Команда исследователей Check Point Research, подразделение Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в области кибербезопасности по всему миру, опубликовала отчет Global Threat Index с самыми активными угрозами в мае 2019 года. Исследователи предупреждают организации о необходимости проверять ПО на всех компьютерах с Windows 7 и Windows Server 2008, чтобы предотвратить риск атак вымогателей и криптомайнеров, в частности, BlueKeep, известного как CVE-2019-0708.
Уязвимость BlueKeep может затронуть почти один миллион компьютеров, имеющих доступ в интернет, а также те, которые находятся в сети организаций. Уязвимость очень серьезная, так как позволяет злоумышленникам добраться до критических данных без взаимодействия с пользователем. Атака происходит через протокол RDP, и такой способ воздействия очень распространен. В частности, он используется для установки программ-вымогателей, таких как Samsam и Dharma. В настоящее время специалисты Check Point наблюдают множество попыток сканирования уязвимостей, исходящих из разных стран мира. Такое сканирование может быть начальным этапом разведки и свидетельствовать о планировании атаки. Вместе с соответствующим исправлениями Microsoft Check Point обеспечивает защиту сети и конечных устройств от этой атаки.
«Самая большая угроза, которую мы видели за последний месяц — Bluekeep. Несмотря на то, что пока не было замечено ни одной атаки, использующей эту уязвимость, было совершено несколько публичных экспериментальных проверок. Мы согласны с Microsoft и другими наблюдателями индустрии кибербезопасности, что Bluekeep может быть использован для запуска кибератак в таких же масштабных кампаниях как WannaCry и NotPetya в 2017 году. Достаточно одного компьютера с этой уязвимостью, чтобы заразить всю сеть. Тогда все зараженные компьютеры, подключенные к интернету, могут заразить другие уязвимые устройства по всему миру, что позволяет атаке распространяться экспоненциально и безостановочно. Поэтому очень важно, чтобы организации уже сейчас защищали себя, пока не стало слишком поздно» — объясняет Никита Дуров, технический директор Check Point Software Technologies в России и СНГ.
Другим важным событием в мае стали новости от разработчиков программы GandCrab Ransomware-as-a-Service, которые в последний день месяца объявили о прекращении своей деятельности и попросили своих партнеров прекратить распространение вируса в течение 20 дней. Вымогатель был активен с января 2018 года, и всего за два месяца было инфицировано более 50 000 жертв. Общий доход его разработчиков и филиалов, как утверждается, составляет миллиарды долларов. Регулярно входящий в десятку самых разыскиваемых, Gandcrab часто пополнялся новыми возможностями, позволяющими обойти инструменты обнаружения.
Самое активное вредоносное ПО мая 2019*:
*Стрелки показывают изменение позиции по сравнению с предыдущим месяцем
Три самых известных криптомайнера — Cryptoloot, XMRig и Jsecoin продолжают лидировать в рейтинге вредоносных программ, каждый из которых атаковал 4% организаций по всему миру.
↑ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года.Используется для майнинга криптовалюты Monero.
↑Jsecoin — JavaScript-майнер, который может запускать майнинг прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.
Самые активные мобильные угрозы мая 2019:
↑ Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
↑ Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
↓ Triada — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузерах.
Самые распространенные уязвимости мая 2019:
В мае исследователи отметили возвращение традиционных методов атак (вероятно, это вызвано снижением активности криптомайнеров). Методы SQL-инъекций лидируют в рейтинге угроз (49% организаций по всему миру). Раскрытие информации в веб-сервере Git Repository и уязвимость в OpenSSL TLS DTLS Heartbeat заняли второе и третье место соответственно, затронув 44% и 41% организаций во всем мире.
↑ SQL-инъекция (несколько способов использования) — вставка SQL-кода во входные данные от клиента к странице с использованием уязвимости в программном обеспечении приложения.
↑ Раскрытие информации в хранилище Git на веб-сервере. В Git Repository была обнаружена уязвимость, которая могла привести к раскрытию информации учетной записи.
↓ Ошибка HeartBleed в ПО OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.
Полный список десятки самых опасных вредоносных программ мая.
Исследования Check Point по предотвращению угроз/
