опубликовано

Краткое содержание редактора: когда мы думали, что ботнет Emotet - это уже давно минувшая эра, кажется, что он снова приходит в норму. Это справедливое предупреждение для практиков кибербезопасности о том, что злоумышленники всегда пытаются снова и снова, безжалостно, нанести ущерб нашим сетям и системам. Пресс-релиз производителя находится ниже.

Самое разыскиваемое вредоносное ПО в июле 2020 года: Emotet снова наносит удар после пяти месяцев отсутствия

Check Point Research обнаружила резкое увеличение числа ботнетов Emotet, распространяющих спам-кампании после периода бездействия с целью кражи банковских учетных данных и распространения в целевых сетях.

СИНГАПУР, @mcgallen #microwireинфо, 11 августа 2020 г. - Check Point Research, подразделение по анализу угроз Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущий мировой поставщик решений для кибербезопасности, опубликовал свой последний Глобальный индекс угроз за июль 2020 года. Исследователи обнаружили, что после пятимесячного отсутствия Emotet вернулась на 1-е место в рейтинге с показателем 5%. организаций по всему миру.

С февраля 2020 года деятельность Emotet - в первую очередь рассылка кампаний вредоносного спама - начала замедляться и в конечном итоге прекратилась, пока не возобновилась в июле. Эта закономерность наблюдалась в 2019 году, когда ботнет Emotet прекратил работу в летние месяцы, но возобновился в сентябре.

В июле Emotet распространял кампании вредоносного спама, заражая своих жертв с помощью TrickBot и Qbot, которые используются для кражи банковских учетных данных и распространения внутри сетей. Некоторые из кампаний по распространению вредоносного спама содержали вредоносные файлы документов с такими именами, как «form.doc» или «invoice.doc». По словам исследователей, вредоносный документ запускает PowerShell для извлечения двоичного файла Emotet с удаленных веб-сайтов и заражения компьютеров, добавляя их в ботнет. Возобновление деятельности Emotet подчеркивает масштабы и мощь ботнета во всем мире.

«Интересно, что Emotet бездействовал на несколько месяцев ранее в этом году, повторяя модель, которую мы впервые наблюдали в 2019 году. Мы можем предположить, что разработчики ботнета обновляли его функции и возможности. Но поскольку он снова стал активным, организациям следует обучать сотрудников тому, как определять типы вредоносного спама, несущие эти угрозы, и предупреждать о рисках открытия вложений электронной почты или перехода по ссылкам из внешних источников. Компаниям также следует подумать о развертывании решений для защиты от вредоносных программ, которые могут предотвратить попадание такого контента к конечным пользователям », - сказала Майя Хоровиц, директор по анализу угроз и исследованиям продуктов Check Point.

Исследовательская группа также предупреждает, что «Удаленное выполнение кода MVPower DVR» является наиболее распространенной уязвимостью, затрагивающей 44% организаций во всем мире, за которой следует «раскрытие информации о пульсе OpenSSL TLS DTLS Heartbeat», которая затрагивает 42% организаций во всем мире. «Внедрение команд через полезную нагрузку HTTP» находится на третьем месте с глобальным влиянием 38%.

Лучшие семейства вредоносных программ

* Стрелки указывают на изменение рейтинга по сравнению с предыдущим месяцем.

В этом месяце Emotet - самое популярное вредоносное ПО с глобальным влиянием на 5% организаций, за которым следуют Dridex и Agent Tesla, поражающие по 4% организаций каждая.

  1. ↑ эмоция - Emotet - это продвинутый самораспространяющийся модульный троян. Первоначально Emotet был банковским трояном, но в последнее время он используется как распространитель других вредоносных программ или вредоносных кампаний. Он использует несколько методов для поддержания настойчивости и техники уклонения, чтобы избежать обнаружения. Кроме того, он может распространяться через фишинговые спам-сообщения, содержащие вредоносные вложения или ссылки.
  2. ↑ Дридекс - Dridex - это троянец, нацеленный на платформу Windows, который, как сообщается, загружается через вложение спама. Dridex связывается с удаленным сервером и отправляет информацию о зараженной системе. Он также может загружать и запускать произвольные модули, полученные с удаленного сервера.
  3. ↓ Агент Тесла - Агент Tesla - это продвинутая RAT, функционирующая как кейлоггер и кража информации, способная отслеживать и собирать ввод с клавиатуры жертвы, системный буфер обмена, делать снимки экрана и извлекать учетные данные, принадлежащие различным программам, установленным на машине жертвы (включая Google Chrome, Почтовый клиент Mozilla Firefox и Microsoft Outlook).

