Угрозы в ноябре

Команда исследователей Check Point Research, подразделения Check Point® Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности, опубликовала результаты исследования Global Threat Index за ноябрь.

Самой активной угрозой месяца в мире стал знаменитый ботнет Phorpiex, атаковавший 4% организаций по всему миру. В России он оказался на шестом месте по количеству угроз, а первое место занял троян Fareit, затронув 10% компаний.

Ботнет Phorpiex впервые обнаружили в 2010 году. На пике активности он контролировал более миллиона зараженных устройств. Phorpiex распространяет другие вредоносные программы посредством спам-кампаний, а также используется для рассылки sextortion–писем.

Как и в июне этого года, этот ботнет использовался для распространения вымогателя Avaddon. Относительно недавно операторы снова стали предлагать Avaddon платформам для предоставления услуг по управлению атаками программ-вымогателей (RaaS) за часть прибыли от его распространения. Спам-сообщения содержат файлы формата JS и Excel, в которых скрывается Avaddon, способный зашифровывать файлы различных расширений.

«Phorpiex — один из старейших и наиболее устойчивых ботнетов, который в течение многих лет используется для распространения других вредоносных программ, таких как вымогатели GandCrab и Avaddon, а также для шантажа жертв с использованием интимных фото или видео. Новая волна атак с использованием Phorpiex показывает, насколько он эффективен для этих целей, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies Ltd в России и СНГ. — Компаниям стоит научить сотрудников отличать спам-письма, содержащие вредоносное ПО, и призвать их не открывать неизвестные файлы во вложениях, даже если кажется, что они отправлены с проверенного адреса. Кроме того, следует внедрить решения безопасности, способные защитить корпоративную сеть от заражения».

Исследователи Check Point Research отмечают, что удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) стало самой распространенной уязвимостью и затронуло 54% организаций по всему миру. Удаленное выполнение кода MVPower DVR повлияло на 48% организаций, став второй по популярности уязвимостью. На третьем месте — обход аутентификации роутера Dasan GPON (CVE-2018-10561), затронувший 44% организаций в мире.

Самое активное вредоносное ПО в ноябре 2020 в мире 

1. ↑Phorpiex (4%) — ботнет, распространяющий вредоносные программы, в том числе с целью шантажа разоблачениями личной жизни.
2. ↑Dridex (3%) — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей. Dridex может отправлять информацию о зараженной системе на удаленный сервер, а также выполнять полученные с него произвольные модули.
3. ↔Hiddad (3%) — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

Самое активное вредоносное ПО в ноябре в России

В России в ноябре самым распространенным вредоносным ПО стал Fareit, который атаковал 10% российских организаций и впервые в этом году попал в ТОП-3 вредоносного ПО в стране. Далее следуют Emotet и FormBook с охватом 7% и 6% соответственно.

1. Fareit или Pony Loader — троян, обнаруженный в 2012 году. Его разновидности похищают пароли пользователей, FTP аккаунты, список телефонных номеров и другие идентификационные данные, которые хранят веб-браузеры. Также он способен устанавливать другие вредоносные программы на зараженные устройства и использовался для распространения трояна P2P Game over Zeus.
2. Emotet — продвинутый самораспространяющийся модульный троян. Когда-то он был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
3. FormBook был впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует на нажатие клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.

Самые распространенные уязвимости в ноябре 2020 в мире

В этом месяце самой распространенной уязвимостью стало удаленное выполнение кода в заголовках HTTP (CVE-2020-13756), которое затронуло 54% организаций по всему миру. За ней следует удаленное выполнение кода MVPower DVR, атаковавшее 48% организаций, и обход аутентификации роутера Dasan GPON (CVE-2018-10561), от которого пострадало 44% организаций в мире.

1. ↑Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
2. ↓Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
3. ↓Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит злоумышленникам получить конфиденциальную информацию и несанкционированный доступ к системе.

Самые активные мобильные угрозы в ноябре 2020 в мире

В этом месяце Hiddad стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют xHelper и Lotoor.

1. Hiddad — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, и конфиденциальным данным пользователя.
2. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
3. Lotoor — программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 2,5 миллиардов веб-сайтов, 500 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.

Со средствами предотвращения вредоносных атак Check Point можно ознакомиться по ссылке:  http://www.checkpoint.com/threat-prevention-resources/index.html