Команда исследователей Check Point Research, подразделения Check Point® Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности, опубликовала отчет Global Threat Index с самыми активными угрозами в октябре 2020 года.
Исследователи сообщают, что трояны Trickbot и Emotet по-прежнему возглавляют рейтинг самых распространенных вредоносных ПО в октябре. Они стали причиной резкого увеличения числа атак программ-вымогателей на больницы и медицинские учреждения по всему миру.
ФБР и другие правительственные организации США недавно выпустили предупреждение об атаках программ-вымогателей, нацеленных на сектор здравоохранения. Они сообщили, что в огромном количестве случаев (более миллиона) Trickbot используются для загрузки и распространения других программ-вымогателей, шифрующих файлы, например, таких как Ryuk. Также Ryuk распространяется через троян Emotet, который четвертый месяц подряд занимает 1-е место в рейтинге самых распространенных вредоносных программ.
По данным Check Point, в октябре сфера здравоохранения стала главной целью программ-вымогателей в США: количество атак увеличилось на 71% по сравнению с сентябрем 2020 года. Аналогичным образом, количество атак программ-вымогателей на медицинские организации и больницы в октябре увеличилось на 36% в странах Европы, Ближнего Востока и Африки и на 33% в странах Азиатско-Тихоокеанского региона.
Злоумышленники также часто атаковали российские медицинские организации. За полгода количество атак на российские медицинские организации составило 3% от всех атак на медицинские организации по всему миру.
В сентябре исследовали также сообщали, что русскоязычная группировка OldGremlin была связана, как минимум, с девятью атаками программ-вымогателей в этом году на медицинские лаборатории, банки, производителей и разработчиков ПО в России. Крупная российская медицинская компания, пострадавшая от хакеров, заплатила выкуп в размере 50 тысяч долларов в криптовалюте.
«С начала пандемии COVID-19 мы наблюдаем рост атак вымогателей, — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies Ltd в России и СНГ. — Злоумышленники стремятся воспользоваться пробелами в системе безопасности организаций, которые пытаются поддерживать удаленную работу сотрудников. За последние три месяца стремительно растет число атак, вызванных троянами TrickBot и Emotet. Особенный рост отмечается в сфере здравоохранения. Мы настоятельно рекомендуем медицинским организациям проявлять бдительность и стараться не допускать попадания на корпоративные устройства вредоносных программ».
Самое активное вредоносное ПО в октябре 2020 в России:
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- FormBook был впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.
Самое активное вредоносное ПО в октябре 2020 в мире:
В октябре Emotet остается самым распространенным вредоносным ПО, затрагивая 12% организаций в мире. За ним следуют Trickbot и Hiddad, атаковавшие по 4% организаций каждый.
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
Самые распространенные уязвимости в октябре 2020:
- Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
- Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
- Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
Самые активные мобильные угрозы в октябре 2020:
В этом месяце Hiddad стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют xHelper и Lotoor.
- Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
- Lotoor — программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 2,5 миллиардов веб-сайтов; 500 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.