Check Point Software Technologies опублікувала звіт Global Threat Index
Check Point Software Technologies опублікувала звіт Global Threat Index
Check Point Software Technologies опублікувала звіт Global Threat Index за серпень 2018 року, в якому відзначає значне збільшення кількості атак з використанням банківського трояну Ramnit.
За останні кілька місяців Ramnit подвоїв свою активність, чому сприяла широкомасштабна кампанія, під час якої пристрої жертв ставали шкідливими проксі-серверами.
У серпні 2018 року Ramnit підскочив до 6-го місця в рейтингу загроз Threat Index і став найпоширенішим банківським трояном у висхідному тренді банківських загроз.
«Це другий випадок за літо, коли зловмисники все частіше використовують банківські трояни, щоб отримати швидкий прибуток. Тенденції, подібні до цієї, не слід ігнорувати, оскільки хакери чітко знають, які вектори атаки з великою ймовірністю будуть успішними зараз. Хакери вивчають звички користувачів і знають, що в літній період вони вразливіші для банківських троянів. Це показує, наскільки зловмисники завзяті та винахідливі у своїх спробах отримати гроші. Щоб запобігти експлуатації як банківськими троянами, так і іншими типами атак, дуже важливо, щоб підприємства застосовували багаторівневу стратегію кібербезпеки, яка захищає від відомих шкідливих програм та від загроз нульового дня».
У серпні 2018 року криптомінер Coinhive залишився найбільш поширеним шкідливим програмним забезпеченням, атакувавши 17% організації по всьому світу. У топ-3 піднявся модульний бот Andromeda, який, як і Dorkbot, торкнувся 6% організацій у всьому світі.
Найактивніші зловреди в серпні 2018 року: Coinhive — криптомайнер для онлайн-майнінгу криптовалюти Monero без відома користувача, коли він відвідує веб-сторінку. Вбудований JavaScript використовує велику кількість обчислювальних ресурсів комп'ютерів кінцевих користувачів для майнінгу та може призвести до збою системи.
Dorkbot — IRC-хробак для віддаленого виконання коду оператором, а також для завантаження додаткового шкідливого програмного забезпечення в заражену систему. Це банківський троян, основною метою якого є крадіжка конфіденційної інформації та запуск атак типу «відмова в обслуговуванні».
Andromeda — модульний бот, що використовується головним чином як бекдор для доставки додаткових шкідливих програм на заражені пристрої, але може бути змінений для створення різних типів бот-мереж.
За даними Check Point, у серпні кількість атак на компанії порівняно з попереднім місяцем трохи зменшилася. У топ-3 найактивніших зловредів залишаються криптомайнери Coinhive (37%), Cryptoloot (28%) та Jsecoin (21%). Найбільше в серпні атакували Ефіопія, Сейшельські острови, Катар, Ангола і Ботсвана. Найменше атакували Нову Зеландію, Норвегію та Ліхтенштейн.
Lokibot, банківський троян та викрадач даних із пристроїв на платформі Android, став найактивнішою шкідливою програмою для атак на мобільні пристрої організацій. Слідом за ним у рейтингу розташувалися Lotoor та Triada.
Найактивніші мобільні зловреди в серпні 2018 року.
Lokibot - банківський троян для Android, який також може перетворитися на шкідливу програму-здирника, яка блокує телефон у разі видалення прав адміністратора.
Lotoor – програма використовує вразливості в операційній системі Android, щоб отримати привілейований root-доступ на зламаних мобільних пристроях.
Triada - Модульний троян для Android, який надає привілеї суперкористувача для шкідливих програм, що завантажуються, а також допомагає впровадити їх у системні процеси.
Дослідники Check Point також проаналізували найбільш вразливості, що найбільш експлуатуються. На першому місці вразливість CVE-2017-7269, яка торкнулася 47% організацій у всьому світі. На другому місці вразливість OpenSSL TLS DTLS Heartbeat (41%), слідом за CVE-2017-5638 (36%).
Топ3 найвразливіших у серпні 2018 року:
Переповнення буфера Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269). Відправляючи створений запит по мережі на Microsoft Windows Server 2003 R2 через служби Microsoft Internet Information Services 6.0, віддалений зловмисник може виконати довільний код або викликати відмову умов обслуговування на цільовому сервері. Головним чином це пов'язано з вразливістю переповнення буфера, викликаної неналежною перевіркою довгого заголовка в HTTP-запиті.
Heartbeat-вразливість OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346). У пакеті OpenSSL є вразливість, пов'язана з витоком інформації. Вона виникає через помилку при обробці heartbeat-пакетів TLS/DTLS. Зловмисник може використовувати цю вразливість для розкриття вмісту пам'яті підключеного клієнта чи сервера.
D-Link DSL-2750B Remote Command Execution - вразливість віддаленого виконання коду в роутерах D-Link DSL-2750B. Успішна експлуатація може призвести до довільного виконання коду на вразливому пристрої.
Global Threat Impact Index та ThreatCloud Map розроблені ThreatCloud intelligence, найбільшою спільною мережею боротьби з кіберзлочинністю, яка надає дані про загрози та тенденції атак із глобальної мережі датчиків загроз. База даних ThreatCloud, що містить понад 250 мільйонів адрес, проаналізованих для виявлення ботів, понад 11 мільйонів сигнатур шкідливих програм та понад 5,5 мільйонів заражених сайтів, продовжує щоденно ідентифікувати мільйони шкідливих програм.
