Check Point Software Technologies: за останні чотири місяці атаки банківських троянів зросли на 50%

Check Point Software Technologies у звіті Global Threat Impact Index за червень зазначає, що за останні чотири місяці атаки банківських троянів зросли на 50%. До десятки найактивніших загроз увійшло дві родини троянів.

Банківський троян Dorkbot, який краде конфіденційну інформацію та запускає DDoS-атаки, торкнувся 7% організацій по всьому світу. Так, зловред піднявся з восьмого на третє місце у списку найнебезпечніших шкідливих програм за версією Check Point. Також у червні з'явився троян Emotet, здатний викрадати банківські дані користувачів та розповсюджуватись за допомогою вже інфікованих комп'ютерів.

Новий шкідливість стрімко поширюється останні два місяці — він перемістився з 50 місця квітневого звіту на 11 поточну позицію. Разом з Dorkbot до топ-10 кіберзагроз увійшов троян Ramnit, який краде банківські дані та FTP-паролі.

«Мотивація більшості кіберзлочинів — фінансовий зиск. Хакери шукають ефективні інструменти, які дозволять отримувати високий прибуток із найменшими витратами. Подібну масштабну активність банківського трояна ми спостерігали минулого літа. Можна припустити, що кіберзлочинці намагаються скористатися відпускним періодом. Під час відпочинку люди більш вразливі, тому що найчастіше використовують невідомі публічні Wi-Fi точки доступу, скачують документи або заходять в акаунти онлайн-банків з чужих пристроїв».

Для захисту від банківських троянів та інших видів атак підприємствам дуже важливо розгортати багаторівневу стратегію кібербезпеки, яка здатна захистити як від існуючих шкідливих програм, так і від нових загроз.

Найбільш активні зловреди у червні 2018. CoinHive - криптомайнер, призначений для видобутку криптовалюти Monero без відома користувача, коли той відвідує веб-сайти. Cryptoloot - криптомайнер, що використовує потужність ЦП або відеокарти жертви та інші ресурси для майнінгу криптовалюти, зловред додає транзакції в блокчейн і випускає нову валюту. Dorkbot - черв'як на базі IRC, створений з метою віддалено виконувати код через оператора, а також завантажувати додаткове шкідливе програмне забезпечення на вже інфіковану систему. Dorkbot — це банківський троян, основна мета якого — отримати критичну інформацію та запустити DDoS-атаки.

Triada, модульний бекдор для Android, який надає привілеї суперкористувача, став найактивнішим мобільним зловредом, що атакує організації. За ним йдуть Lokibot і The Truth Spy.

За даними Check Point, у червні кількість атак на компанії зменшилась порівняно з попереднім місяцем. Серед найактивніших загроз, що атакують організації, виявилися вже згадані шкідливі криптомайнери Coinhive та Cryptoloot. За ними в рейтингу слідує сімейство троянів Nivdort, яке атакує пристрої на платформі Windows і збирає дані про паролі та відомості про систему.

Найбільше в червні атакам хакерів зазнали Мозамбік, Монголія та Ефіопія. Найменше атакували острів Мен, Ісландія та Ліхтенштейн.

Найактивніші мобільні зловреди в червні 2018. Triada — модульний бекдор для Android, який дає величезні привілеї завантаженим зловредам. Lokibot - банківський троян для Android, який краде дані користувача і вимагає за них викуп. Злочинець може заблокувати телефон, якщо видалити його права адміністратора. The Truth Spy - шпигунське програмне забезпечення для смартфонів на платформі iOS та Android, що відстежує всі операції пристрою, включаючи моніторинг повідомлень у WhatsApp, Facebook та історії пошуку у браузері.

Дослідники Check Point також проаналізували найбільш вразливості, що найбільш експлуатуються. На першому місці – вразливість CVE-2017-7269 з глобальним охопленням 46%, потім CVE-2017-10271 (40%), на третьому місці – вразливість типу «впровадження SQL-коду», що стосується 16% організацій у всьому світі. >

Топ-3 найбільш вразливих у червні 2018. Переповнення приймального буфера Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) — Зловмисник відправляє оброблений запит по мережі в Microsoft Windows Server 2003 R2 через Microsoft Internet Information Services. може виконати довільний код або викликати відмову в обслуговуванні на цільовому сервері. В основному це пов'язано з уразливістю переповнення буфера, викликаного неправильною обробкою довгого заголовка в HTTP-запиті. Патч доступний з березня 2017 року. Віддалене виконання коду Oracle WebLogic WLS (CVE-2017-10271) — Вразливість пов'язана з тим, як Oracle WebLogic обробляє декодування файлів xml. Успішна атака може призвести до віддаленого виконання коду. Патч доступний з жовтня 2017 року. Впровадження SQL-коду — злом сайту або програми шляхом впровадження в SQL-запит довільного коду, використовуючи вразливість безпеки у програмному забезпеченні програми.

Цей список показує, що зловмисники успішно використовують як сучасні методи (дві вразливості, опубліковані у 2017 році), так і класичні вектори атак, такі як впровадження SQL-коду.

Global Threat Impact Index та ThreatCloud Map розроблені ThreatCloud intelligence, найбільшою спільною мережею боротьби з кіберзлочинністю, яка надає дані про загрози та тенденції атак із глобальної мережі датчиків загроз. База даних ThreatCloud, що містить понад 250 мільйонів адрес, проаналізованих для виявлення ботів, понад 11 мільйонів сигнатур шкідливих програм та понад 5,5 мільйонів заражених сайтів, продовжує щоденно ідентифікувати мільйони шкідливих програм.