Check Point

Компания Check Point Software Technologies опубликовала отчет Global Threat Index за август 2018 г., в котором отмечает значительное увеличение числа атак с использованием банковского трояна Ramnit. За последние несколько месяцев Ramnit удвоил свою активность, чему способствовала широкомасштабная атака, в ходе которой устройства жертв становились вредоносными прокси-серверами. И их число за два месяца достигло 100 000.

В августе 2018 г. Ramnit подскочил до 6-го места в рейтинге угроз Threat Index и стал самым распространенным банковским трояном в восходящем тренде банковских угроз. А наиболее распространенным вредоносным ПО в августе 2018 г. остался криптомайер Coinhive, который атаковал 17% организаций по всему миру. В топ-3 поднялся модульный бот Andromeda, который, как и Dorkbot, затронул 6% организаций по всему миру.

Далее в отчете приводятся характеристики тройки лидеров среди зловредов в различных номинациях.

Самые активные зловреды в августе 2018 г. в целом

*Стрелки показывают изменение позиции по сравнению с предыдущим месяцем.

1. ↔ Coinhive — криптомайнер, предназначенный для онлайн-майнинга криптовалюты Monero без ведома пользователя, когда он посещает веб-страницу. Встроенный JavaScript использует большое количество вычислительных ресурсов компьютеров конечных пользователей для майнинга и может привести к сбою системы.

2. ↑Dorkbot — IRC-червь, предназначенный для удаленного выполнения кода оператором, а также для загрузки дополнительного вредоносного ПО в зараженную систему. Это банковский троян, основной целью которого является кража конфиденциальной информации и запуск атак типа «отказ в обслуживании».

3. ↑ Andromeda — модульный бот, используемый главным образом как бэкдор для доставки дополнительных вредоносных программ на зараженные устройства, но может быть изменен для создания различных типов бот-сетей.

Больше всего в августе атакам подверглись Эфиопия, Сейшельские острова, Катар, Ангола и Ботсвана. Меньше всего атаковали Новую Зеландию, Норвегию и Лихтенштейн. Количество атак на российские компании по сравнению с предыдущим месяцем незначительно уменьшилось. В результате Россия заняла в рейтинге Global Threat Index 92-е место, опустившись на 2 позиции. В топ-3 самых активных зловредов остаются криптомайнеры Coinhive (37%), Cryptoloot (28%) и Jsecoin (21%).

Самые активные мобильные зловреды в августе 2018 года:

Lokibot, банковский троян и похититель данных с устройств на платформе Android, стал самой активной вредоносной программой для атак на мобильные устройства организаций. Следом за ним в рейтинге расположились Lotoor и Triada.

1. Lokibot — банковский троян для Android, который также может превратиться во вредоносную программу-вымогателя, блокирующую телефон в случае удаления прав администратора.

2. Lotoor — программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.

3. Triada — модульный троян для Android, который предоставляет привилегии суперпользователя для загружаемых вредоносных программ, а также помогает внедрить их в системные процессы.

Топ-3 самых эксплуатируемых уязвимостей в августе 2018 года:

Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости в популярных приложениях. На первом месте уязвимость CVE-2017-7269, которая затронула 47% организаций по всему миру. На втором месте уязвимость OpenSSL TLS DTLS Heartbeat (41%), следом CVE-2017-5638 (36%).

1. ↔ Переполнение буфера Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269). Отправляя созданный запрос по сети на сервер Microsoft Windows Server 2003 R2 через службы Microsoft Internet Information Services 6.0, удаленный злоумышленник может выполнить произвольный код или вызвать отказ условий обслуживания на целевом сервере. Главным образом это связано с уязвимостью переполнения буфера, вызванной ненадлежащей проверкой длинного заголовка в HTTP-запросе.

2. ↑ Heartbeat-уязвимость OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346). В пакете OpenSSL есть уязвимость, связанная с утечкой информации. Она возникает из-за ошибки при обработке heartbeat-пакетов TLS/DTLS. Злоумышленник может использовать эту уязвимость для раскрытия содержимого памяти подключенного клиента или сервера.

3. ↑ D-Link DSL-2750B Remote Command Execution — уязвимость удаленного выполнения кода в роутерах D-Link DSL-2750B. Успешная эксплуатация может привести к произвольному выполнению кода на уязвимом устройстве.