Спецпроекты

Check Point: троян Emotet остается главной угрозой

Безопасность Техническая защита

Команда исследователей Check Point Research, подразделение Check Point Software Technologies Ltd. опубликовала отчет Global Threat Index с самыми активными угрозами в январе 2021 года. Исследователи сообщили, что несмотря на международную операцию полиции, взявшую под контроль ботнет 27 января, Emotet остается на первом месте в списке вредоносных программ второй месяц подряд, затрагивая 6% организаций по всему миру.

Действия полиции сократили число организаций, пострадавших от активности Emotet, на 14%. Правоохранительные органы планируют удаление Emotet с зараженных хостов 25 апреля. Несмотря на это, Emotet сохранил лидирующую позицию в Global Threat Index, подчеркивая свое огромное влияние на весь мир. В кампаниях вредоносного спама используются различные методы для распространения Emotet, в том числе встроенные ссылки, вложения документов или защищенные паролем Zip-файлы.

Впервые Emotet обнаружили в 2014 году, но с тех пор троян регулярно обновляется разработчиками, чтобы поддерживать его эффективность. Департамент внутренней безопасности подсчитал, что устранение каждого инцидента с участием Emotet обходится организациям более чем в 1 миллион долларов.

«Emotet –– одна из самых дорогостоящих и разрушительных вредоносных программ, которая когда-либо существовала. Для его устранения были необходимы совместные усилия правоохранительных органов, и уже такой результат –– это огромное достижение, — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Однако на его место придут новые угрозы. Организациям по-прежнему важно обеспечивать наличие надежных систем безопасности для предотвращения взлома своих сетей. Нельзя забывать и об обучении сотрудников, чтобы они могли определять вредоносные письма, которые распространяют троянов и ботов».

Самое активное вредоносное ПО в январе 2021 в России: Qbot (Qakbot) – банковский троян. Впервые появился в 2008 году, был предназначен для кражи банковских учетных данных и данных от нажатий клавиш у пользователей. Qbot часто распространяется через спам и использует несколько методов защиты от виртуальных машин и песочниц, чтобы затруднить анализ и уклониться от обнаружения.

Fareit — троян, обнаруженный в 2012 году. Его разновидности похищают пароли пользователей, FTP аккаунты, телефонные номера и другие идентификационные данные, которые хранят браузеры. Способен устанавливать другие вредоносные программы на зараженные устройства и использовался для распространения трояна P2P Game over Zeus.

Phorpiex — ботнет, распространяющий вредоносные программы, в том числе с целью сексуального вымогательства.

Самое активное вредоносное ПО в январе 2021 в мире.

Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.

Phorpiex — ботнет, распространяющий вредоносные программы, в том числе с целью сексуального вымогательства.

Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

Самое распространенные уязвимости в январе 2021 в мире.

Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.

Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.

Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит злоумышленникам получить конфиденциальную информацию и несанкционированный доступ к уязвимой системе.

В этом месяце Hiddad стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют xHelper и Triada.

Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.

Triada –– модульный бэкдор для Android, предоставляющий права суперпользователя для загруженного вредоносного ПО.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 2,5 миллиардов веб-сайтов; 500 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.