Check Point Software Technologies Ltd. (Nasdaq: CHKP), опубликовал отчет Global Threat Intelligence Trends за второе полугодие 2016 г., согласно которому число атак с применением программ-вымогателей за этот период удвоилось.
Из всех распознанных инцидентов с применением вредоносного ПО по всему миру доля ransomware-атак с июля по декабрь 2016 выросла с 5,5% до 10,5%.
В отчете Global Threat Intelligence Trends Report за второе полугодие 2016 года выделены ключевые тактики, которые киберпреступники используют для атак на компании, а также представлен подробный обзор ландшафта киберугроз в топ-категориях вредоносного ПО — программ-вымогателей, банковских и мобильных зловредов. Отчет основан на данных об угрозах, полученных с помощью глобальной карты киберугроз Check Point ThreatCloud World Cyber Threat Map в июле-декабре 2016 г.
Ключевые тренды
За этот период эксперты Check Point обнаружили следующие ключевые тренды:
· Монополия на рынке вымогателей. В 2016 году были обнаружены тысячи новых вариантов вымогательского ПО. Однако за последние месяцы мы стали свидетелями изменений в ландшафте угроз этого типа: он становится все более и более централизованным, на рынке доминируют всего несколько семейств ransomware, которые атакуют организации любых размеров.
· DDoS-атаки через IoT-устройства. В августе 2016 г. был обнаружен печально известный ботнет Mirai, первый в своем роде IoT-ботнет. Он атакует уязвимую подключенную к интернету цифровую электронику типа записывающих устройств (DVR) и камер видеонаблюдения (CCTV). Зловред превращает эти устройства в боты, а затем использует их для запуска множественных массированных атак типа «отказ в обслуживании» (DDoS). Сегодня очевидно, что уязвимые IoT-устройства используются почти в каждом доме, и что DDoS-атаки с их участием будут продолжаться.
· Новые расширения файлов, используемые в спам-рассылках. Самым распространенным вектором заражения при спам-атаках во второй половине 2016 г. были загрузчики на базе Windows Script engine (WScript). Загрузчики, написанные на языках Javascript (JS) и VBScript (VBS), доминировали по уровню распространения вредоносного спама вместе с похожими, но менее известными форматами типа JSE, WSF и VBE.
Топ вредоносных программ второго полугодия 2016:
1. Conficker (14,5%) — Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.
2. Sality (6,1%) — Вирус, который заражает ОС Microsoft Windows и позволяет удаленные действия и загрузки других вредоносных программ. Из-за своей сложности и способностей к адаптации Sality считается на сегодняшний день одной из самых опасных вредоносных программ.
3. Cutwail (4,6%) — Ботнет, чаще всего задействованный в рассылке спама, а также в DDOS-атаках. После установки боты подключаются напрямую к командному серверу и получают инструкции о том, какие письма им необходимо разослать. Закончив выполнение задания, боты отправляют спамеру точную статистику своих действий.
4. JBossjmx (4,5%) — Червь, который атакует системы с установленной уязвимой версией JBoss Application Server. Вирус создает в скомпрометированных системах вредоносную JSP-страницу, которая выполняет произвольные команды. Кроме того, создается дополнительный бэкдор, который принимает команды с удаленного IRC-сервера.
5. Locky (4,3%) — Вымогательское ПО, появившееся в феврале 2016 года. Распространяется в основном через спам-письма, содержащие инфицированный Word или Zip файл. Он загружает и устанавливает вредоносное ПО, шифрующее пользовательские файлы.
Топ программ-вымогателей второго полугодия 2016:
Процент атак вымогателей по отношению к общему число зарегистрированных атак во всем мире во второй половине 2016 г. почти удвоился — показатель вырос с 5,5% до 10,5%. Самые распространенные из обнаруженных вариантов:
1. Locky 41% — Третий из самых популярных программ вымогателей в первом полугодии. Его присутствие во второй половине года значительно увеличилось.
2. Cryptowall 27% — Программа-вымогатель, которая начинала как двойник зловреда Cryptolocker, но в конечном итоге превзошла его. После ликвидации Cryptolocker Cryptowall стал одним из ведущих на сегодняшний день вымогателей. Cryptowall известен использованием AES-шифрования и C&C-коммуникаций через анонимную сеть Tor. Эта программа активно распространяется через эксплойткиты, вредоносную рекламу и фишинговые кампании.
3. Cerber 23% — Крупнейшая в мире схема типа «вымогательское ПО-как-услуга». Cerber — это франшиза, с помощью которой разработчик набирает аффилированных лиц, которые распространяют вредоносное ПО за долю от прибыли.
Топ вредоносного мобильного ПО второго полугодия 2016:
1. Hummingbad 60% — Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активности, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
2. Triada 9% — Модульный бэкдор для Android, который дает повышенные привилегии загруженным зловредам, поскольку помогает им внедриться в системные процессы. Triada также была замечена в подмене URL-адресов, загруженных в браузере.
3. Ztorg 7%— Троян, использующий рутовые привилегии, чтобы загружать и устанавливать приложения на смартфон пользователя без его ведома.