Исследование Check Point: Coinhive закрылся, но криптомайнинг по-прежнему доминирует
Check Point Software Technologies, поставщик решений для кибербезопасности, опубликовала отчет с самыми активными угрозами в марте Global Threat Index. Согласно рейтингу, несмотря на то что майнинговые сервисы, такие как Coinhive, закрываются, криптомайнеры все еще остаются самыми распространенными вредоносными программами, направленными на компании по всему миру.
Сервисы Coinhive и Authedmine прекратили работу 8 марта 2019 г. — и впервые с декабря 2017 г. Coinhive уступил верхнюю позицию Global Threat Index. Однако, несмотря на то что криптомайнер работал в марте только в течение восьми дней, он занял шестое место среди самых активных угроз. В моменты своей самой активной работы Coinhive атаковал 23% организаций по всему миру.
Многие сайты все еще содержат JavaScript-код Coinhive и сегодня, хотя майнинг ими уже не осуществляется. Исследователи Check Point предупреждают, что Coinhive может легко возобновить свою деятельность, если валюта Monero вновь покажет рост. Кроме того, воспользоваться отсутствием конкуренции со стороны Coinhive могут другие криптомайнеры — и увеличить свою активность.
Три из пяти самых активных угроз в марте — криптомайнеры Cryptoloot, XMRig и JSEcoin. Так, Cryptoloot впервые возглавил рейтинг угроз, за ним следует модульный троян Emotet. Оба атаковали около 6% компаний по всему миру. Третий по распространенности — зловред XMRig (5%).
«С учетом общего снижения стоимость криптовалюты с 2018 г., скорее всего, все больше криптомайнеров пойдут по стопам Coinhive и прекратят свою работу. Тем не менее, я подозреваю, что киберпреступники найдут способы заработать, например, сфокусируются на майнинге в облачных средах, где встроенная функция автоматического масштабирования позволяет добывать еще больше криптовалюты. Мы видели, как организации просят заплатить сотни тысяч долларов своим облачным поставщикам за вычислительные ресурсы, незаконно используемые криптомайнерами. Так что компаниям следует как можно скорее обратить внимание на защиту облачных сред», — отметил Никита Дуров, технический директор Check Point Software Technologies в России и СНГ.
Топ-3 самых активных вредоносных ПО в марте 2019 г.: Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive; Emotet — продвинутый, самораспространяющийся модульный троян. Emotet когда-то использовался в качестве банковского трояна, а в последнее время используется в качестве доставки других вредоносных программ или вредоносных кампаний. Он использует несколько методов, чтобы избежать обнаружения. Также распространяется через фишинговые спам-сообщения, содержащие вредоносные вложения или ссылки; XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 г. Используется для майнинга криптовалюты Monero.
В этом месяце Hiddad стал наиболее распространенным вредоносным ПО для мобильных устройств и сместил Lotoor с первого места. Троян Triada остается на третьем месте.
Самые активные мобильные угрозы марта 2019 г.: Hiddad — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя; Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах; Triada — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузере.
Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. CVE-2017-7269 остался на первом месте (47%). Также в тройке утечка информации через репозитории веб-сервера Git (46%) и критические уязвимости библиотеки OpenSSL TLS DTLS Heartbeat (45%).
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 млн адресов, проанализированных для обнаружения ботов, более 11 млн сигнатур вредоносных программ и более 5,5 млн зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.