Самые популярные уязвимости

В этом месяце «Удаленное выполнение кода MVPower DVR» является наиболее распространенной уязвимостью, затрагивающей 44% организаций во всем мире, за ней следует «раскрытие информации пульса OpenSSL TLS DTLS», которая затрагивает 42% организаций во всем мире. «Внедрение команд через полезную нагрузку HTTP» находится на третьем месте с глобальным влиянием 38%.

  1. ↑ Удаленное выполнение кода MVPower DVR - Уязвимость удаленного выполнения кода, существующая в устройствах MVPower DVR. Удаленный злоумышленник может использовать эту уязвимость для выполнения произвольного кода на уязвимом маршрутизаторе с помощью искусственного запроса.
  2. ↓ Раскрытие информации о тактовом импульсе OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Уязвимость раскрытия информации, существующая в OpenSSL. Уязвимость возникает из-за ошибки при обработке контрольных пакетов TLS / DTLS. Злоумышленник может использовать эту уязвимость для раскрытия содержимого памяти подключенного клиента или сервера.
  3. ↑ Внедрение команд через полезную нагрузку HTTP - Сообщалось об уязвимости внедрения команды через HTTP-данные. Удаленный злоумышленник может воспользоваться этой проблемой, отправив жертве специально созданный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на целевой машине.

Лучшие семейства мобильных вредоносных программ

В этом месяце xHelper является самым популярным вредоносным ПО, за ним следуют Necro и PreAMo.

  1. xHelper - Вредоносное приложение, которое встречается с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение может скрываться от пользователя и переустанавливаться, если оно было удалено.
  2. Necro - Necro - троянский дроппер для Android. Он может загружать другое вредоносное ПО, показывать навязчивую рекламу и красть деньги, взимая плату за подписку.
  3. PreAMo - PreAmo - это вредоносное ПО для Android, которое имитирует пользователя, нажимая на баннеры, полученные от трех рекламных агентств - Presage, Admob и Mopub.

Global Threat Impact Index и карта ThreatCloud от Check Point основаны на аналитике Check Point ThreatCloud, крупнейшей совместной сети для борьбы с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 2.5 миллиардов веб-сайтов и 500 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.

Полный список 10 основных семейств вредоносных программ за июль можно найти на Блог Check Point.

Ресурсы Check Point по предотвращению угроз доступны по адресу  http://www.checkpoint.com/threat-prevention-resources/index.html

О Check Point Research
Check Point Research предоставляет передовую аналитическую информацию о киберугрозах Check Point Software заказчики и более широкое разведывательное сообщество. Исследовательская группа собирает и анализирует глобальные данные о кибератаках, хранящиеся в ThreatCloud, чтобы держать хакеров в страхе, обеспечивая при этом обновление всех продуктов Check Point с помощью последних средств защиты. Исследовательская группа состоит из более чем 100 аналитиков и исследователей, сотрудничающих с другими поставщиками систем безопасности, правоохранительными органами и различными CERT.

Следите за Check Point Research через:

О команде Check Point Software Технологии ООО
Check Point Software Technologies Ltd. (www.checkpoint.com) - ведущий поставщик решений в области кибербезопасности для правительств и корпоративных предприятий во всем мире. Решения Check Point защищают клиентов от кибератак 5-го поколения за счет лучшего в отрасли показателя обнаружения вредоносных программ, программ-вымогателей и сложных целевых угроз. Check Point предлагает многоуровневую архитектуру безопасности «Infinity Total Protection с расширенным предотвращением угроз поколения V». Эта комбинированная архитектура продукта защищает корпоративное облако, сеть и мобильные устройства. Check Point предоставляет наиболее полную и интуитивно понятную единую систему управления безопасностью. Check Point защищает более 100,000 XNUMX организаций любого размера.

###