Check Point

Компания Check Point® Software Technologies в сентябре зафиксировала значительное увеличение числа атак Locky. По результатам Global Threat Impact Index, вымогатель поразил 11,5% организаций во всем мире.
Locky не появлялся в десятке самых активных зловредов с ноября 2016 г., но в сентябре 2017 стремительно поднялся, оказавшись на втором месте при помощи ботнета Necurs, который тоже вошел в рейтинг, заняв 10-е место. Эти атаки подняли Locky на 25 мест, выше оказался только рекламный зловред RoughTed.
Locky начал распространяться в феврале 2016 г. и быстро стал одним из самых активных в мире вредоносных семейств. В основном он распространяется через спам-письма, содержащие загрузчик с вредоносными макросами, замаскированный под вложение Word или Zip. Когда пользователи активируют эти макросы — обычно под действием социальной инженерии — приложение загружает и устанавливает вредоносное ПО, которое шифрует файлы. Сообщение направляет пользователя на загрузку браузера Tor и открывает веб-страницу с требованием оплаты выкупа в биткойнах. В июне 2016 г. ботнет Necurs выпустил обновленную версию Locky, содержащую новые методы для обхода обнаружения.
Возрождение Locky показывает, что компании не могут быть спокойны, пока вредоносное ПО существует. Опытные киберпреступники будут постоянно искать способы совершенствования своих инструментов, чтобы снова использовать их. Мощные ботнеты могут вдохнуть новую жизнь в старые варианты зловредов, позволяя им быстро поражать пользователей по всему миру. Тот факт, что в сентябре каждая десятая организация во всем мире была поражена хотя бы одним видом вымогателей, говорит о том, что существующие вредоносные программы могут быть так же опасны, как и абсолютно новые варианты.
Самые активные зловреды сентября 2017 года:
1. RoughTed — крупномасштабная кампания вредоносной рекламы, используется для переадресации пользователей на зараженные сайты и загрузки мошеннических программ, эксплойт-китов и программ-вымогателей. Зловред может быть использован для атаки на любые типы платформ и операционные системы; способен обходить блокировку рекламы.
2. Locky — вымогатель, который начал свое распространение в феврале 2016 г., распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, которое затем загружает и устанавливает вредоносное ПО, которое шифрует файлы пользователя.
3. Globeimposter — вымогатель, замаскированный под шифровальщик Globe ransomware. Был обнаружен в мае 2017 г. и распространялся с помощью спам-кампаний, вредоносной рекламы и эксплойт-китов. После шифрования программа добавляет расширение .crypt к каждому зашифрованному файлу.
HackerDefender — пользовательский руткит для Windows, который был третьим по распространенности вредоносным ПО в августе, покинул первую десятку. Самым популярным вредоносным ПО для атаки мобильных устройств в сентябре стал Triada, который поднялся с третьего места, за ним следуют Hiddad и Lotoor.
Самые активные мобильные зловреды:
1. Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
2. Hiddad — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
3. Lotoor — хакерский инструмент, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.