Получить КП / Счет +7 499 444-08-96 sale@cpoint-russia.ru
Спецификация

  • Добавьте позиции для расчета.

16 Октября, 2024

Самые опасные вредоносные программы сентября 2024 года

В последнем индексе угроз Check Point подчёркивается переход к тактике вредоносных программ на основе искусственного интеллекта в современном киберпространстве

Глобальный индекс угроз Check Point за сентябрь 2024 года опубликовал свой Глобальный индекс угроз за сентябрь 2024 года. В отчёте отмечается интересная тенденция в сфере кибербезопасности, в частности появление вредоносного ПО на основе искусственного интеллекта (ИИ), а также продолжающееся доминирование программ-вымогателей.

В этом месяце исследователи обнаружили, что злоумышленники, вероятно, использовали искусственный интеллект для разработки скрипта, который доставляет асинхронное вредоносное ПО, которое сейчас занимает 10-е место в списке наиболее распространенных вредоносных программ. Метод включал контрабанду HTML, когда защищенный паролем ZIP-файл, содержащий вредоносный код VBScript, отправлялся для запуска цепочки заражения на устройстве жертвы. Хорошо структурированный и прокомментированный код предполагал участие искусственного интеллекта. После полного выполнения устанавливается AsyncRAT, позволяющий злоумышленнику записывать нажатия клавиш, удаленно управлять зараженным устройством и развертывать дополнительное вредоносное ПО. Это открытие подчеркивает растущую тенденцию киберпреступников с ограниченными техническими навыками, использующих искусственный интеллект для упрощения создания вредоносного ПО.

Тот факт, что субъекты угроз начали использовать генеративный искусственный интеллект как часть своей инфраструктуры атак, подчеркивает непрерывную эволюцию тактики кибератак. Киберпреступники все чаще используют доступные технологии для улучшения своей деятельности, что делает необходимым внедрение организациями упреждающих стратегий безопасности, включая передовые методы предотвращения и всестороннее обучение своих команд.

В этом месяце Joker по-прежнему остаётся самым распространённым мобильным вредоносным ПО, а RansomHub остаётся ведущей группой программ-вымогателей, сохранив свои позиции по сравнению с предыдущим месяцем. Эти результаты свидетельствуют о сохраняющихся угрозах, исходящих от этих вредоносных программ в условиях меняющейся ситуации в сфере кибербезопасности.

Лучшие семейства вредоносных программ

* Стрелки указывают на изменение рейтинга по сравнению с предыдущим месяцем.

FakeUpdates — самая распространённая вредоносная программа в этом месяце, затронувшая 7% организаций по всему миру, за ней следует Androxgh0st с глобальным охватом 6% и Formbook с глобальным охватом 4%.

