В отчете Global Threat Intelligence Trends Report за второе полугодие 2016 года выделены ключевые тактики, которые киберпреступники используют для атак на компании, а также представлен подробный обзор ландшафта киберугроз в топ-категориях вредоносного ПО — программ-вымогателей, банковских и мобильных зловредов. Отчет основан на данных об угрозах, полученных с помощью глобальной карты киберугроз Check Point ThreatCloud World Cyber Threat Map в июле-декабре 2016 г.
За этот период эксперты Check Point обнаружили следующие ключевые тренды:
* Монополия на рынке вымогателей. В 2016 году были обнаружены тысячи новых вариантов вымогательского ПО. Однако за последние месяцы мы стали свидетелями изменений в ландшафте угроз этого типа: он становится все более и более централизованным, на рынке доминируют всего несколько семейств ransomware, которые атакуют организации любых размеров.
* DDoS-атаки через IoT-устройства. В августе 2016 г. был обнаружен печально известный ботнет Mirai, первый в своем роде IoT-ботнет. Он атакует уязвимую подключенную к интернету цифровую электронику типа записывающих устройств (DVR) и камер видеонаблюдения (CCTV). Зловред превращает эти устройства в боты, а затем использует их для запуска множественных массированных атак типа «отказ в обслуживании» (DDoS). Сегодня очевидно, что уязвимые IoT-устройства используются почти в каждом доме, и что DDoS-атаки с их участием будут продолжаться.
* Новые расширения файлов, используемые в спам-рассылках. Самым распространенным вектором заражения при спам-атаках во второй половине 2016 г. были загрузчики на базе Windows Script engine (WScript). Загрузчики, написанные на языках Javascript (JS) и VBScript (VBS), доминировали по уровню распространения вредоносного спама вместе с похожими, но менее известными форматами типа JSE, WSF и VBE.
Топ вредоносных программ второго полугодия 2016:
1. Conficker (14,5%) — Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.
2. Sality (6,1%) — Вирус, который заражает ОС Microsoft Windows и позволяет удаленные действия и загрузки других вредоносных программ. Из-за своей сложности и способностей к адаптации Sality считается на сегодняшний день одной из самых опасных вредоносных программ.
3. Cutwail (4,6%) — Ботнет, чаще всего задействованный в рассылке спама, а также в DDOS-атаках. После установки боты подключаются напрямую к командному серверу и получают
инструкции о том, какие письма им необходимо разослать. Закончив выполнение задания, боты отправляют спамеру точную статистику своих действий.
4. JBossjmx (4,5%) — Червь, который атакует системы с установленной уязвимой версией JBoss Application Server. Вирус создает в скомпрометированных системах вредоносную JSP-страницу, которая выполняет произвольные команды. Кроме того, создается дополнительный бэкдор, который принимает команды с удаленного IRC-сервера.
5. Locky (4,3%) — Вымогательское ПО, появившееся в феврале 2016 года. Распространяется в основном через спам-письма, содержащие инфицированный Word или Zip файл. Он загружает и устанавливает вредоносное ПО, шифрующее пользовательские файлы.
Топ программ-вымогателей второго полугодия 2016:
Процент атак вымогателей по отношению к общему число зарегистрированных атак во всем мире во второй половине 2016 г. почти удвоился — показатель вырос с 5,5% до 10,5%. Самые распространенные из обнаруженных вариантов:
1. Locky 41% — Третий из самых популярных программ вымогателей в первом полугодии. Его присутствие во второй половине года значительно увеличилось.
2. Cryptowall 27% — Программа-вымогатель, которая начинала как двойник зловреда Cryptolocker, но в конечном итоге превзошла его. После ликвидации Cryptolocker Cryptowall стал одним из ведущих на сегодняшний день вымогателей. Cryptowall известен использованием AES-шифрования и C&C-коммуникаций через анонимную сеть Tor. Эта программа активно распространяется через эксплойткиты, вредоносную рекламу и фишинговые кампании.
3. Cerber 23% — Крупнейшая в мире схема типа «вымогательское ПО-как-услуга». Cerber — это франшиза, с помощью которой разработчик набирает аффилированных лиц, которые распространяют вредоносное ПО за долю от прибыли.
Топ вредоносного мобильного ПО второго полугодия 2016:
1. Hummingbad 60% — Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активности, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
2. Triada 9% — Модульный бэкдор для Android, который дает повышенные привилегии загруженным зловредам, поскольку помогает им внедриться в системные процессы. Triada также была замечена в подмене URL-адресов, загруженных в браузере.
3. Ztorg 7%— Троян, использующий рутовые привилегии, чтобы загружать и устанавливать приложения на смартфон пользователя без его ведома.
Топ вредоносного ПО для банков:
1. Zeus 33% — Троян, который атакует устройства на платформе Windows и часто используется для кражи банковской информации с помощью технологии «человек-в-браузере» (man-in-the-browser), отслеживает набор с клавиатуры и заполнение форм в браузере.
2. Tinba 21% — Банковский троян, который похищает данные учетных записей пользователя с помощью веб-инъекций, активируемых, когда пользователь пытается зайти на сайт своего банка.
3. Ramnit 16% — Банковский троян, который похищает данные учетных записей клиентов банка, пароли FTP, файлы cookies сессий и личные данные.
Василий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ, прокомментировал: «В отчете представлено современное состояние киберсреды, в которой быстро растет число атак с применением вымогателей. Это происходит, потому что они эффективны и генерируют значительные доходы для преступников. Организации пытаются эффективно противостоять угрозе, однако у многих не установлена необходимая защита, а сотрудники не обучены способам определения признаков потенциальной атаки программы-вымогателя во входящих сообщениях электронной почты».
«Кроме того, наши данные демонстрируют, что небольшая группа вредоносных семейств осуществляет большинство атак, при том, что тысячи других семейств вредоносного ПО проявляют активность достаточно редко, — продолжает Василий.— Большинство киберугроз действуют на глобальном и межрегиональном уровне, однако Азиатско-Тихоокеанский регион выделяется на общем фоне, так как его рейтинг топ-семейств вредоносного ПО включает пять семейств, которые не встречаются в других региональных рейтингах».