Компания Avast (LSE: AVST), один из мировых лидеров в области цифровой конфиденциальности и безопасности, опубликовала Avast Threat Report, отчет об угрозах за четвертый квартал 2021 года. В нем исследователи рассказывают об эксплуатации уязвимости Log4j, об активности троянов удаленного доступа, вымогателей и о сложных постоянных таргетированных угрозах (APT).
Отчет также демонстрирует:
В то же время эксперты отмечают меньшую активность программ-вымогателей и троянов удаленного доступа (RAT).
«К концу года опасная и легкая для эксплуатации уязвимость Log4j заставила отделы информационной безопасности по всему миру очень сильно понервничать, — рассказывает Якуб Крустек, директор по исследованиям вредоносных программ в Avast. — Злоумышленники распространяли через нее самое разное ПО: от криптомайнеров до ботов и вымогателей. В то же время мы рады сообщить об уменьшении числа атак некоторых видов вредоносных программ. Так, активность RAT снизилась из-за праздников (но мы видели, как злоумышленники скопировали троян удаленного доступа DcRat и переименовали его в SantaRat). Мы также заметили небольшое снижение активности инфостилеров — вероятно, это произошло из-за уменьшения на 61% активности Fareit. Плюс, разрушительные атаки программ-вымогателей в первые три квартала 2021 года вынудили правительства по всему миру и ИБ-вендоров сотрудничать для поиска их создателей и операторов. Мы считаем, что это привело к снижению этих атак в четвертом квартале: коэффициент риска снизился на 28% по сравнению с предыдущим. Мы надеемся увидеть продолжение этой тенденции в 2022 году, но также мы готовы и к обратному».
Киберпреступники атакуют компании через уязвимость Log4j
Уязвимость в библиотеке приложений Java Log4j была крайне опасной для бизнеса, так как эта библиотека очень распространена, а саму уязвимость очень легко эксплуатировать. Ею злоупотребляли криптомайнеры, RAT, вымогатели (Khonsari, например) и APT-группы. Уязвимостью воспользовались и различные ботнеты, в том числе печально известный Mirai. Большинство их атак были просто пробами для проверки, но исследователи заметили многочисленные попытки загрузить потенциально вредоносный код. Среди троянов, которые распространялись с помощью этой уязвимости, были NanoCore, AsyncRat и Orcus.
Атаки через трояны удаленного доступа, эксплуатирующие Azure и AWS
Для распространения RAT злоумышленники использовали не только Log4j, но и уязвимость CVE-2021-40449. Ее применяли для повышения прав доступа вредоносных процессов путем эксплуатации драйвера ядра Windows, а также для загрузки и запуска РАТ MistarySnail.
Кроме того, основной причиной обнаружений NanoCore и AsyncRat стала вредоносная кампания, эксплуатирующая облачных провайдеров Microsoft Azure и Amazon Web Service (AWS). Злоумышленники использовали Azure и AWS в качестве серверов для загрузки вредоносной полезной нагрузки для дальнейших атак.
Более того, исследователи Avast увидели, что злоумышленники, стоящие за Emotet, переписали несколько его частей, возродили механизм и вернули контроль над рынком ботнетов.
Мошенничества с рекламным ПО
В последнем квартале 2021 года возросла активность рекламного ПО и руткитов (самые опасные и сложно удаляемые вредоносные программы) для ПК. Исследователи Avast считают, что эти тенденции связаны с руткитом Cerbu, который может перехватывать домашние страницы браузеров и перенаправлять URL-адреса сайтов в соответствии с своей конфигурацией. Cerbu можно легко настроить как рекламное ПО, которое к тому же способно добавлять бэкдоры на устройства.
Активность криптомайнеров
Когда в конце 2021 года стоимость биткоина выросла, число криптомайнеров увеличилось на 40%. Часто они распространялись через зараженные страницы и пиратское ПО. CoinHelper был одним из самых активных криптомайнеров в последнем квартале – в основном он был нацелен на пользователей из России и Украины. Он незаметно использует вычислительные мощности пользователя для добычи криптовалюты. Это чревато высокими счетами за электроэнергию и может повлиять на срок службы устройства. Кроме того, CoinHelper собирает различную информацию о своих жертвах, включая их геолокацию, антивирус и используемое оборудование.
Команда Avast обнаружила, что по состоянию на 29 ноября 2021 года доход от CoinHelper составил 339 694,86 долларов США. В декабре он добыл ~15.162 XMR – это примерно 3 446,03 долларов США или 267 000 рублей. Криптомайнер до сих пор активно распространяется, ежедневно добывая примерно 0,474 XMR (около 5700 рублей).
Злоумышленники добывают самые разные криптовалюты – Ethereum, Bitcoin и прочие, но самое большое внимание команды Avast привлекла Monero. Последняя создана для анонимного использования, но неправильное использование адресов и механика работы майнинговых пулов позволили исследователям получить более глубокое представление о майнинге Monero авторами вредоносного ПО.
Мошенничества якобы от лица технической поддержки
ИБ-эксперты отметили всплеск фишинга якобы от лица техподдержки. Злоумышленники внушают пользователю, что у его ПК есть серьезная проблема. Далее они принуждают позвонить на горячую линию, где с жертвы или спишут большую сумму за поддержку, или вынудят предоставить удаленный доступ к системе.
Мошенничества с подпиской на премиум-SMS
Команда Avast Threat Labs выделила в отчете две мобильные угрозы: Ultima SMS и Facestealer.
Ultima SMS, мошенничество с подпиской на платные SMS, снова напомнило о себе в последние несколько месяцев. В октябре в Play Store появились приложения Ultima SMS, имитирующие легальные приложения и игры.
После загрузки приложение предлагало пользователям ввести свой номер телефона для доступа. Так жертвы подписывались на услугу платных СМС, стоимость которой может достигать десяти долларов США в неделю — это около 780 рублей. Злоумышленники активно использовали социальные сети для рекламы и в результате набрали более десяти миллионов загрузок.
Шпионские программы, ворующих учетные данные Facebook
Facestealer, шпионское ПО для кражи учетных данных Facebook, неоднократно напоминало о себе в три последних месяца 2021 года. Оно маскируется под фоторедакторы, гороскопы, фитнес-приложения и другие. Спустя какое-то время после загрузки предложение предлагает пользователю залогиниться в Facebook, чтобы использовать его без рекламы.