Команда исследователей Check Point Research, подразделения Check Point Software Technologies Ltd., представила отчет Global Threat Index о самых активных угрозах в апреле 2021 года. Исследователи сообщили, что троян AgentTesla впервые занял второе место в рейтинге. На первом месте по-прежнему троян Dridex.
Этот троян часто используется как начальный этап заражения в операциях с программами-вымогателями. Сейчас все чаще хакеры используют метод двойного вымогательства: они не просто шифруют данные, требуя за них выкуп, а еще и угрожают опубликовать их, если не будет оплаты. В марте команда Check Point Research сообщила, что количество атак программ-вымогателей увеличилось на 57% в начале 2021 года. Это растущая тенденция: она достигла 107% роста по сравнению с аналогичным периодом прошлого года. В 2020 году, по оценкам, ущерб от вымогателей во всем мире составил около 20 миллиардов долларов – это почти на 75% выше, чем в 2019 году.
AgentTesla впервые занял второе место в рейтинге вредоносных программ. Это продвинутый RAT (троян удаленного доступа), который заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook). В этом месяце наблюдается рост кампаний AgentTesla, которые распространяются через вредоносный спам. В таких фишинговых письмах предлагается загрузить файл (документ любого типа), который может вызвать заражение системы AgentTesla.
«Мы наблюдаем огромный рост атак программ-вымогателей во всем мире, поэтому неудивительно, что самые популярные вредоносные программы апреля связаны с этой тенденцией. В среднем каждые 10 секунд одна организация в мире становится жертвой вымогателей, — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Хакеры часто используют названия известных организаций для своих атак. В этот раз они имитировали бренд QuickBooks – бухгалтерский программный комплекс, распространенный в США – но в России он тоже встречается. Вредоносные письма содержали фейковые уведомления об оплате и счета. Организации должны знать об этих рисках и обеспечивать не только подходящие решения для защиты, но и обучение сотрудников. Человеческий фактор – по-прежнему самое уязвимое звено, поэтому очень важно, чтобы сотрудники могли распознать фишинговые письма. Именно через них часто происходит заражение программами- вымогателями.
В апреле Trickbot стал самым популярным вредоносным ПО, атаковав 14% организаций в России. За ним следуют Fareit и XMRig, затронувшие 11% и 7% организаций соответственно. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
Fareit — троян, обнаруженный в 2012 году. Его разновидности похищают пароли пользователей, FTP аккаунты, телефонные номера и другие идентификационные данные, которые хранят браузеры. Способен устанавливать другие вредоносные программы на зараженные устройства; использовался для распространения трояна P2P Game over Zeus.
XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
В этом месяце Dridex стал самым популярным вредоносным ПО, атаковав 15% организаций по всему миру. За ним следуют AgentTesla и Trickbot, затронувшие 12% и 8% организаций соответственно. Dridex — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
AgentTesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
В этом месяце «Раскрытие информации в хранилище Git на веб-сервере» стала самой эксплуатируемой уязвимостью, затрагивающей 46% организаций во всем мире. На втором и третьем месте «Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)» и «Удаленное выполнение кода MVPower DVR» с охватом 45,5% и 44% соответственно.
Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи. Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы. Удаленное выполнение кода MVPower DVR — в устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
В этом месяце xHelper стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют Triada и Hiddad. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
Triada –– модульный бэкдор для Android, предоставляющий права суперпользователя для загруженного вредоносного ПО.
Hiddad — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 3 миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.