18 декабря 2020 г.

Исследователи Check Point Research обнаружили всплеск активности ботнета Phorpiex, который распространяет вымогатели GandCrab и Avaddon, а также используется для шантажа жертв интимными фото или видео.

Команда исследователей Check Point Research опубликовала результаты исследования Global Threat Index за ноябрь. Самой активной угрозой месяца в мире стал знаменитый ботнет Phorpiex, атаковавший 4% организаций по всему миру. В России он оказался на шестом месте по количеству угроз, а первое место занял троян Fareit, затронув 10% компаний в стране.

Ботнет Phorpiex впервые обнаружили в 2010 году. На пике активности он контролировал более миллиона зараженных устройств. Phorpiex распространяет другие вредоносные программы посредством спам-кампаний, а также используется для рассылки sextortion—писем. Как и в июне этого года, этот ботнет использовался для распространения вымогателя Avaddon. Относительно недавно операторы снова стали предлагать Avaddon платформам для предоставления услуг по управлению атаками программ-вымогателей (RaaS) за часть прибыли от его распространения. Спам-сообщения содержат файлы формата JS и Excel, в которых скрывается Avaddon, способный зашифровывать файлы различных расширений.

«Phorpiex — один из старейших и наиболее устойчивых ботнетов, который в течение многих лет используется для распространения других вредоносных программ, таких как вымогатели GandCrab и Avaddon, а также для шантажа жертв с использованием интимных фото или видео. Новая волна атак с использованием Phorpiex показывает, насколько он эффективен для этих целей, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies Ltd в России и СНГ. — Компаниям стоит научить сотрудников отличать спам-письма, содержащие вредоносное ПО, и призвать их не открывать неизвестные файлы во вложениях, даже если кажется, что они отправлены с проверенного адреса. Кроме того, следует внедрить решения безопасности, способные защитить корпоративную сеть от заражения».

Также исследователи Check Point Research отмечают, что удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) стало самой распространенной уязвимостью и затронуло 54% организаций по всему миру. Удаленное выполнение кода MVPower DVR повлияло на 48% организаций, став второй по популярности уязвимостью. На третьем месте — обход аутентификации роутера Dasan GPON (CVE-2018-10561), затронувший 44% организаций в мире.

Самое активное вредоносное ПО в ноябре 2020 в мире:

  1. ↑Phorpiex (4%) — ботнет, распространяющий вредоносные программы, в том числе с целью шантажа разоблачениями личной жизни.
  2. ↑Dridex (3%) — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей. Dridex может отправлять информацию о зараженной системе на удаленный сервер, а также выполнять полученные с него произвольные модули.
  3. ↔Hiddad (3%) — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

Самое активное вредоносное ПО в ноябре в России:

В России в ноябре самым распространенным вредоносным ПО стал Fareit, который атаковал 10% российских организаций и впервые в этом году попал в ТОП-3 вредоносного ПО в стране. Далее следуют Emotet и FormBook с охватом 7% и 6% соответственно.

  1. Fareit или Pony Loader — троян, обнаруженный в 2012 году. Его разновидности похищают пароли пользователей, FTP аккаунты, список телефонных номеров и другие идентификационные данные, которые хранят веб-браузеры. Также он способен устанавливать другие вредоносные программы на зараженные устройства и использовался для распространения трояна P2P Game over Zeus.
  2. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  3. FormBook был впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует на нажатие клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.

Самые распространенные уязвимости в ноябре 2020 в мире:

В этом месяце самой распространенной уязвимостью стало удаленное выполнение кода в заголовках HTTP (CVE-2020-13756), которое затронуло 54% организаций по всему миру. За ней следует удаленное выполнение кода MVPower DVR, атаковавшее 48% организаций, и обход аутентификации роутера Dasan GPON (CVE-2018-10561), от которого пострадало 44% организаций в мире.

  1. ↑Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
  2. ↓Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
  3. ↓Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит злоумышленникам получить конфиденциальную информацию и несанкционированный доступ к системе.

Самые активные мобильные угрозы в ноябре 2020 в мире:

В этом месяце Hiddad стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют xHelper и Lotoor.

  1. Hiddad — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, и конфиденциальным данным пользователя.
  2. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
  3. Lotoor — программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 2,5 миллиардов веб-сайтов, 500 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.

Источник: Пресс-служба компании Check Point