Check Point Software Technologies вновь отметила рост числа кибератак с использованием эксплойт-китов. В апрельском отчете Check Point Global Threat Impact Index наиболее популярным зловредом стал набор эксплойтов Rig EK.
Эксплойт-киты предназначены для поиска и использования уязвимостей в устройствах с целью загрузки и дальнейшей активации вредоносного кода. До недавних пор их популярность во всем мире была очень низкой, однако в марте 2017 года эксперты зафиксировали всплеск атак с использованием эксплойт-китов Rig и Terror.
В течение последнего месяца Check Point также обнаружил неожиданное возрождение червя Slammer, который вернулся в тройку самых распространенных семейств вредоносного ПО после длительного перерыва. Червь Slammer впервые появился в 2003 году и распространялся чрезвычайно быстро. Он был разработан специально для Microsoft SQL 2000 и размножался так активно, что вызвал отказ в обслуживании (denial-of-service) систем в пострадавших организациях. Это второй раз за последние месяцы, когда червь проник в первую десятку Check Point Global Threat Impact Index. Эксперты предупреждают: даже многолетние вредоносные программы могут вновь появляться и набирать популярность.
Количество атак на Россию в апреле 2017 года увеличилось, и она поднялась с 50 на 36 место в рейтинге самых атакуемых стран. Чаще всего нападения велись с использованием зловредов Rig ek, Parite, Conficker, Slammer, Cryptowall, Delf, Cryptolocker, Jeefo, Ldpinch, Kometaur и Sality. Больше всего кибератакам подвергались компании Замбии, Нигерии и Камбоджи. Меньше всего атак было на организации в Молдове, на острове Гернси и в Лихтенштейне.
Рейтинг топ-3 самых популярных семейств зловредного ПО обнаруживает широкий спектр различных типов атак и целей, которые используются на всех стадиях заражения. Наиболее популярными зловредами апреля стали Rig EK и HackerDefender, которые поразили 5% и 4,5% организаций по всему миру соответственно. На счету червя Slammer атаки на 4% организаций.
Набор эксплойтов Rig EK появился в 2014 году. Rig включает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
HackerDefender — пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и ключей системного реестра. Также его применяют в качестве бэкдора и программы для перенаправления портов, которая работает через TCP-порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
Червь Slammer, действующий в памяти, атакует Microsoft SQL 2000. Благодаря быстрому распространению червь может привести к отказу в обслуживании зараженных систем.
Два самых активных семейства мобильных зловредов не изменились с прошлого месяца, в то время как вредонос Lotoor вновь попал в тройку лидеров.
Hiddad — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
Hummingbad — вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
Lotoor — инструмент для взлома, который использует уязвимости в ОС Android, чтобы получить привилегии суперпользователя на взломанных мобильных устройствах.
«В прошлом месяце мы видели, как резко набрали популярность атаки с использованием эксплойт-китов. Это в очередной раз доказало, что старые, но эффективные киберугрозы никуда не исчезают — они появляются вновь и вновь, обновленные и усовершенствованные, что делает их еще опаснее. Тот факт, что червь Slammer присоединился к двум эксплойт-китам в тройке самых популярных вредоносов, лишь подтверждает данный вывод, — отметил Василий Дягилев, глава представительства Check Point Software Technologies в Росси и СНГ. — Киберпреступники всегда предпочтут адаптировать инструменты, которые у них уже есть, а не изобретать новые, как минимум потому что это дешевле и быстрее. Это важное предупреждение для организаций из многих секторов — вы должны сохранять бдительность и развертывать сложную систему безопасности, которая защитит вас от атак разных типов».
Данные для Threat Map предоставлены Check Point’s ThreatCloudTM — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.