Отчет подтверждает быстрые темпы роста количества новых образцов блокеров и отмечает оперативность ИБ-команды Adobe, сумевшей своевременно закрыть 42 уязвимости в Adobe Flash в течение первого квартала 2015 года
Ключевые выводы:
- Количество новых образцов программ-блокеров выросло сразу на 165% за квартал, главным образом благодаря масштабному распространению семейства блокеров CTB-Locker и родственной группы вредоносных программ Teslacrypt, а также появлению новых версий CryptoWall, TorrentLocker и BandarChor
- Количество новых образцов зловредов для компонента Adobe Flash выросло на 317% по мере того как хакеры стали уделять больше внимания незакрытым уязвимостям в Adobe Flash, переключившись на них с Microsoft Silverlight и Java
- ИБ-команда Adobe предоставила патчи для всех 42 новых уязвимостей в Adobe Flash в то же день, когда информация о них была предоставления в национальный регистр уязвимостей
- Появились новые сведения об атаках хакерской группировки Equation, целью которых стала прошивка жестких дисков и твердотельных накопителей.
- Компания Intel® Security выпустила Квартальный отчет об угрозах за май 2015 года, подготовленный подразделением McAfee Labs. В первом квартале 2015 года в McAfee Labs зарегистрировали 165% рост количества новых образцов блокеров, главным образом благодаря масштабному распространению семейства CTB-Locker и родственной группы вредоносных программ Teslacrypt, а также появлению новых версий CryptoWall, TorrentLocker и BandarChor. По мнению экспертов McAfee Labs, своим успехом CTB-Locker обязан эффективным техникам обхода антивирусов, более качественным фишинговым сообщениям, а также программе вознаграждения «партнерам» по проведению атаки, в рамках которой распространители фишинговых сообщений с CTB-Locker получают процент от выкупов за дешифровку файлов. В первом квартале в национальный регистр уязвимостей поступили сведения о 42 новых уязвимостях в Adobe Flash. Adobe предоставила патчи для всех этих брешей в день их публикации. Чтобы использовать весь потенциал ИБ-технологий для оперативного исправления уязвимостей, McAfee Labs призывает организации и пользователей относиться к безопасности более ответственно и своевременно применять самые свежие патчи. «В Intel серьезно относятся к угрозам и эксплойтам, связанным с аппаратными компонентами, — подчеркнул Вифер. – Мы тщательно проверили как предоставленные исследователями PoC-эксплойты, так и ITW-образцы вредоносных программ, способных модифицировать прошивку или BIOS. Атака, разработанная хакерской группировкой Equation, использует сложнейшие в своем роде угрозы. Хотя исторически такие типы зловредов использовались в основном для целевых атак, организациям следует подготовиться с учетом возможного появления готовых вариантов таких угроз в теневом интернете».Отчет об угрозах за май также отметил некоторые другие тренды в области информационной безопасности, заметные в первом квартале 2015 года:
- McAfee Labs советует организациям усилить средства обнаружения угроз на уровнях известных векторов атаки, например, фишинговых сообщений, содержащих вредоносные ссылки, или зараженных вирусами USB-накопителей и CD-дисков, а также задуматься о возможности внедрения решений, предотвращающих перехват данных.
- В феврале 2015 года ИБ-сообщество узнало об атаке на прошивки жестких дисков и твердотельных накопителей, проводимой киберпреступной группировкой Equation. Лаборатория McAfee Labs проанализировала модули перепрограммирования и пришла к выводу, что они могут быть использованы для перепрограммирования прошивки как HDD-, так и SSD-накопителей. В случае перепрограммирования прошивка накопителя загружает вредоносное ПО каждый раз при загрузке скомпрометированной системы, от чего не спасает даже форматирование накопителя или переустановка операционной системы. При заражении системы средства безопасности неспособны выявить зловреда, который установлен в скрытой папке на системном диске.
- «Так как технология Flash невероятно широко распространена, обеспечивать оперативное обнаружение и исправление в компоненте Flash изъянов безопасности, способных затронуть миллионы пользователей, – это большая ответственность, — отметил Винсент Вифер (Vincent Weafer), старший вице-президент McAfee Labs. – В нашем отчете показано, как конструктивно могут работать компании, задействованные в ИТ-отрасли, чтобы совместно противостоять киберугрозам. Партнеры делятся аналитикой угроз, а разработчики технологий оперативно реагируют на предоставленную информацию, чтобы избежать компрометации устройств и систем хакерами».
- По результатам первого квартала также резко увеличилось количество зловредов для Adobe Flash – на 317%. Исследователи также объясняют это несколькими факторами, в том числе популярностью Adobe Flash, несвоевременным применением патчей пользователями, появлением новых методов эксплуатации уязвимостей, резким увеличением числа мобильных устройств, поддерживающих воспроизведение файлов Adobe Flash (.swf), а также сложностью выявления некоторых эксплойтов для брешей в Adobe Flash. Специалисты наблюдают значительные изменения в предпочтениях хакеров, разрабатывающих эксплойт-паки: в настоящий момент в качестве цели их больше интересует Adobe Flash, нежели Java и Microsoft Silverlight.
- Среди ключевых выводов отчета – быстрое распространение новых видов программ-блокеров, атаки на прошивку механических и твердотельных накопителей данных со стороны кибершпионской группировки Equation, а также резкое увеличение количества образцов вредоносного ПО для эксплуатации уязвимостей в мультимедийном плеере Adobe Flash.
- Рост количества зловредов для ПК. В первом квартале наблюдалось небольшое снижение количества новых сигнатур ПК-вирусов, что главным образом объясняется чрезмерно высокой активностью семейства рекламного ПО SoftPulse в четвертом квартале 2014 года и ее возвращением на привычный уровень в первом квартале 2015 года. «Зоопарк» вредоносных сигнатур McAfee Labs пополнился 400 млн новых образцов, что на 13% больше, чем в прошлом квартале.
- Мобильные зловреды. Количество образцов вредоносных программ для мобильных устройств выросло на 49% за квартал.
- SSL-атаки. Атаки, связанные с эксплуатацией уязвимостей в протоколе SSL, наблюдались и в первом квартале 2015 года, хотя их количество снизилось по сравнению с показателями прошлого квартала. Снижение вызвано, очевидно, обновлениями SSL-библиотек, которые закрыли некоторые уязвимости, эксплуатировавшиеся в прошлых кварталах. Атаки, связанные с выявленной в прошлом году уязвимостью Shellshock, в этом квартале продолжились.
- Спам-ботнеты. Крупные ботнеты Dyre, Dridex и Darkmailer3.Slenfbot отвоевали пальму первенства у Festi и Darkmailer2 и теперь являются самыми крупными сетями распространения спама; они используются в основном для рассылки сообщений с предложениями покупки медикаментов, похищенными данными кредитных карт и сомнительными инструментами для маркетинга в соцсетях.
