Компания ESET — лидер в области информационной безопасности — представляет рейтинг наиболее распространенных киберугроз в 3 квартале 2020 года. После нескольких месяцев постоянного использования темы COVID-19 во вредоносных целях киберпреступники вернулись к своим обычным тактикам. Однако протокол удаленного рабочего стола (RDP) все еще часто становится объектом атак киберпреступников.
Рис. 1. Рейтинг выявленных образцов вредоносных программ.
Загрузчики
После длительного спада активности в течение первой половины 2020 года уровень распространения этого типа угроз вырос почти на половину. Наиболее распространенными типами загрузчиков, как и в прошлом квартале, были VBA-скрипты, файлы Office с троянскими объектами и JavaScript.
Банковское вредоносное программное обеспечение
В 3 квартале активность банковского вредоносного программного обеспечения продолжила снижаться. В этой категории наиболее распространенной угрозой третий квартал подряд остается JS/Spy.Banker, которую злоумышленники используют для кражи банковских данных и другой личной информации жертв.
Программы-вымогатели
Согласно данным телеметрии ESET, в 3 квартале наблюдалось уменьшение количества атак программ-вымогателей. Данный тип угроз распространялся преимущественно через электронные письма с вредоносными вложениями, зато количество атак, в которых злоумышленники использовали неправильно настроенный RDP, была незначительной. Более половины из всех выявленных образцов в этой категории вредоносных программ пришлось на Win/Filecoder.WannaCryptor.
Рис. 2. Рейтинг выявленных образцов программ-вымогателей.
Криптомайнеры
После длительного спада в течение последних трех месяцев активность криптомайнеров начала расти. Увеличение показателей выявления этого вида вредоносного ПО может быть связано с повышением цены криптовалюты Bitcoin, которая в августе достигла самого высокого значения с 2017 года.
Кроме этого, в 3 квартале исследователи ESET обнаружили вредоносное программное обеспечение для получения криптовалюты KryptoCibule, которое значительно отличается от других сложностью тактики. В частности, угроза использует ресурсы устройства жертвы для добычи криптовалюты, а также пытается получить несанкционированный доступ к транзакциям пользователей, заменяя адрес кошелька в буфере обмена. Кроме этого, вредоносная программа похищает файлы, связанные с криптовалютой, и использует несколько методов, чтобы избежать обнаружения.
Шпионские программы и бэкдоры
Показатели обнаружения шпионского программного обеспечения и бэкдоров в 3 квартале 2020 года имели незначительную тенденцию к снижению по сравнению с предыдущим. Наибольший рост в рейтинге распространения наблюдался у шпионской программы Win/Spy.Socelars, которая похищает сохраненные в веб-браузерах пароли, а также банковские данные со скомпрометированных учетных записей.
Эксплойты
Поскольку количество инфицированных COVID-19 постоянно растет, большинство компаний во всем мире продолжают работать в удаленном режиме. Вероятно, именно поэтому протокол удаленного рабочего стола (RDP) был основной целью киберпреступников в 3 квартале. В частности, специалисты ESET зафиксировали увеличение на треть количества атак на уникальных пользователей методом подбора пароля. При этом, число попыток атак на RDP выросло на 140% по сравнению с предыдущим кварталом.
Угрозы для Mac
В течение последних трех месяцев было зафиксировано тенденцию к уменьшению объема вредоносных программ для Mac. В целом количество выявленных образцов уменьшилось на 21% по сравнению со 2 кварталом. Самое большое колебание активности было у нежелательных приложений, однако без существенного роста. Для всех остальных категорий, таких как рекламное программное обеспечение, троянские программы и потенциально опасные программы, количество выявленных образцов оставалось стабильным.
Рис. 3. Тенденции обнаружения угроз для Mac во 2 и 3 кварталах 2020 года.
Угрозы для Android
Общий объем выявленных угроз для устройств Android снизился на 19% по сравнению с предыдущим кварталом. Наибольшая активность вредоносных программ была зафиксирована в июле 2020 года и была стабильной до конца сентября.
Рост в июле был связан с активизацией программ из категории скрытых приложений, которые три года подряд доминировали среди вредоносных программ для Android. Эта категория охватывает программы, которые скрывают свои пиктограммы после установки и постоянно показывают на устройствах рекламу в полноэкранном режиме. Такие угрозы обычно маскируются под игры и различные полезные утилиты.
Веб-угрозы
По данным телеметрии ESET, в 3 квартале 2020 года было зафиксировано общее снижение активности основных веб-угроз на 16%. Такое падение активности касалось почти всех категорий веб-угроз, в частности спама, фишинга и вредоносного программного обеспечения.
Значительное снижение наблюдалось также у веб-сайтов, которые обслуживают вредоносное программное обеспечение. Это связано с деактивацией двух доменов, которые возглавляли категорию вредоносных программ в течение всего первого полугодия 2020 года. Один из доменов был частью вредоносной схемы с использованием рекламного ПО, которое показывало всплывающие окна и способствовало дальнейшему распространению угроз. Другой домен перенаправлял браузеры посетителей на опасные сайты.
Угрозы, которые распространяются через электронную почту
Общий объем обнаружения вредоносных электронных писем вырос на 9% по сравнению со 2 кварталом. Наиболее распространенной в этой категории остается угроза Win/Exploit.CVE-2017-11882 — вредоносный документ, который использует уязвимость в Microsoft Office для загрузки дополнительных опасных программ на компьютер.
Более 70% вредоносных вложений, выявленных в 3 квартале 2020 года, были исполняемыми файлами. Значительное количество также составили файлы скриптов и документы Office. Исполняемые файлы во вложениях часто маскировались с помощью двойных расширений. Таким образом злоумышленники заставляли получателей открыть вложение, пользуясь тем, что расширение для известных типов файлов по умолчанию скрыты в Windows.
Рис. 4. Самые популярные типы вредоносных вложений электронной почты в 3 квартале 2020 года.
Общий объем выявленного спама вырос на 4% по сравнению с предыдущим кварталом. В третьем квартале злоумышленники все еще злоупотребляли темой коронавируса для получения прибыли. Используя финансовые трудности, с которыми многие столкнулись, злоумышленники выдавали себя за легитимные организации и пытались манипулировать жертвами для получения их конфиденциальной информации.
Безопасность Интернета-вещей
Как и в предыдущих кварталах, значительной проблемой безопасности роутеров остается то, что пользователи используют пароли по умолчанию для входа в интерфейс администрирования. В частности, наиболее популярными паролями среди устройств, которые исследовались были "admin", а также "root", "1234" и "12345".
Кроме этого, в 3 квартале специалисты ESET обнаружили расширенную версию Kr00k — уязвимости, которая повлияла на шифрование во многих популярных устройствах с чипами Wi-Fi Broadcom и Cypress. Исследования также подтвердили, что проблемы с шифрованием есть и у чипов других производителей.
Несмотря на снижение активности в некоторых категориях вредоносного программного обеспечения, следует придерживаться рекомендаций для защиты RDP при работе на компьютере, осторожно обращаться с банковскими данными и использовать дополнительные уровни защиты учетных записей.
Полная версия отчета доступна по ссылке.