Check Point обнаружил огромный скачок в использовании наборов эксплойтов по всему миру. Согласно мартовскому отчету Check Point Threat Index, второе место в списке самых популярных вредоносных программ занял эксплойт-кит Rig.
Наборы эксплойтов, предназначенные, чтобы искать и использовать уязвимости на машинах, а затем загружать и исполнять вредоносный код, почти не использовались с мая 2016 года, когда исчезли популярные наборы зловредов Angler и Nuclear. Однако мартовский отчет показал, что Rig EK резко поднялся в списках, став вторым среди наиболее часто используемых зловредов. В марте злоумышленники также чаще использовали Terror EK – от попадания в топ-10 его отделяет всего лишь одно место.
Rig включает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
Terror впервые был обнаружен в начале декабря 2016 и включал в себя восемь различных функциональных эксплойтов. Как Rig, так и Terror способны доставлять различные виды угроз – от кибервымогателей и банковских троянов до спам-ботов и майнинга биткоинов.
Как и в феврале, тройка самых популярных семейств вредоносных программ представлена самыми разными по функционалу видами вредоносного ПО. В 2016 году одним из самых прибыльных инструментов киберпреступников стало вымогательство, а теперь они начали использовать для его доставки эксплойт-киты. И нет никаких оснований думать, что вымогатели сойдут на нет в ближайшее время.
На первом и втором месте в рейтинге самых распространенных вредоносных программ находятся HackerDefender и Rig EK соответственно, на их счету 5% зараженных организаций по всему миру. За ними следуют Conficker и Cryptowal, жертвами которых стали 4% компаний.
Самые активные зловреды марта 2017:
- HackerDefender — Пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и ключей системного реестра. Также его применяют в качестве бэкдора и программы для перенаправления портов, которая работает через TCP-порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
- RigEK— Набор эксплойтов появился в 2014 году. Rigвключает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
- Conficker — Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.
В рейтинге самых опасных мобильных зловредов, как и в феврале, первое и второе место занимают Hiddad и Hummingbad. А вот третье место в марте занял Ztorg, отсутствовавший в тройке лидеров с января 2017.
Самыеактивныемобильныезловреды:
- Hiddad — Зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
- Hummingbad — Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
- Ztorg — Троян, использующий рутовые привилегии, чтобы загружать и устанавливать приложения на смартфон пользователя без его ведома.
Василий Дягилев, глава представительства Check Point Software Technologies в Росси и СНГ, отметил: «Резкий рост активности эксплойт-паков в марте показывает, что угрозы никогда не исчезают навсегда — они могут просто затихнуть, а затем внезапно активизироваться. Злоумышленникам всегда легче пересмотреть и внести изменения в существующие семейства зловредов, а не разрабатывать новые. А наборы эксплойтов — это особенно гибкие и адаптируемые типы угроз. Чтобы противостоять угрозам от Rig, Terror и других эксплойтов, организациям нужно использовать передовые системы безопасности, такие как Check Point SandBlast ™ Zero-Day Protection и Mobile Threat Prevention».
Данные для Threat Map предоставлены Check Point’s ThreatCloudTM — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.
