Check Point Software Technologies: кіберзлочинці все частіше використовують серверні вразливості, щоб здійснювати атаки за допомогою криптомайнінгового шкідливого ПЗ

Check Point Software Technologies Ltd. у звіті Global Threat Impact Index за квітень зазначає, що кіберзлочинці все частіше використовують серверні вразливості, щоб здійснювати атаки за допомогою криптомайнінгового шкідливого ПЗ.

Четвертий місяць поспіль шкідливі криптомайнери домінують у топ-10 звіту Check Point Global Threat Index, причому Coinhive зберігає перше місце як найпоширеніше шкідливе програмне забезпечення з глобальним охопленням 16%. Ще один криптомайнер Cryptoloot розташувався одразу за лідером (14%), на третьому місці (11%) – шкідливе рекламне ПЗ Roughted.

Дослідники Check Point також зазначили, що з початку року кібершахраї все частіше використовують незакриті вразливості серверів додатків з метою незаконного видобутку криптовалюти. Так, атаки на 46% організацій по всьому світу експлуатували вразливість у Microsoft Windows Server 2003 (CVE-2017-7269), а на 40% - вразливість Oracle WebLogic (CVE-2017-10271).

Сьогодні хакери прагнуть проникнути в мережі за допомогою незакритих вразливостей серверів, тому організаціям слід звернути увагу на те, яку важливу роль у безпеці компаній відіграє своєчасне оновлення програм та встановлення патчів. Той факт, що величезна кількість організацій зазнала атак, які експлуатували вже відомі вразливості, викликає серйозне занепокоєння, оскільки патчі для них доступні вже понад 6 місяців. Враховуючи, що понад 40% організацій у всьому світі були піддані цим атакам, вкрай важливо, щоб підприємства впроваджували багаторівневу стратегію кібербезпеки, яка захищає як від відомих сімейств кібератак, так і нових загроз.

Найактивніші зловреди у квітні 2018: CoinHive — криптомайнер, призначений для видобутку криптовалюти Monero без відома користувача, коли той відвідує веб-сайти; Cryptoloot - криптомайнер, що використовує потужність ЦП або відеокарти жертви та інші ресурси для майнінгу криптовалюти, зловред додає транзакції в блокчейн і випускає нову валюту; Roughted – масштабна кампанія шкідливої ​​реклами, яка використовується для поширення шкідливих сайтів, експлойт-китів та здирників. Вона може використовуватися для атаки на платформи будь-якого типу та будь-якої ОС, а також здатна протистояти блокувальникам реклами, щоб забезпечити найбільш широке охоплення.

Дослідники Check Point також проаналізували найбільш вразливості, що найбільш експлуатуються. На першому місці – вразливість CVE-2017-7269 з глобальним охопленням 46%, потім CVE-2017-10271 (40%), на третьому місці — вразливість типу «впровадження SQL-коду», що стосується 16% організацій у всьому світі.

Топ-3 найбільш вразливих у квітні 2018: Переповнення приймального буфера Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) — Зловмисник відправляє оброблений запит по мережі в Microsoft Windows Server 2003 R2 через Microsoft Internet Information Services. може виконати довільний код або викликати відмову в обслуговуванні на цільовому сервері. В основному це пов'язано з вразливістю переповнення буфера, викликаної неправильною обробкою довгого заголовка в запиті HTTP. Патч доступний з березня 2017 року.

Видалене виконання коду Oracle WebLogic WLS (CVE-2017-10271) — Вразливість пов'язана з тим, як Oracle WebLogic обробляє декодування xml-файлів. Успішна атака може призвести до віддаленого виконання коду. Патч доступний з жовтня 2017 року.

Впровадження SQL-коду — злом сайту або програми шляхом впровадження в SQL-запит довільного коду, використовуючи вразливість безпеки у програмному забезпеченні програми.

Цей список показує, що зловмисники успішно використовують як сучасні методи (дві вразливості, опубліковані у 2017 році), так і класичні вектори атаки, такі як впровадження SQL-коду.

Global Threat Impact Index та ThreatCloud Map розроблені ThreatCloud intelligence, найбільшою спільною мережею боротьби з кіберзлочинністю, яка надає дані про загрози та тенденції атак із глобальної мережі датчиків загроз. База даних ThreatCloud, що містить понад 250 мільйонів адрес, проаналізованих для виявлення ботів, понад 11 мільйонів сигнатур шкідливих програм та понад 5,5 мільйонів заражених сайтів продовжує щодня ідентифікувати мільйони шкідливих програм.