Check Point: за последний месяц ботнет Phorpiex увеличил свою активность в два раза

Компания Check Point Software Technologies Ltd., ведущий поставщик решений в области кибербезопасности, опубликовала результаты исследования Global Threat Index за июнь. Исследователи обнаружили, несколько спам компаний, которые в прошлом месяце активно распространяли ботнет Phorpiex. В результате данной активности Phorpiex поднялся с 15 места на второе место в рейтинге самых распространенных вредоносных программ, удвоив свое влияние на организации по сравнению с маем.

В исследовании Check Point сообщается, что ботнет Phorpiex известен благодаря распространению спам-кампаний по типу sextortion, а также вредоносного ПО других семейств. В письме пользователей призывали открыть вложенный Zip-файл, используя подмигивающие эмодзи. После загрузки файла активировался вымогатель Avaddon, шифрующий данные и требующий за них выкуп. В 2019 году исследователи Check Point обнаружил более миллиона компьютеров с ОС Windows, зараженных Phorpiex. В результате данной деятельности годовой доход мошенников составил примерно 500 000 долларов США.

Троян удаленного доступа и инфостилер Agent Tesla за последний месяц поднялся со второго места на первое, в то время как криптомайнер XMRig продолжает занимать третье место уже второй месяц подряд в списке самых распространенных вредоносных ПО.

«Ранее ботнет Phorpiex, известный как Trik, распространял вредоносные программы, например, GandCrab, Pony или Pushdo для майнинга криптовалюты или sextortion -вымогательств. Сейчас ботнет используется для распространения новых программ-вымогателей», — прокомментировала Майя Хоровиц (Maya Horowitz), руководитель группы киберразведки компании Check Poin. — Компаниям следует не только обучать сотрудников определять вредоносные спам-рассылки, но и использовать современные решения защиты для обеспечения безопасности своих сетей».

Самое активное вредоносное ПО в июне в мире:

Agent Tesla возглавил список самых активных вредоносных ПО, оказав влияние на 3% организаций во всем мире. За ним следуют Phorpiex и XMRig с охватом 2% каждый.

1. Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
2. Phorpiex — ботнет распространяет вредоносные программы в том числе с целью сексуального вымогательства.
3. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

Самое активное вредоносное ПО в мае в России:

В России в июне самым распространенным вредоносным ПО уже второй месяц подряд остается Emotet, атаковавший 6% российских организаций. Далее следуют RigEK и XMRig с охватом 6% и 5% соответственно.

1. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.

2. RigEK –– Rig содержит эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.

3. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

Самые распространенные уязвимости июля 2020:

OpenSSL TLS DTLS Heartbeat Information Disclosure является самой распространенной уязвимостью, оказавшей влияние на 45% организаций во всем мире. За ней следует DVP MVPower Remote Code Execution и Web Server Exposed Git Repository Information Disclosure с охватом 44% и 38% соответственно.

1. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
2. DVP MVPower Remote Code Execution В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
3. Web Server Exposed Git Repository Information Disclosure. Уязвимость в Git-репозиторие, которая способствует непреднамеренному раскрытию информации учетной записи.

Самые распространенные мобильные угрозы июня 2020:

В июне самым распространённым мобильным вредоносным ПО был Necro. За ним следуют Hiddad и Lotoor.

1. Necro — троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей.
2. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
3. Lotoor — программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.