Меню
Поиск

Троян Dridex лидирует в апрельском рейтинге наиболее активных кибер-угроз

18 май, 2021 - 16:15

Троян Dridex лидирует в апрельском рейтинге наиболее активных кибер-угроз

Подразделение Check Point Research представило апрельский отчет Global Threat Index о наиболее активных кибер-угрозах. По данным исследователей, в глобальных масштабах троян AgentTesla впервые поднялся на второе место в рейтинге. Лидирующую позицию сохраняет троян Dridex.

В апреле Dridex (троян, нацеленный на Windows), распространялся через вредоносную кампанию с использованием бренда QuickBooks (бухгалтерский программный комплекс). Злоумышленники пытались привлечь внимание пользователей фейковыми уведомлениями об оплате счетов. К фишинговым письмам было прикреплено вредоносное вложение Microsoft Excel – оно могло заразить систему трояном Dridex.

Dridex часто используется на начальном этапе заражения программами-вымогателями. Хакеры используют метод двойного вымогательства: они не просто шифруют данные, требуя за них выкуп, а еще и угрожают опубликовать их, если не будет оплаты. В марте команда Check Point Research сообщила, что количество атак программ-вымогателей увеличилось на 57% в начале года. Это восходящая тенденция: она достигла 107% роста по сравнению с аналогичным периодом прошлого года. В 2020 г., по оценкам, ущерб от вымогателей во всем мире составил около 20 млрд. долл. – почти на 75% выше, чем в 2019 г.

AgentTesla впервые заняла второе место в рейтинге вредоносных программ. Это продвинутый RAT (троян удаленного доступа), который заражает компьютеры с 2014 г., выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook). В апреле наблюдался рост кампаний AgentTesla, которые распространяются через вредоносный спам. В таких фишинговых письмах предлагается загрузить файл (может быть документ любого типа), который может вызвать заражение системы AgentTesla.

«Согласно нашей статистике, каждые 10 секунд в мире одна организация становится жертвой атак программ-вымогателей, – комментирует Александр Савушкин, региональный директор по развитию бизнеса Check Point Software Technologies в Украине, Грузии и странах СНГ. – Пока эта угроза не снижается, и организации должны рассчитывать в первую очередь на себя. Необходимо обеспечить надежную защиту от программ-вымогателей, и не забывать о регулярных тренингах для сотрудников по кибергигиене: человеческий фактор до сих пор остается самым уязвимым».

Самое активное вредоносное ПО апреля в Украине:

В апреле Trickbot стал самым популярным вредоносным ПО, атаковав 19,5% организаций в Украине. За ним следуют XMRig и Turla, затронувшие 7,5% и 5% организаций соответственно.

  1. Trickbot – один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
  2. XMRig – ПО с открытым исходным кодом, впервые обнаруженное в мае 2017 г. Используется для майнинга криптовалюты Monero.
  3. Turla – бэкдор, нацеленный на платформу Windows. Вредоносная программа может предоставить злоумышленникам возможность удаленно управлять зараженным ПК.

Наиболее распространенные уязвимости в апреле в мире:

В этом месяце «Раскрытие информации в хранилище Git на веб-сервере» стала самой эксплуатируемой уязвимостью, затрагивающей 46% организаций во всем мире. На втором и третьем месте «Удаленное выполнение кода в заголовках HTTP» и «Удаленное выполнение кода MVPower DVR» с охватом 45,5% и 44% соответственно.

  1. Раскрытие информации в хранилище Git на веб-сервере – уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
  2. Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
  3. Удаленное выполнение кода MVPower DVR – в устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.

Актуальные мобильные угрозы месяца:

Самым популярным вредоносным ПО для мобильных устройств стал xHelper. За ним следуют Triada и Hiddad.

  1. xHelper – вредоносное приложение для Android, активно с марта 2019 г., используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
  2. Triada – модульный бэкдор для Android, предоставляющий права суперпользователя для загруженного вредоносного ПО.
  3. Hiddad – модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.