Trickbot — банковский троян, который может красть личные, финансовые и учетные данные, а также распространять программы-вымогатели в сетях своих жертв. Trickbot обрел особенную популярность после ликвидации серверов Emotet в январе 2021 года, и с тех пор он продолжает дополняться новыми возможностями, функциями и векторами распространения.
В начале этого года Европол и другие правоохранительные органы провели масштабную операцию по уничтожению Emotet. Однако в ноябре стало известно, что ботнет возобновил свою работу: он уже занял седьмое место в рейтинге вредоносных ПО. Новая версия Emotet устанавливается на устройства жертв с помощью инфраструктуры Trickbot.
Emotet распространяется через фишинговые электронные письма, которые содержат вредоносные файлы Word, Excel и Zip. Чтобы побудить пользователя открыть письмо, злоумышленники подбирают такие темы для писем, которые всегда привлекают повышенное внимание: рассылки с актуальными новостями, документы и счета-фактуры или письма якобы от коллег. К тому же, Emotet начал распространяться через вредоносные установочные пакеты Windows App Installer, выдающие себя за программное обеспечение Adobe.
«Emotet – один из самых успешных ботнетов в истории. Именно он ответственен за огромное количество атак программ-вымогателей, с которыми мы сталкивались в последние несколько лет, — рассказывает Майя Хоровиц, руководитель группы Threat Intelligence Research, Check Point Software Technologies. — Возвращение ботнета в ноябре вызывает серьезное беспокойство. С ним количество подобных атак может снова вырасти. Плюс, использование возможностей и инфраструктуры Trickbot сокращает время, которое потребуется Emotet для атак по всему миру. Так как вредоносное ПО распространяется через фишинговые письма, приоритетная задача для организаций — обучение сотрудников базовым правилам кибергигиены. Им важно помнить, что все программы (даже Adobe) и приложения нужно загружать только из официальных источников».
Команда CPR (Check Point Research) также сообщила, что организации сферы образования и науки чаще других подвергались атакам по всему миру. За ними следуют организации телекоммуникационного сектора, правительственные и военные органы. «Обход злонамеренных загрузок в каталогах веб-серверов» по-прежнему остается самой часто используемой уязвимостью, затрагивающей 44% организаций во всем мире, за ней следует «Раскрытие информации в хранилище Git на веб-сервере» (43,7% организаций). На третьем месте остается «Удаленное выполнение кода в заголовках HTTP» (42%).
Самое активное вредоносное ПО в ноябре 2021 в России:
1. Revil — впервые обнаружен в 2019 году: это вымогатель, позиционирующийся как SaaS, работающий по «партнерской» модели. REvil шифрует данные в каталоге пользователя и удаляет их резервные копии, чтобы затруднить восстановление данных. Для его распространения используются самые разные тактики — спам, эксплойты серверов, взлом серверных программ управляемых сервисов (MSP), переадресация вредоносных кампаний на набор эксплойтов RIG. Затронул 12,67% организаций.
2. Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера. Затронула 6,21% организаций.
4. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero. Затронул 6,21% организаций.
5. AgentTesla — усовершенствованный троян удаленного доступа (RAT). Он заражает компьютеры с 2014 года, обладает возможностями кейлоггера и похитителя паролей. Эта вредоносная программа способна отслеживать и собирать вводимые с клавиатуры жертвы данные, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook). Затронула 5,48% организаций.
Самое активное вредоносное ПО в ноябре 2021 в мире:
В этом месяце Trickbot стал самым распространенным вредоносным ПО, затронувшим 5% организаций во всем мире. На втором и третьем местах — Agent Tesla и Formbook, затронувшие по 4% организаций по всему миру каждый.
1. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, способное распространяться в рамках многоцелевых кампаний.
2. AgentTesla — усовершенствованный троян удаленного доступа (RAT). Он заражает компьютеры с 2014 года, обладает возможностями кейлоггера и похитителя паролей. Эта вредоносная программа способна отслеживать и собирать вводимые с клавиатуры жертвы данные, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).
3. Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера.
Отрасли, наиболее подверженные атакам (в мире):
В этом месяце в мире больше всего атаковали сферы образования и науки. За ними следует телекоммуникационный сектор, правительственные и военные организации.
Самые распространенные уязвимости в ноябре 2021 в мире:
1. Создание вредоносных URL-адресов для использования уязвимости обхода каталогов (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) — уязвимость на различных веб-серверах, связанная с обходом каталогов. Она возникает из-за ошибки проверки ввода на веб-сервере, который не выполняет надлежащую очистку URL-адреса для шаблонов обхода каталогов. Успешное использование уязвимости позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно получить доступ к файлам на уязвимом сервере.
2. Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
3. Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
Самые активные мобильные угрозы в ноябре 2021:
В этом месяце AlienBot занимает первое место среди наиболее распространенных мобильных вредоносных программ, за ним следуют xHelper и FluBot.
1. AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в официальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
2. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
3. FluBot — вредоносная программа-ботнет для Android. Распространяется через фишинговые СМС, которые часто имитируют бренды логистических служб. Как только пользователь переходит по ссылке из сообщения, происходит автоматическая установка FluBot, который сразу получает доступ ко всей конфиденциальной информации на телефоне.