Check Point Software Technologies, постачальник рішень кібербезпеки, у звіті Global Threat Index відзначив значне збільшення експлойтів
Check Point Software Technologies, постачальник рішень кібербезпеки, у звіті Global Threat Index відзначив значне збільшення експлойтів
Check Point Software Technologies, постачальник рішень кібербезпеки в усьому світі, у звіті Global Threat Index за липень 2018 р. відзначив значне збільшення експлойтів, спрямованих на три основні вразливості інтернету речей. З травня 2018 р. кількість атак, пов'язаних із поширенням в інтернеті речей шкідливих програм, таких як Mirai, IoTroop/Reaper та VPNFilter, збільшилася більш ніж у 2 рази.
Протягом липня 2018 р. три вразливості увійшли до рейтингу 10 найчастіше експлуатованих: віддалене виконання кодів MVPower DVR маршрутизатора на 5-му місці; віддалене виконання команд маршрутизатора D'Link DSL-2750B на 7 місці; обхід автентифікації маршрутизатора DANAN GPON A на 10 місці. Загалом у липні 2018 р. 45% організацій у всьому світі зазнали атак на ці вразливості, у червні — атаки на них відчули 35% компаній, у травні — 21%. Всі ці вразливості дозволяють зловмисникам виконати шкідливий код та отримати віддалений контроль над потрібними пристроями.
«Відомі вразливості надають кіберзлочинцям просту та відносно безперешкодну точку входу до корпоративних мереж, що дозволяє їм виконувати широкий спектр атак. Уразливості пристрою інтернету речей часто є "шляхом найменшого опору", оскільки, як тільки один пристрій скомпрометовано, через нього можна проникнути в інші пристрої, що до нього підключені. Таким чином, для забезпечення безпеки мереж організаціям дуже важливо встановлювати патчі до відомих уразливостей, як тільки вони стають доступними».
Для захисту від відомих та невідомих вразливості організаціям необхідно розгортати багаторівневу стратегію кібербезпеки, яка захищає як від кібератак відомих сімейств шкідливого ПЗ, так і від нових загроз.
У липні 2018 р. Coinhive зберіг статус найпоширенішого шкідливого програмного забезпечення, він атакував 19% організацій у всьому світі. Cryptoloot і Dorkbot опинилися на другому та третьому місцях рейтингу відповідно, кожен із шкідливих атак атакував 7% організацій у світі.
Найактивніші зловреди в липні 2018 р.: Coinhive — криптомайнер, призначений для онлайн-майнінгу криптовалюти Monero без відома користувача, коли він відвідує веб-сторінку. Вбудований JavaScript використовує велику кількість обчислювальних ресурсів комп'ютерів кінцевих користувачів для майнінгу та може призвести до збою системи; Cryptoloot - криптомайнер, який використовує потужність ЦПУ жертви, а також наявні ресурси для криптомайнінгу - додавання транзакцій у блоковий ланцюг та випуск нової валюти. Він конкурує з Coinhive, намагається здобути перевагу, запитуючи менший відсоток доходу від веб-сайтів; Dorkbot - IRC-хробак, призначений для віддаленого виконання коду оператором, а також для завантаження додаткового шкідливого програмного забезпечення в заражену систему. Це банківський троян, основною метою якого є крадіжка конфіденційної інформації та запуск атак типу «відмова в обслуговуванні».
Lokibot, банківський троян та викрадач даних із пристроїв на платформі Android, став найактивнішою шкідливою програмою для атак на мобільні пристрої організацій. Слідом за ним у рейтингу розташувалися Lokibot та Guerilla.
Найактивніші мобільні зловреди в липні 2018 р.: Lokibot — банківський троян для Android, який також може перетворитися на шкідливу програму-вимагача, яка блокує телефон у разі видалення прав адміністратора; Triada — модульний бекдор для Android, що надає права суперкористувача завантаженому шкідливому програмному забезпеченню, оскільки сприяє його вбудованню в системні процеси. За Triada також помічений спуфінг URL-адрес, завантажених у браузер; Guerilla — це програма-клікер реклами для Android, здатна зв'язуватися з віддаленим сервером команд і контролю (C&C), завантажувати додаткові шкідливі плагіни та виконувати безперервний перехід до реклами без згоди чи відома користувача.
Топ-3 найвразливіших у липні 2018 р.: Переповнення буфера IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) Microsoft. Відправляючи створений запит через мережу на Microsoft Windows Server 2003 R2 через служби Microsoft Internet Information Services 6.0, віддалений зловмисник може виконати довільний код або викликати відмову умов обслуговування на цільовому сервері. Головним чином це пов'язано з вразливістю переповнення буфера, викликаної неналежною перевіркою довгого заголовка HTTP-запиті; Контентне віддалене виконання коду Apache Struts2 (CVE-2017-5638). В Apache Struts2 існує уразливість віддаленого виконання коду з використанням багатокомпонентного парсеру Jakarta. Зловмисник може скористатися цією вразливістю, відправивши недійсний тип вмісту як частину запиту на завантаження файлу. Успішне використання може призвести до виконання довільного коду у зараженій системі; Програма для витоку інформації OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346). У пакеті OpenSSL є вразливість, пов'язана з витоком інформації. Вона виникає через помилку при обробці heartbeat-пакетів TLS/DTLS. Зловмисник може використати цю вразливість для розкриття вмісту пам'яті підключеного клієнта чи сервера.
Global Threat Impact Index та ThreatCloud Map розроблені ThreatCloud intelligence, найбільшою спільною мережею боротьби з кіберзлочинністю, яка надає дані про загрози та тенденції атак із глобальної мережі датчиків загроз. База даних ThreatCloud, що містить понад 250 млн адрес, проаналізованих для виявлення ботів, понад 11 млн сигнатур шкідливих програм та понад 5,5 млн заражених сайтів, продовжує щоденно ідентифікувати мільйони шкідливих програм.
