Самое опасное ПО мая 2021: банковские трояны снова в топе

Троян Trickbot, который впервые вошел в топ-лист в апреле 2019 года, занял первое место, а Dridex, который был одной из самых популярных вредоносных программ в последние месяцы на фоне глобального всплеска программ-вымогателей, вышел из рейтинга. Об этом говорится в отчете о самых активных угрозах в мае 2021 года, представленном компанией Check Point Research (CPR).
Пока неизвестно, почему Dridex не вошел в список лучших, однако поступила информация о том, что хакерская группировка Evil Corp (которая широко известна своей приверженностью Dridex) изменила подход к атакам, чтобы уклониться от преследования Министерства финансов США.
Trickbot, занявший первое место в рейтинге, – это ботнет и банковский троян, который может красть финансовые и учетные данные, а также личную информацию. Вдобавок он способен распространять программы-вымогатели, например Ryuk. Особенно популярным стал после ликвидации ботнета Emotet в январе и попал в заголовки новостей, когда Министерство юстиции США предъявило обвинение гражданке Латвии за ее роль в создании и распространении этого вредоноса.
С начала 2021 года наблюдается значительный рост кибератак на предприятия. По сравнению с маем минувшего года, количество кибератак в Северной и Южной Америке увеличилось на 70%, в регионе EMEA – на 97%, а в Азиатско-Тихоокеанском регионе произошло ошеломляющее увеличение – на 168% в годовом исчислении.

Самое активное вредоносное ПО

Trickbot атаковал 8% организаций. За ним следуют XMRig и FormBook, затронувшие по 3% организаций каждый. Здесь и далее дана статистика за май 2021 года по всему миру.
1. Trickbot – один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
2. XMRig – программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
3. FormBook был впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует на нажатие клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.

Самые распространенные уязвимости

Самой эксплуатируемой уязвимостью, затрагивающей 48% организаций, стало раскрытие информации в хранилище Git на веб-сервере. На втором и третьем месте – удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) и удаленное выполнение кода MVPower DVR с охватом 47,5% и 46% соответственно.
1. Раскрытие информации в хранилище Git на веб-сервере – уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
2. Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) – заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
3. Удаленное выполнение кода MVPower DVR – в устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.

Самые активные мобильные угрозы

1. xHelper – вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
2. Triada – модульный бэкдор для Android, предоставляющий права суперпользователя для загруженного вредоносного ПО.
3. Hiddad – модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

БЕЛТА+

Добавить комментарий