  1. ↔ FakeUpdates — FakeUpdates (также известный как SocGholish) — это загрузчик, написанный на JavaScript. Он записывает полезную нагрузку на диск перед её запуском. FakeUpdates привёл к дальнейшему заражению многими другими вредоносными программами, включая GootLoader, Dridex, NetSupport, DoppelPaymer и AZORult.
  2. ↔ Androxgh0st — Androxgh0st — это ботнет, нацеленный на платформы Windows, Mac и Linux. Для первоначального заражения Androxgh0st использует несколько уязвимостей, в частности, PHPUnit, Laravel Framework и веб-сервер Apache. Вредоносная программа крадёт конфиденциальную информацию, такую как данные учётной записи Twilio, учётные данные SMTP, ключ AWS и т. д. Она использует файлы Laravel для сбора необходимой информации. У неё есть разные варианты, которые сканируют разные данные.
  3. ↑ Formbook — Formbook — это программа-вымогатель, нацеленная на операционную систему Windows. Впервые она была обнаружена в 2016 году. На подпольных хакерских форумах она продаётся как вредоносное ПО как услуга (MaaS) из-за своих мощных методов уклонения от обнаружения и относительно низкой цены. FormBook собирает учётные данные из различных веб-браузеров, делает скриншоты, отслеживает и регистрирует нажатия клавиш, а также может загружать и запускать файлы по приказу своего C&C.
  4. ↔ Qbot — Qbot, также известный как Qakbot, — это многоцелевая вредоносная программа, впервые появившаяся в 2008 году. Она была разработана для кражи учётных данных пользователя, записи нажатий клавиш, кражи файлов cookie из браузеров, слежки за банковскими операциями и распространения дополнительных вредоносных программ. Qbot часто распространяется по электронной почте в виде спама и использует несколько методов защиты от виртуальных машин, отладки и песочниц, чтобы затруднить анализ и избежать обнаружения. Начиная с 2022 года он стал одним из самых распространённых троянов.
  5. ↔ AgentTesla — AgentTesla — это продвинутый RAT, функционирующий как кейлоггер и похититель информации. Он способен отслеживать и собирать вводимые с клавиатуры жертвы данные, системные данные с клавиатуры, делать скриншоты и передавать учётные данные для различных программ, установленных на компьютере жертвы (включая Google Chrome, Mozilla Firefox и почтовый клиент Microsoft Outlook).
  6. ↓ Phorpiex — Phorpiex — это ботнет, известный тем, что распространяет другие вредоносные программы с помощью спам-кампаний, а также участвует в крупномасштабных кампаниях по сексуальному вымогательству.
  7. ↑ Vidar- Vidar — это вредоносное ПО для кражи информации, работающее по принципу «вредоносное ПО как услуга», которое впервые было обнаружено в дикой природе в конце 2018 года. Это вредоносное ПО работает на Windows и может собирать широкий спектр конфиденциальных данных из браузеров и цифровых кошельков. Кроме того, это вредоносное ПО используется для загрузки программ-вымогателей.
  8. ↑ NJRat — NJRat — это троян удаленного доступа, нацеленный в основном на правительственные учреждения и организации на Ближнем Востоке. Впервые этот троян появился в 2012 году и обладает множеством функций: перехватывает нажатия клавиш, получает доступ к камере жертвы, крадет учетные данные, хранящиеся в браузерах, загружает и загружает файлы, выполняет манипуляции с процессами и файлами, а также просматривает рабочий стол жертвы. NJRat заражает жертв с помощью фишинговых атак и загрузок из неизвестных источников, а также распространяется через заражённые USB-накопители или сетевые диски при поддержке программного обеспечения сервера Command & Control.
  9. ↑ Glupteba — Glupteba, известный с 2011 года, — это бэкдор, который постепенно превратился в ботнет. К 2019 году он включал в себя механизм обновления C&C-адресов через общедоступные списки BitCoin, встроенную функцию кражи данных из браузера и эксплойт для маршрутизаторов.
  10. ↑ AsyncRat — Asyncrat — это троян, нацеленный на платформу Windows. Эта вредоносная программа отправляет системную информацию о целевой системе на удалённый сервер. Она получает команды с сервера для загрузки и запуска плагинов, завершения процессов, удаления/обновления и создания скриншотов заражённой системы.

Топ эксплуатируемых уязвимостей 

  1. ↔ Внедрение команд через HTTP (CVE-2021-43936, CVE-2022-24086) — сообщается об уязвимости внедрения команд через HTTP. Удаленный злоумышленник может воспользоваться этой уязвимостью, отправив жертве специально составленный запрос. В случае успешного использования уязвимости злоумышленник сможет выполнить произвольный код на целевом компьютере.
  2. ↑ Обход каталога вредоносных URL веб-серверов (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – На разных веб-серверах существует уязвимость для обхода каталога. Уязвимость возникает из-за ошибки проверки ввода на веб-сервере, который не очищает должным образом URI для шаблонов перехода по каталогам. Успешное использование уязвимости позволяет злоумышленникам, не прошедшим аутентификацию, раскрывать произвольные файлы на уязвимом сервере или получать к ним доступ.
  3. ↔ Удаленное выполнение кода с помощью HTTP-заголовков (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) — HTTP-заголовки позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Удаленный злоумышленник может использовать уязвимый HTTP-заголовок для запуска произвольного кода на компьютере жертвы.

