Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Самое распространенное вредоносное ПО в январе: Lokibot вернулся в топ-10 рейтинга, а Emotet занял первое место

10/02/22

hack38-Feb-10-2022-11-24-34-20-AMКоманда Check Point Research представила отчет Global Threat Index о самых активных угрозах в январе 2022 года. Исследователи сообщают, что Emotet cместил Trickbot в рейтинге и стал самым распространенным вредоносным ПО в январе, затронув 6% организаций во всем мире.

Уязвимость Log4j также продолжает беспокоить ИБ-команды, затрагивая 47,4% организаций по всему миру. Наиболее подверженным атакам отраслями по-прежнему остаются образование и исследовательская деятельность.

Спустя два с половиной месяца после своего возвращения Emotet занял первое место в рейтинге. Печально известный ботнет чаще всего распространяется через фишинговые электронные письма, содержащие вредоносные вложения или ссылки. Ему помогла распространенность Trickbot — последний действует как катализатор, распространяя вредоносные программы по новым жертвам. В топ-10 вошел также инфостилер Lokibot, которого используют для получения учетных данных электронной почты, паролей к криптокошелькам и FTP-серверам.

«Неудивительно, что Emotet вернулся с новой силой. Он мастерски умеет уклоняться от обнаружений — а тот факт, что он использует несколько методов заражения сетей, только усиливает серьезность угрозы. Маловероятно, что он быстро исчезнет, — рассказывает Майя Горовиц, руководитель группы Threat Intelligence Research, Check Point Software Technologies, Ltd. — В этом месяце мы также наблюдали, как в России в топ рейтинга вошел инфостилер Lokibot. Он распространяется через идеально подготовленные фишинговые письма. Эти угрозы вместе с уязвимостью Log4j подчеркивают, как важно обеспечивать максимальную безопасность в сетях, облаке, мобильных и конечных устройствах».

Самое активное вредоносное ПО в январе 2022 в России:

  1. Revil — впервые обнаружен в 2019 году: это вымогатель, позиционирующийся как SaaS, работающий по «партнерской» модели. REvil шифрует данные в каталоге пользователя и удаляет их резервные копии, чтобы затруднить восстановление данных. Для его распространения используются самые разные тактики — спам, эксплойты серверов, взлом серверных программ управляемых сервисов (MSP), переадресация вредоносных кампаний на набор эксплойтов RIG. Затронул 12,28% организаций.
  2. Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера. Затронул 6,22% организаций.
  3. Lokibot – инфостилер, впервые обнаруженный в феврале 2016 года. Он распространяется в основном через фишинговые письма. Lokibot собирает учетные данные из различных приложений, электронной почты, браузеров, инструментов ИТ-администрирования, таких как PuTTY и других. Есть версии как для ОС Windows, так и для ОС Android. LokiBot продается на хакерских форумах. Считается, что его исходный код появился в сети в результате утечки, что привело к появлению множества его разновидностей. С конца 2017 года некоторые версии LokiBot для Android включают функции программ-вымогателей в дополнение к возможностям инфостилера. Затронул 5,54% организаций.

Самое активное вредоносное ПО в январе 2022 в мире:

  1. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  2. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, способное распространяться в рамках многоцелевых кампаний.
  3. Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера.

Самые атакуемые отрасли в мире:

  1. Образование/Исследования
  2. Государственные и военные организации
  3. ISP/MSP

Самые распространенные уязвимости в январе 2022 в мире:

  1. Apache Log4j Remote Code Execution (CVE-2021-44228) — в Apache Log4существует уязвимость, которая делает возможным удаленное выполнение кода. Успешное использование этой уязвимости может позволить удаленному злоумышленнику выполнить произвольный код в уязвимой системе.
  2. Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
  3. Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы

Самые активные мобильные угрозы в январе 2022:

  1. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
  2. AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в официальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
  3. FluBot — вредоносная программа-ботнет для Android. Распространяется через фишинговые СМС, которые часто имитируют бренды логистических служб. Как только пользователь переходит по ссылке из сообщения, происходит автоматическая установка FluBot, который сразу получает доступ ко всей конфиденциальной информации на телефоне.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — крупнейшим сетевым сообществом по борьбе с киберпреступностью, которое предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более трех миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ.

Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ по данным Global Threat Index за январь можно найти в блоге Check Point Software Technologies.

Со средствами предотвращения вредоносных атак Check Point Software Technologies можно ознакомиться по ссылке:  http://www.checkpoint.com/threat-prevention-resources/index.html

Темы:ИсследованиеУгрозыботнетCheck Point
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...