Инфостилер Raccoon и уязвимость нулевого дня в Apache: исследователи Check Point Software представляют самые опасные уязвимости в России в октябре 2021 года

Команда Check Point Research (CPR) из компании Check Point Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности по всему миру, представила отчет Global Threat Index о самых активных угрозах в октябре 2021 года. Исследователи сообщают, что инфостилер Raccoon впервые вошел в рейтинг самых активных киберугроз в России, заняв второе место.  На первом месте в октябре находится XMRig, программное обеспечение с открытым исходным кодом, которое используется для майнинга криптовалюты Monero.

Впервые инфостилер Raccoon был обнаружен в апреле 2019 года и предлагался операторами как услуга (MaaS). Raccoon распространяется не только через типичные вредоносные рассылки по электронной почте, но и через дропперы — вредоносное ПО, созданное для загрузки других вредоносных программ на зараженное устройство. Raccoon очень быстро получил популярность среди кибермошенников и всего за несколько месяцев заразил сотни тысяч конечных устройств. В октябре 2021 года жертвами Raccoon стали 5% российских организаций и 1% компаний по всему миру.

Популярность Raccoon у злоумышленников связана с моделью «вредоносное ПО как услуга», из-за которой его могут распространять даже люди с минимальными техническими навыками, легко и быстро получая доход. Кроме того, инфостилер Raccoon обладает широким функционалом, что позволяет красть большие объемы данных, включая информацию о кредитных картах, криптовалютные кошельки, пароли, учетные данные электронной почты, файлы cookie и многое другое.

«Инфостилер Raccoon существует уже не первый год. Успешная коммерческая модель «вредоносное ПО как услуга» позволяет ему постоянно обновляться, становясь все опаснее, а также заражать все больше устройств, вследствие активного распространения не только профессиональными хакерами, но и злоумышленниками с посредственными техническими навыками, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Raccoon опасен, поскольку способен красть огромные и разнообразные массивы данных, в том числе финансовую информацию. Мы рекомендуем организациям установить надежные системы безопасности, способные защитить корпоративные сети от компрометации и минимизировать риски заражения. Кроме того, очень важно постоянно обучать сотрудников киберграмотности: тогда они смогут распознать фишинговые электронные письма, которые распространяют Raccoon и другие вредоносные программы».

Помимо инфостилера Raccoon, в десятку рейтинга Global Threat Index в октябре впервые вошла уязвимость нулевого дня «Уязвимость обхода каталога в Apache HTTP Server». Как только брешь в безопасности веб-сервера была обнаружена, разработчики Apache выпустили исправления для CVE-2021-41773 в Apache HTTP Server 2.4.50. Однако этого оказалось недостаточно, и в HTTP-сервере Apache все еще существует уязвимость, связанная с обходом каталогов. Успешное использование этой уязвимости может позволить злоумышленнику получить доступ к любым файлам в затронутой системе.

«Уязвимость Apache была обнаружена только в начале октября, однако она уже входит в десятку самых используемых уязвимостей во всем мире. Этот факт показывает, насколько быстро злоумышленники реагируют на новые уязвимости популярных продуктов. Найденная уязвимость может привести к тому, что злоумышленники будут сопоставлять URL-адреса с файлами за пределами ожидаемого корня документа путем запуска атаки обхода пути, — объясняет Майя Горовиц, вице-президент по исследованиям в Check Point Software Technologies. — Мы настоятельно рекомендуем пользователям Apache установить надежное решение безопасности и регулярно обновлять все программные обеспечения и приложения».

По данным исследователей Check Point Research, от всех типов угроз в Восточной Европе в октябре 2021 года больше всего пострадали образовательные учреждения, консалтинговые фирмы и операторы связи.

Самое активное вредоносное ПО в октябре 2021 в России: 

1. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
2. Raccoon — новый инфостилер был впервые обнаружен в апреле 2019 года и предлагался операторами как услуга (MaaS). Raccoon быстро приобрел популярность и за несколько месяцев заразил сотни тысяч конечных точек. Его функционал включает в себя сбор финансовой информации, кражу криптовалютных кошельков, паролей, учетных данных электронной почты, файлов cookie и другой персональной информации.

1. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

Самое активное вредоносное ПО в октябре 2021 в мире:

В октябре Trickbot стал самым распространенным вредоносным ПО, затронувшим 4% организаций во всем мире. На втором месте XMRig, атаковавший 3% организаций, а на третьем — троян удаленного доступа Remcos, от которого пострадали 2% компаний по всему миру.

1. Trickbot— один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
   1. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
   2. Remcos — троян удаленного доступа (RAT), который впервые использовали в 2016 году. Remcos распространяется через вредоносные документы Microsoft Office, которые прикрепляются к спам-сообщениям для обхода безопасности контроля учетных записей Microsoft Windows и выполнения вредоносных программ с привилегиями высокого уровня.

 Самые распространенные уязвимости в октябре 2021 в мире:    

В октябре «Создание вредоносных URL-адресов для использования уязвимости обхода каталогов» — самая часто используемая уязвимость, затрагивающая 60% организаций во всем мире. На втором месте «Раскрытие информации в хранилище Git на веб-сервере», затронувшая 55% организаций, а на третьем — «Удаленное выполнение кода в заголовках HTTP», которая затронула 54% компаний по всему миру.

1. Создание вредоносных URL-адресов для использования уязвимости обхода каталогов (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) — уязвимость на различных веб-серверах, связанная с обходом каталогов. Данная уязвимость возникает из-за ошибки проверки ввода на веб-сервере, который не выполняет надлежащую очистку URL-адреса для шаблонов обхода каталогов. Успешное использование уязвимости позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, получить доступ к произвольным файлам на уязвимом сервере.
2. Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи. 
3. Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.

Самые активные мобильные угрозы в октябре 2021:

1. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
2. AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в официальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
3. XLoader — шпионское и банковское ПО для Android, разработанное китайской хакерской группировкой Yanbian Gang. Это вредоносное ПО использует DNS-спуфинг для распространения зараженных приложений Android чтобы собирать личную и финансовую информацию.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — крупнейшим сетевым сообществом по борьбе с киберпреступностью, которое предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 3 миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ.

Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ по данным Global Threat Index за октябрь можно найти в блоге Check Point Software Technologies.