Лучшие вредоносные программы для мобильных устройств

В этом месяце Joker занимает 1е место среди наиболее распространённых мобильных вредоносных программ, за ним следуют Anubis и Hiddad.

  1. ↔ Joker — шпионское ПО для Android в Google Play, предназначенное для кражи SMS-сообщений, списков контактов и информации об устройстве. Кроме того, вредоносное ПО незаметно регистрирует жертву для получения премиум-услуг на рекламных сайтах.
  2. ↔ Anubis — Anubis — это банковский троянский вирус, разработанный для мобильных телефонов Android. С момента своего обнаружения он получил дополнительные функции, в том числе возможность удалённого доступа (RAT), кейлоггер, функцию записи звука и различные функции программ-вымогателей. Он был обнаружен в сотнях различных приложений, доступных в Google Store.
  3. Hiddad ↑ — Hiddad — это вредоносное ПО для Android, которое переупаковывает легальные приложения, а затем выпускает их в стороннем магазине. Его основная функция — показ рекламы, но он также может получать доступ к ключевым параметрам безопасности, встроенным в ОС. 

Отрасли, подвергающиеся наибольшим атакам по всему миру

В этом месяце образование/наука остались на 1-м месте среди пострадавших отраслей по всему миру, за ними следуют правительство/военные и здравоохранение.

  1. Образование / Исследования
  2. Правительство / Военные
  3. Здравоохранение

Ведущие группы программ-вымогателей

Данные основаны на информации с «сайтов позора» программ-вымогателей, созданных группами, занимающимися двойным вымогательством, которые публикуют информацию о жертвах. RansomHub — самая распространённая группа вымогателей в этом месяце, на которую приходится 17% опубликованных атак, за ней следуют Play с 10% и Qilin с 5%.

  1. RansomHub — RansomHub — это программа-вымогатель как услуга (Ransomware-as-a-Service, RaaS), которая появилась как обновлённая версия ранее известной программы-вымогателя Knight. В начале 2024 года RansomHub стала широко известна на подпольных форумах киберпреступников благодаря агрессивным кампаниям, нацеленным на различные системы, включая Windows, macOS, Linux и особенно среды VMware ESXi. Эта вредоносная программа известна использованием сложных методов шифрования.
  2. Play — программа-вымогатель Play, также известная как PlayCrypt, впервые появилась в июне 2022 года. Эта программа-вымогатель нацелена на широкий спектр предприятий и критически важную инфраструктуру в Северной Америке, Южной Америке и Европе. К октябрю 2023 года она затронула около 300 организаций. Программа-вымогатель Play обычно получает доступ к сетям через скомпрометированные учётные записи или путём использования неустранённых уязвимостей, например, в SSL-VPN Fortinet. Оказавшись внутри, он использует такие методы, как применение двоичных файлов, не требующих установки (LOLBins), для таких задач, как кража данных и учётных данных.
  3. Qilin — Qilin, также известный как Agenda, — это программа-вымогатель как услуга, которая совместно с аффилированными лицами шифрует и похищает данные из скомпрометированных организаций, а затем требует выкуп. Этот вариант программы-вымогателя был впервые обнаружен в июле 2022 года и разработан на языке Golang. Agenda известна тем, что нацелена на крупные предприятия и организации, представляющие ценность, уделяя особое внимание секторам здравоохранения и образования. Qilin обычно проникает в системы жертв с помощью фишинговых электронных писем, содержащих вредоносные ссылки, чтобы получить доступ к их сетям и похитить конфиденциальную информацию. Оказавшись внутри, Qilin обычно перемещается по инфраструктуре жертвы в поисках важных данных для шифрования.
Получить подробную информацию или проконсультироваться можно на сайте официального поставщика Check Point в России cpoint-russia.ru.
Оригинал: https://blog.checkpoint.com/research/september-2024s-most-wanted-malware-notable-ai-driven-techniques-and-persistent-ransomhub-threats/