Check Point Global Threat Index: киберпреступники вернулись к трояну Trickbot

[neHcuoHep]

Check Point® Software Technologies опубликовала отчет с самыми активными угрозами в апреле Global Threat Index. Банковский троян Trickbot впервые за почти два года вернулся в первую десятку рейтинга.

Универсальные банковские трояны, такие как Trickbot, популярны среди киберпреступников, так как позволяют получить максимальную прибыль. Trickbot нацелен преимущественно на банки, но отдельные пользователи также могут с ним столкнуться. Он имеет широкую географию распространения и большое языковое разнообразие, что делает его одним из самых опасных и сложноудаляемых вирусов.  Атаки Trickbot резко увеличились в апреле, когда рассылка вредоносного спама с темой американского «Налогового дня» совпала с крайним сроком подачи налоговых деклараций в США. В рамках спам-кампании злоумышленники распространили файлы Excel, которые загружали Trickbot на компьютеры жертв для распространения по сетям, сбора банковских данных и возможной кражи налоговых документов для мошеннического использования.

Три из десяти самых распространенных вариантов вредоносного ПО в апреле — криптомайнеры. Остальные семь из первой десятки — многоцелевые трояны. Это показывает, что тактика киберпреступников меняется после закрытия нескольких популярных служб криптомайнинга и снижения стоимости криптовалюты в прошлом году мошенники ищут другие каналы с максимальной финансовой выгодой. Важно отметить, что слабым, незащищенным звеном являются мобильные устройства — только 9% профессионалов в сфере ИТ считают мобильные угрозы серьезным риском для безопасности. При этом через них вредоносное ПО может легко проникать в облачные или локальные сети организаций.

В апреле самым активным вредоносом в России стал Badrabbit, который затронул 25% организаций. Программа-червь, нацеленная на платформу Windows, использует список имен пользователей и паролей для доступа и распространения на SMB-ресурсы других систем в сети. После Badrabbit следует криптомайнер Cryptoloot (22,5%), который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Третьем в списке идет XMRig (10.5%) — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

«Как только криптомайнеры перестали приносить серьезную прибыль, злоумышленники сразу же переключились на другие, более выгодные методы. В апреле самым активной вредоносной программой в России стал Badrabbit. А если посмотреть данные по всему миру, и Trickbot, и Emotet попали в топ-10 вредоносных программ. Это особенно тревожно, так как оба ботнета используются не только для кражи личных и учетных данных, но и вымогателем Ryuk. Ryuk славится своими активами, такими как базы данных и серверы резервного копирования, требуя выкуп в размере до миллиона долларов. Поскольку эти вредоносные программы постоянно трансформируются, крайне важно иметь надежную линию защиты от них с передовой системой предотвращения угроз», — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. 

Топ-3 самых активных вредоносных ПО в апреле 2019:

* Стрелки показывают изменение позиции по сравнению с предыдущим месяцем 

↑ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
↑Jsecoin — JavaScript-майнер, который может запускать майнер прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.
В этом месяце Triada стал наиболее распространенным вредоносным ПО для мобильных устройств, сменив Hiddad.  Lootor остался на втором месте, а Hiddad опустился на третье.

Самые активные мобильные угрозы апреля 2019:

1.     Triada — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузерах.
2.     Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
3.     Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. OpenSSL TLS DTLS Heartbeat Information Disclosure - самая популярная уязвимость, эксплуатируемая с глобальным влиянием на 44% организаций во всем мире. Впервые за 12 месяцев CVE-2017-7269 опустился с первого места на второе, затронув 40% организаций. На третьем месте стоит CVE-2017-5638 с глобальным влиянием на 38% организаций по всему миру.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

http://www.nnit.ru/news/n213291/