В декабре уязвимость Apache Log4j практически «захлестнула» сеть

Аналитики Check Point Research (CPR) представили отчет Global Threat Index о наиболее активных угрозах в декабре 2021 г. Исследователи сообщают, что уязвимость Apache Log4j практически «захлестнула» сеть. Самым распространенным вредоносным ПО в мире остается Trickbot, а вернувшийся в ноябре Emotet быстро поднялся с седьмой позиции на вторую. Чаще всего злоумышленники по-прежнему атакуют сферу образования и исследований.

Наиболее используемой уязвимостью в декабре стала «Удаленное выполнение кода Apache Log4j», которая затронула 48,3% организаций по всему миру. Впервые о ней стало широко известно 9 декабря. Речь идет о самой популярной библиотеке ведения журналов Java. Ее используют во многих интернет-сервисах и приложениях – всего ее скачали с GitHub более 400 тыс. раз. Уязвимость затронула почти половину компаний во всем мире за очень короткий промежуток времени.

Злоумышленники могут использовать уязвимые приложения для запуска криптоджекеров и других вредоносных программ на скомпрометированных серверах. До сих пор большинство атак были сосредоточены на майнинге криптовалюты за счет ресурсов жертв, но продвинутые злоумышленники начали действовать агрессивно и использовать уязвимость в других своих целях.

«Новость о Log4j была одной из самых ярких в декабре. Это одна из самых серьезных уязвимостей, с которыми мы когда-либо сталкивались. Из-за сложности ее исправления и простоты использования она, вероятно, останется с нами на долгие годы, если подавляющее большинство организаций ничего не предпримет в ближайшее время, – рассказывает Майя Горовиц (Maya Horowitz), руководитель группы Threat Intelligence Research, Check Point Software Technologies – В этом месяце мы также видели, как ботнет Emotet переместился с седьмого места в рейтинге самого распространенного вредоносного ПО на второе. Как мы и предполагали, ему не потребовалось на это много времени. Emotet устойчив к обнаружению и быстро распространяется через фишинговые электронные письма с вредоносными вложениями или ссылками. Сейчас организациям как никогда важно иметь надежное решение для защиты электронной почты. И нужно удостовериться, что все пользователи знают, как идентифицировать подозрительное сообщение или вложение».

Команда CPR (Check Point Research) также сообщила, что организации сферы образования и исследований чаще других подвергались атакам по всему миру. За ними следуют правительственные и военные органы, организации телекоммуникационного сектора.

Самое активное вредоносное ПО в декабре 2021 г. в мире:

1. Trickbot – один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, способное распространяться в рамках многоцелевых кампаний;
2. Emotet – продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки;
3. Formbook – впервые обнаружен в 2016 г.: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера.

Наиболее распространенные уязвимости декабря:

1. Apache Log4j Remote Code Execution (CVE-2021-44228) – в Apache Log4j существует уязвимость, которая делает возможным удаленное выполнение кода. Успешное использование этой уязвимости может позволить удаленному злоумышленнику выполнить произвольный код в уязвимой системе;
2. Раскрытие информации в хранилище Git на веб-сервере – уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи;
3. Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.

Самые активные мобильные угрозы конца 2021:

1. AlienBot – семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в официальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство;
2. xHelper – вредоносное приложение для Android, активно с марта 2019 г., используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его;
3. FluBot – вредоносная программа-ботнет для Android. Распространяется через фишинговые SMS, которые часто имитируют бренды логистических служб. Как только пользователь переходит по ссылке из сообщения, происходит автоматическая установка FluBot, который сразу получает доступ ко всей конфиденциальной информации на телефоне.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365