Остерегайтесь вредоносного ПО Valak Variant - советы исследователей Check Point

шахадат-рахман-BfrQnKBulYQ-unsplash

Краткое содержание редактора: исследователи из Check Point сообщили, что в их отчете о главном вредоносном ПО за сентябрь 2020 года появился вариант вредоносного ПО Valak. Новый вариант Valak потенциально может украсть информацию у частных лиц и предприятий и потенциально может повлиять на почтовые серверы на базе Microsoft Exchange, а также повлиять на учетные данные пользователей и сертификаты домена. Пресс-релиз производителя находится ниже.

Самые разыскиваемые вредоносные программы в сентябре 2020 года: новый вариант Valak для кражи информации впервые вошел в список 10 лучших вредоносных программ

Исследователи Check Point обнаружили резкое увеличение количества атак с использованием нового вредоносного ПО Valak, а троян Emotet остается на 1-м месте третий месяц подряд.

СИНГАПУР, @mcgallen #microwireinfo, 8 октября 2020 г. - Check Point Research, подразделение по анализу угроз Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущий поставщик решений для кибербезопасности во всем мире, опубликовал свой последний Глобальный индекс угроз за сентябрь 2020 года. Исследователи обнаружили, что обновленная версия вредоносного ПО Valak впервые вошла в индекс, заняв 9-е место по распространенности. вредоносное ПО в сентябре.

Valak, впервые обнаруженная в конце 2019 года, представляет собой сложную угрозу, которая ранее классифицировалась как загрузчик вредоносных программ. В последние месяцы были обнаружены новые варианты со значительными функциональными изменениями, которые позволяют Valak действовать как кража информации, способная атаковать как отдельных лиц, так и предприятия. Эта новая версия Valak может красть конфиденциальную информацию из почтовых систем Microsoft Exchange, а также учетные данные пользователей и сертификаты домена. В сентябре Valak широко распространялся посредством кампаний по распространению вредоносного спама, содержащего вредоносные файлы .doc.

Троян Emotet третий месяц подряд остается на 1-м месте в рейтинге, поражая 14% организаций по всему миру. Троян Qbot, впервые попавший в список в августе, также широко использовался в сентябре, поднявшись с 10-го на 6-е место в индексе.

«Эти новые кампании по распространению Valak - еще один пример того, как злоумышленники стремятся максимизировать свои вложения в установленные, проверенные формы вредоносного ПО. Вместе с обновленными версиями Qbot, появившимися в августе, Valak призван обеспечить масштабную кражу данных и учетных данных от организаций и отдельных лиц. Компаниям следует подумать о развертывании решений для защиты от вредоносных программ, которые могут предотвратить попадание такого контента к конечным пользователям, и посоветовать своим сотрудникам быть осторожными при открытии электронных писем, даже если они, похоже, исходят из надежного источника », - сказала Майя Горовиц, директор Threat Intelligence. И исследования, продукты в Check Point.

Исследовательская группа также предупреждает, что «Удаленное выполнение кода MVPower DVR» является наиболее распространенной уязвимостью, затрагивающей 46% организаций во всем мире, за которой следует «Обход аутентификации маршрутизатора Dasan GPON», затронувший 42% организаций по всему миру. «Раскрытие информации OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346)» имело глобальное влияние на 36%.

Лучшие семейства вредоносных программ

* Стрелки указывают на изменение рейтинга по сравнению с предыдущим месяцем.

В этом месяце Emotet остается самым популярным вредоносным ПО с глобальным влиянием на 14% организаций, за ним следуют Trickbot и Dridex, поражающие 4% и 3% организаций по всему миру соответственно.

  1. ↔ Эмотет - Emotet - это продвинутый самораспространяющийся модульный троян. Первоначально Emotet был банковским трояном, но в последнее время он используется как распространитель других вредоносных программ или вредоносных кампаний. Он использует несколько методов для поддержания настойчивости и методы уклонения, чтобы избежать обнаружения. Кроме того, он может распространяться через фишинговые спам-электронные письма, содержащие вредоносные вложения или ссылки.
  2. ↑ Трикбот - Trickbot - доминирующий банковский троян, который постоянно обновляется новыми возможностями, функциями и векторами распространения. Это позволяет Trickbot быть гибким и настраиваемым вредоносным ПО, которое можно распространять в рамках многоцелевых кампаний.
  3. ↑ Дридекс - Dridex - это троянец, нацеленный на платформу Windows, который, как сообщается, загружается через вложение спама. Dridex связывается с удаленным сервером и отправляет информацию о зараженной системе. Он также может загружать и запускать произвольные модули, полученные с удаленного сервера.

