Check Point, крупнейший в мире вендор, специализирующийся исключительно на информационной безопасности, опубликовал список самых распространенных видов вредоносных программ, которые использовались для глобальных атак на сети и мобильные устройства в ноябре 2015 года.
На основе данных, полученных с помощью ThreatCloud World Cyber Threat Map, которая в режиме реального времени отображает места и виды кибератак по всему миру, в ноябре 2015 года Check Point выявил более 1200 различных видов вредоносного ПО. Два из трех самых распространенных видов ПО — это Conficker и Necurs. Они отключают службы безопасности, чтобы создать еще больше уязвимостей в сети, которые позволяют использовать скомпрометированные машины для DDoS и спам-атак.
Частота применения вредоносного ПО семейства Necurs выросла в 30 раз по сравнению с октябрем 2015 года, поднявшись с 53 на третье место. Necurs обычно применяется в сочетании с трояном Bedep, использование которого также увеличилось в 250 раз. Сейчас он занимает 12-е место в списке наиболее распространенных вредоносных программ по всему миру (в октябре находился на 459 месте).
Оба семейства имеют отношение к набору эксплойтов Angler Exploit Kit, который применялся в нескольких масштабных атаках с использованием вредоносной рекламы, внедряемой на сайты издательств. Эти атаки на онлайн-издания и рекламные сети продолжаются по всему миру.
Топ-3 семейства вредоносных программ, на которые в ноябре пришлось около 40% обнаруженных атак:
- Conficker — 20% всех нападений осуществлялось с помощью этого вида ПО. Машины, зараженные Conficker, управляются ботом. Conficker также отключает службы безопасности, вследствие чего компьютеры становятся еще более уязвимыми к воздействию других вирусов.
- Cutwail — ботнет, наиболее часто используемый для рассылки спама, а также DDoS-атак.
- Necurs — используется в качестве бэкдора для последующего скачивания вредоносного ПО на зараженный компьютер и отключения служб безопасности, для обхода системы обнаружения угроз.
Эти виды вредоносного ПО получили самое широкое распространение как в целом по миру, так и в России. Кроме них российские компании и пользователи наиболее часто подвергались атакам с использованием:
- Delf — троян, замеченный за выполнением одного или нескольких следующих действий: переадресация веб-трафика; манипуляции с некоторыми приложениями Windows или сторонними приложениями, включая внесение изменений в настройки или конфигурацию; загрузка, установка и запуск дополнительных вредоносных программ.
- Sality— вирус, позволяющий хакеру выполнять удаленные операции и загружать дополнительно злонамеренное ПО на зараженном компьютере. Используется данный вирус для того, чтобы максимально долго оставаться незамеченным в системе, обеспечивать средства для дистанционного управления и в последующем устанавливать вредоносное ПО.
- Buhtra — троян для платформ Windows, который используется как шпионский элемент в хакерских кампаниях, направленных на банки и бизнес. Вредоносная программа может фиксировать данные, набранные на клавиатуре, красть данные из буфера обмена и проверять статусы смарт-карт в зараженных системах. Собранная информация о системе отправляется контролирующему удаленному серверу, от которого получаются инструкции для последующих действий на зараженном компьютере.
В ходе исследования в ноябре Check Point также обнаружил рост использования мобильного вредоносного ПО по всему миру на 17%. Xinyin, Ztorg и AndroRAT — топ-3 семейства вредоносного ПО, с помощью которых чаще всего производятся атаки на мобильные устройства. Число атак с помощью Xinyin и AndroRAT по сравнению с прошлым месяцем почти удвоилось, для AndroRAT этот рост стал десятикратным. Все три варианта ПО атакуют устройства на базе Android.
- Xiyin — вирус типа Trojan-Clicker для кликфрода на рекламных сайтах Китая.
- Ztorg — троян, использующий root-полномочия для скачивания и установки приложений на мобильный телефон без ведома пользователя.
- AndroRAT — вредоносное программное обеспечение, которое способно включать себя в состав легитимного мобильного приложения и устанавливаться без ведома пользователя, предоставляя хакеру полный удаленный доступ к устройству на базе Android.
Натан Шучами (Nathan Shuchami), глава отдела по предотвращению угроз Check Point: «Организациям приходится ежедневно сражаться, чтобы надежно защитить свои сети от киберпреступников, поэтому для них критически важно знать, с каким противником они имеют дело. Данные за ноябрь свидетельствуют о том, что злоумышленники сосредоточились на использовании вредоносного ПО, которое способно отключать службы безопасности и незаметно заражать машины, чтобы легче использовать их в своих интересах.
Увеличение числа мобильных угроз также говорит о растущей необходимости для организаций защитить мобильные устройства своих сотрудников, на которых обрабатываются и хранятся ценные корпоративные данные. Злоумышленники уже поняли, что эти гаджеты представляют собой более легкую мишень, чем корпоративные сети, поэтому организациям критически важно создать защиту от их несанкционированного использования, чтобы избежать утечки информации».
Информацию для сервиса ThreatCloud Map предоставляет Check Point ThreatCloudTM — крупнейшая сеть для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО
