Спецпроекты

Check Point рассказала об атаках ботнета Mirai

Безопасность Техническая защита Мобильность

Check Point Software опубликовала результаты исследования Global Threat Index за февраль.

В феврале исследователи Check Point отметили повышение активности эксплойтов, распространяющих ботнет Mirai. Вредонос известен способностью заражать IoT-устройства и развертывать массовые DDoS-атаки. Уязвимость PHP php-cgi Query String Parameter Code Execution заняла шестое место в рейтинге самых эксплуатируемых и стала причиной вредоносных атак для 20% организаций в мире, в сравнении с 2% месяцем ранее.

Ботнет Emotet занял в феврале второе место в рейтинге самого активного вредоносного ПО в мире. Специалисты Check Point обнаружили, что Emotet начал использовать новые векторы атак. Первый — это фишинговая СМС-рассылка, которая нацелена на пользователей США. Сообщения якобы от лица известных банков побуждают потенциальных жертв переходить по вредоносной ссылке, в результате чего на их устройства загружается Emotet. Второй новый вектор — Emotet обнаруживает и использует ближайшие Wi-Fi сети для проникновения и распространения атаки с помощью подбора часто используемых паролей Wi-Fi. Чаще всего Emotet используется для распространения программ-вымогателей или других вредоносных кампаний.

В феврале этого года Emotet атаковал 7% организаций по всему миру, в то время как в январе — 13%, когда основным способом распространения были фишинговые рассылки на тему коронавируса. Этот пример показывает, как быстро киберпреступники меняют темы своих атак, чтобы достичь большего результата.

«Как мы видим, наиболее опасными угрозами и эксплойтами стали универсальные вредоносные программы, такие как XMRig и Emotet. Вероятно, киберпреступники пытаются создать широкую сеть зараженных устройств для дальнейшего их использования и монетизации — от доставки программ-вымогателей до развертывания DDoS- атак. — отметила Майя Горовиц (Maya Horowitz), руководитель группы киберразведки компании Check Point. — Поскольку основным каналом доставки вредоносного ПО являются электронные письма и СМС, компаниям следует рассказывать сотрудникам, как выявлять различные типы вирусного спама, а также внедрить систему безопасности, предотвращающую заражение сетей».

В прошлом месяце XMRig занял перовую строчку в рейтинге, атаковав 7% организаций во всем мире. На долю Emotet и Jsecoin приходится 6% и 5% атак, соответственно.

XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.

Jsecoin — JavaScript-майнер, который может запускать майнинг прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.

В России в прошлом месяце самым активным был XMRig, атаковавший 10% российских организаций. За ним следуют MediaGet и Lokibot, на чью долю приходится 8% и 5% атак, соответственно.

XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

MediaGet — программное обеспечение для скачивания медиафайлов.

Lokibot — используется для кражи различных данных пользователей, таких как учетные данные электронной почты, пароли к криптокоин-кошелькам и FTP- серверам.

«Примечательно, почему именно сейчас загрузчик MediaGet появился в рейтинге самого активного вредоносного ПО в России. Злоумышленники, использующие его для распространения вредоносных файлов, видят перспективы роста на фоне развития ситуации и паники, связанной с коронавирусом, — сказал Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Хакеры увидели возможность для распространения вредоносных файлов, ведь все больше людей стараются избегать массового скопления людей, больше времени проводят дома, скачивают книги, фильмы и сериалы. Это значит, что у злоумышленников есть шанс распространить вредоносное ПО с помощью загрузчиков медиафайлов, и они этим шансом пользуются».

В феврале удаленное выполнение кода MVPower DVR оставалась самой эксплуатируемой уязвимостью, которая стала причиной атак на 31% компаний по всему миру. За ней следует OpenSSL TLS DTLS Heartbeat Information Disclosure с охватом 28%. На третьем месте — уязвимость PHP DIESCAN information disclosure, с помощью которой злоумышленники атаковали 27% организаций.

Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.

OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.

Раскрытие информации в PHP DIESCAN — Уязвимость раскрытия информации, о которой сообщалось на страницах PHP. Успешное использование может привести к раскрытию конфиденциальной информации с сервера.

В этом месяце xHelper сохранил лидирующую позицию в рейтинге самых распространенных мобильных вредоносных программах, далее следует Hiddad и Guerrilla.

xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.

Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

Guerrilla — кликер для Android, который может взаимодействовать с сервером удаленного управления, загружать дополнительные вредоносные плагины и агрессивно накручивать клики по рекламе без согласия или ведома пользователя.



Точки роста

BIM в России. Что его стимулирует, а что — тормозит

Информационное моделирование приходит в строительную отрасль.

Тема месяца

Что делать ИТ-директору во время пандемии

Перед ИТ-руководителями встают задачи, связанные с обеспечением удаленной работы сотрудников.