Самые популярные уязвимости

В этом месяце «Удаленное выполнение кода MVPower DVR» является наиболее распространенной уязвимостью, поражающей 46% организаций во всем мире, за ней следует «Обход аутентификации маршрутизатора Dasan GPON», затронувший 42% организаций по всему миру. «Раскрытие информации OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346)» находится на третьем месте с глобальным влиянием 36%.

  1. ↑ Удаленное выполнение кода MVPower DVR - Уязвимость удаленного выполнения кода, существующая в устройствах MVPower DVR. Удаленный злоумышленник может использовать эту уязвимость для выполнения произвольного кода на уязвимом маршрутизаторе с помощью специально созданного запроса.
  2. Обход аутентификации маршрутизатора Dasan GPON (CVE-2018-10561) - Уязвимость обхода аутентификации, существующая в маршрутизаторах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
  3. ↑ Раскрытие информации пульса OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - В OpenSSL существует уязвимость раскрытия информации. Уязвимость возникает из-за ошибки при обработке контрольных пакетов TLS / DTLS. Злоумышленник может использовать эту уязвимость для раскрытия содержимого памяти подключенного клиента или сервера.

Лучшие семейства мобильных вредоносных программ

В этом месяце xHelper - самое популярное вредоносное ПО для мобильных устройств, за ним следуют Xafecopy и Hiddad.

  1. xHelper - Вредоносное приложение, которое встречается с марта 2019 года и используется для загрузки других вредоносных приложений и отображения рекламы. Приложение может скрываться от пользователя и переустанавливаться, если оно было удалено.
  2. Xafekopy - Троян Xafecopy маскируется под полезные приложения вроде Battery Master. Троянец тайно загружает на устройство вредоносный код. После активации приложения вредоносная программа Xafecopy нажимает на веб-страницы с биллингом по протоколу беспроводного приложения (WAP) - формой мобильного платежа, стоимость которого взимается непосредственно со счета мобильного телефона пользователя.
  3. Хиддад - Hiddad - это вредоносная программа для Android, которая переупаковывает законные приложения и затем отправляет их в сторонний магазин. Его основная функция - показ рекламы, но он также может получить доступ к ключевым деталям безопасности, встроенным в ОС.

Global Threat Impact Index и карта ThreatCloud от Check Point основаны на аналитике Check Point ThreatCloud, крупнейшей совместной сети для борьбы с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 2.5 миллиардов веб-сайтов и 500 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.

Полный список 10 основных семейств вредоносных программ за сентябрь можно найти на сайте Блог Check Point. Ресурсы Check Point по предотвращению угроз доступны по адресу http://www.checkpoint.com/threat-prevention-resources/index.html.

О Check Point Research
Check Point Research предоставляет передовую аналитическую информацию о киберугрозах клиентам Check Point Software и всему аналитическому сообществу. Исследовательская группа собирает и анализирует глобальные данные о кибератаках, хранящиеся в ThreatCloud, чтобы держать хакеров в страхе, обеспечивая при этом обновление всех продуктов Check Point с помощью новейших средств защиты. Исследовательская группа состоит из более чем 100 аналитиков и исследователей, сотрудничающих с другими поставщиками систем безопасности, правоохранительными органами и различными CERT.

Следите за Check Point Research через:

О компании Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) является ведущим поставщиком решений в области кибербезопасности для правительств и корпоративных предприятий по всему миру. Решения Check Point защищают клиентов от кибератак 5-го поколения за счет лучшего в отрасли показателя обнаружения вредоносных программ, программ-вымогателей и сложных целевых угроз. Check Point предлагает многоуровневую архитектуру безопасности «Infinity Total Protection с расширенным предотвращением угроз поколения V». Эта комбинированная архитектура продукта защищает корпоративное облако, сеть и мобильные устройства. Check Point предоставляет наиболее полную и интуитивно понятную единую систему управления безопасностью. Check Point защищает более 100,000 XNUMX организаций любого размера.

###