Червь Slammer вновь попал в рейтинг самых популярных зловредов

Червь Slammer вновь попал в рейтинг самых популярных зловредов

Червь Slammer вновь попал в рейтинг самых популярных зловредов

Check Point вновь отметил рост числа кибератак с использованием эксплойт-китов. В апрельском отчете Check Point Global Threat Impact Index наиболее популярным зловредом стал набор эксплойтов Rig EK.

Эксплойт-киты предназначены для поиска и использования уязвимостей в устройствах с целью загрузки и дальнейшей активации вредоносного кода. До недавних пор их популярность во всем мире была очень низкой, однако в марте 2017 года эксперты зафиксировали всплеск атак с использованием эксплойт-китов Rig и Terror.

В течение последнего месяца Check Point также обнаружил неожиданное возрождение червя Slammer, который вернулся в тройку самых распространенных семейств вредоносного ПО после длительного перерыва. Червь Slammer впервые появился в 2003 году и распространялся чрезвычайно быстро. Он был разработан специально для Microsoft SQL 2000 и размножался так активно, что вызвал отказ в обслуживании (denial-of-service) систем в пострадавших организациях. Это второй раз за последние месяцы, когда червь проник в первую десятку Check Point Global Threat Impact Index. Эксперты предупреждают: даже многолетние вредоносные программы могут вновь появляться и набирать популярность.

Количество атак на Россию в апреле 2017 года увеличилось, и она поднялась с 50 на 36 место в рейтинге самых атакуемых стран. Чаще всего нападения велись с использованием зловредов Rig ek, Parite, Conficker, Slammer, Cryptowall, Delf, Cryptolocker, Jeefo, Ldpinch, Kometaur и Sality. Больше всего кибератакам подвергались компании Замбии, Нигерии и Камбоджи. Меньше всего атак было на организации в Молдове, на острове Гернси и в Лихтенштейне.

Рейтинг топ-3 самых популярных семейств зловредного ПО обнаруживает широкий спектр различных типов атак и целей, которые используются на всех стадиях заражения. Наиболее популярными зловредами апреля стали Rig EK и HackerDefender, которые поразили 5% и 4,5% организаций по всему миру соответственно. На счету червя Slammer атаки на 4% организаций.

Самые активные зловреды апреля 2017:

  1. RigEK Набор эксплойтов появился в 2014 году. Rig включает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
  2. HackerDefender Пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и ключей системного реестра. Также его применяют в качестве бэкдора и программы для перенаправления портов, которая работает через TCP-порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
  3. SlammerЧервь, действующий в памяти, атакует Microsoft SQL 2000. Благодаря быстрому распространению червь может привести к отказу в обслуживании зараженных систем.

Два самых активных семейства мобильных зловредов не изменились с прошлого месяца, в то время как вредонос Lotoor вновь попал в тройку лидеров.

Самые активные мобильные зловреды:

  1. Hiddad Зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
  2. Hummingbad Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
  3. Lotoor Инструмент для взлома, который использует уязвимости в ОС Android, чтобы получить привилегии суперпользователя на взломанных мобильных устройствах.

«В прошлом месяце мы видели, как резко набрали популярность атаки с использованием эксплойт-китов. Это в очередной раз доказало, что старые, но эффективные киберугрозы никуда не исчезают — они появляются вновь и вновь, обновленные и усовершенствованные, что делает их еще опаснее. Тот факт, что червь Slammer присоединился к двум эксплойт-китам в тройке самых популярных вредоносов, лишь подтверждает данный вывод, — отмечает Василий Дягилев, глава представительства Check Point Software Technologies в Росси и СНГ. — Киберпреступники всегда предпочтут адаптировать инструменты, которые у них уже есть, а не изобретать новые, как минимум потому что это дешевле и быстрее. Это важное предупреждение для организаций из многих секторов — вы должны сохранять бдительность и развертывать сложную систему безопасности, которая защитит вас от атак разных типов».

Данные для Threat Map предоставлены Check Point’s ThreatCloudTM — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В США оглашены обвинения по делу предполагаемого разработчика LockBit

В окружном суде штата Нью-Джерси огласили обвинения, выдвинутые против Ростислава Панева. Гражданину России и Израиля инкриминируют соучастие в разработке кодов LockBit и обеспечении работы сервиса на основе этого шифровальщика (RaaS).

Арест 51-летнего подозреваемого состоялся в августе этого года в Израиле. Вопрос о его экстрадиции в США пока не решен.

Согласно материалам дела, в период с 2019 года по февраль 2024-го Панев за плату помогал стоящей за LockBit ОПГ совершенствовать RaaS-зловреда, который применялся против тысяч организаций в 120 странах и принес вымогателям не менее $500 млн в виде выкупа за возврат зашифрованных данных.

В ходе обыска на компьютере задержанного были обнаружены учетки администратора репозитория кода, размещенного в даркнете. Как оказалось, в нем хранились исходники билдера LockBit разных версий.

Там же были обнаружены ключи доступа к панели управления шифровальщиком и исходные коды инструмента StealBit, предоставляемого подписчикам RaaS для вывода украденных данных.

По имеющимся свидетельствам, за свои услуги Панев ежемесячно получал примерно $10 тыс. в криптовалюте. За 20 месяцев главный админ LockBit-сервиса Дмитрий Хорошев суммарно перевел ему более $230 тысяч.

В ходе допросов арестованный признал, что оказывал содействие группировке LockBit в качестве программиста, разработчика и консультанта, а также что получал плату за услуги в криптовалюте. В частности, им были созданы коды для нейтрализации антивирусов, развертывания зловреда в корпоративных сетях и вывода на печать записки с требованием выкупа.

Арест Панева был проведен по итогам совместного расследования ФБР и партнеров из 11 стран. Перед этим международной правоохране удалось обезвредить часть инфраструктуры LockBit — взять под контроль серверы, заблокировать сайты.

В Нью-Джерси в настоящее время открыто семь дел в связи с распространением продуктивного шифровальщика. Кроме Панева и Хорошева, обвинения выдвинуты против предполагаемых подписчиков RaaS Михаила Васильева и Руслана Астамирова; оба уже сознались в совершении преступлений и ждут приговора.

Параллельно с операцией по ликвидации инфраструктуры LockBit в том же штате были оглашены обвинения, выдвинутые против Артура Сунгатова и Ивана Кондратьева, использующего ник Bassterlord. Им тоже инкриминируют проведение атак с использованием шифровальщика; оба фигуранта пока не пойманы.

США также очень надеются заполучить и призвать к ответу Михаила Матвеева, известного как Boriselcin и Wazawaka. По данным ФБР, россиянин использовал в атаках не только LockBit, но и других шифровальщиков, однако американцам придется встать в очередь: недавно стало известно, что Матвеева будут судить на родине за создание аналогичного вредоноса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru