Компанія ESET — лідер у галузі інформаційної безпеки — представляє рейтинг найбільш поширених кіберзагроз у травні-серпні 2021 року. Зокрема відповідно до даних телеметрії ESET, тактики програм-вимагачів стали більш агресивними, а кількість атак методом підбору паролів та фішингових листів збільшилася.
Крім цього, спеціалісти ESET виявили шпигунське програмне забезпечення DevilsTongue, націлене на активістів та журналістів, а також нову активність групи Gamaredon в Україні та APT-групи Dukes в Європі. Остання поширювала фішингові повідомлення, спрямовані на дипломатів, аналітичні центри та міжнародні організації у щонайменше 12 країнах.
Рис. 1. Загальна динаміка виявлення загроз за періоди січень-квітень 2021 р. (T1)
та травень-серпень 2021 р. (T2).
Програми-вимагачі
Такі загрози останнім часом часто потрапляли в заголовки новин, здійснюючи атаки на критичну інфраструктуру та великих ІТ-постачальників. Рівень виявлення цього шкідливого програмного забезпечення залишався стабільним з кількома періодами помітного зростання.
Зокрема протягом останніх 4 місяців було зафіксовано три основних хвилі поширення програм-вимагачів. Серед них — атака, яка зупинила роботу Colonial Pipeline, найбільшої трубопровідної компанії в США, та атака на ланцюг постачання з використанням уразливості в програмному забезпеченні Kaseya VSA.
В обох випадках ціллю зловмисників була фінансова вигода, а не кібершпигунство. Зокрема кіберзлочинці, які здійснювали атаку на Kaseya, виставили вимогу викупу в розмірі 70 мільйонів доларів, що є найвищим з відомих на сьогоднішній день.
«Тактики програм-вимагачів стали більш агресивними. