2 декабря 2021 г.

Check Point Research: инфостилер Racoon впервые вошел в Global Threat Index, заняв второе место. Всего за несколько месяцев Racoon заразил сотни тысяч конечных точек

Команда Check Point Research (CPR) из компании Check Point Software Technologies Ltd. представила отчет Global Threat Index о самых активных угрозах в октябре 2021 года. Исследователи сообщают, что инфостилер Raccoon впервые вошел в рейтинг самых активных киберугроз в России, заняв второе место. На первом месте в октябре находится XMRig, программное обеспечение с открытым исходным кодом, которое используется для майнинга криптовалюты Monero.

Впервые инфостилер Raccoon был обнаружен в апреле 2019 года и предлагался операторами как услуга (MaaS). Raccoon распространяется не только через типичные вредоносные рассылки по электронной почте, но и через дропперы — вредоносное ПО, созданное для загрузки других вредоносных программ на зараженное устройство. Raccoon очень быстро получил популярность среди кибермошенников и всего за несколько месяцев заразил сотни тысяч конечных устройств. В октябре 2021 года жертвами Raccoon стали 5% российских организаций и 1% компаний по всему миру.

Популярность Raccoon у злоумышленников связана с моделью «вредоносное ПО как услуга», из-за которой его могут распространять даже люди с минимальными техническими навыками, легко и быстро получая доход. Кроме того, инфостилер Raccoon обладает широким функционалом, что позволяет красть большие объемы данных, включая информацию о кредитных картах, криптовалютные кошельки, пароли, учетные данные электронной почты, файлы cookie и многое другое.

«Инфостилер Raccoon существует уже не первый год. Успешная коммерческая модель „вредоносное ПО как услуга“ позволяет ему постоянно обновляться, становясь все опаснее, а также заражать все больше устройств, вследствие активного распространения не только профессиональными хакерами, но и злоумышленниками с посредственными техническими навыками, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Raccoon опасен, поскольку способен красть огромные и разнообразные массивы данных, в том числе финансовую информацию. Мы рекомендуем организациям установить надежные системы безопасности, способные защитить корпоративные сети от компрометации и минимизировать риски заражения. Кроме того, очень важно постоянно обучать сотрудников киберграмотности: тогда они смогут распознать фишинговые электронные письма, которые распространяют Raccoon и другие вредоносные программы».

Помимо инфостилера Raccoon, в десятку рейтинга Global Threat Index в октябре впервые вошла уязвимость нулевого дня «Уязвимость обхода каталога в Apache HTTP Server». Как только брешь в безопасности веб-сервера была обнаружена, разработчики Apache выпустили исправления для CVE-2021-41773 в Apache HTTP Server 2.4.50. Однако этого оказалось недостаточно, и в HTTP-сервере Apache все еще существует уязвимость, связанная с обходом каталогов. Успешное использование этой уязвимости может позволить злоумышленнику получить доступ к любым файлам в затронутой системе.

«Уязвимость Apache была обнаружена только в начале октября, однако она уже входит в десятку самых используемых уязвимостей во всем мире. Этот факт показывает, насколько быстро злоумышленники реагируют на новые уязвимости популярных продуктов. Найденная уязвимость может привести к тому, что злоумышленники будут сопоставлять URL-адреса с файлами за пределами ожидаемого корня документа путем запуска атаки обхода пути, — объясняет Майя Горовиц, вице-президент по исследованиям в Check Point Software Technologies. — Мы настоятельно рекомендуем пользователям Apache установить надежное решение безопасности и регулярно обновлять все программные обеспечения и приложения».

По данным исследователей Check Point Research, от всех типов угроз в Восточной Европе в октябре 2021 года больше всего пострадали образовательные учреждения, консалтинговые фирмы и операторы связи.

Самое активное вредоносное ПО в октябре 2021 в России:

  1. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  2. Raccoon — новый инфостилер был впервые обнаружен в апреле 2019 года и предлагался операторами как услуга (MaaS). Raccoon быстро приобрел популярность и за несколько месяцев заразил сотни тысяч конечных точек. Его функционал включает в себя сбор финансовой информации, кражу криптовалютных кошельков, паролей, учетных данных электронной почты, файлов cookie и другой персональной информации.
  3. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

Самое активное вредоносное ПО в октябре 2021 в мире:

В октябре Trickbot стал самым распространенным вредоносным ПО, затронувшим 4% организаций во всем мире. На втором месте XMRig, атаковавший 3% организаций, а на третьем — троян удаленного доступа Remcos, от которого пострадали 2% компаний по всему миру.

  1. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
  2. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  3. Remcos — троян удаленного доступа (RAT), который впервые использовали в 2016 году. Remcos распространяется через вредоносные документы Microsoft Office, которые прикрепляются к спам-сообщениям для обхода безопасности контроля учетных записей Microsoft Windows и выполнения вредоносных программ с привилегиями высокого уровня.

Самые распространенные уязвимости в октябре 2021 в мире:

В октябре «Создание вредоносных URL-адресов для использования уязвимости обхода каталогов» — самая часто используемая уязвимость, затрагивающая 60% организаций во всем мире. На втором месте «Раскрытие информации в хранилище Git на веб-сервере», затронувшая 55% организаций, а на третьем — «Удаленное выполнение кода в заголовках HTTP», которая затронула 54% компаний по всему миру.

  1. Создание вредоносных URL-адресов для использования уязвимости обхода каталогов (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) — уязвимость на различных веб-серверах, связанная с обходом каталогов. Данная уязвимость возникает из-за ошибки проверки ввода на веб-сервере, который не выполняет надлежащую очистку URL-адреса для шаблонов обхода каталогов. Успешное использование уязвимости позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, получить доступ к произвольным файлам на уязвимом сервере.
  2. Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
  3. Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.

Самые активные мобильные угрозы в октябре 2021:

  1. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
  2. AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в официальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
  3. XLoader — шпионское и банковское ПО для Android, разработанное китайской хакерской группировкой Yanbian Gang. Это вредоносное ПО использует DNS-спуфинг для распространения зараженных приложений Android чтобы собирать личную и финансовую информацию.

Источник: Пресс-служба компании Check Point Software Technologies