ошибка HeartBleed в ПО OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
- ↑ Удаленное выполнение кода в системе Joomla (CVE-2015-8562) — в системе Joomla существует уязвимость, которая открывает злоумышленникам возможность удаленного исполнения кода. Злоумышленник с удаленным доступом может воспользоваться этой уязвимостью, отправив вредоносный запрос жертве. Успешное использование этой уязвимости может привести к выполнению произвольного кода на атакуемом сайте.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.
Полный список десятки самых опасных вредоносных программ июня можно найти в блоге Check Point:
Исследования Check Point по предотвращению угроз доступны по адресу: http://www.checkpoint.com/threat-prevention-resources/index.html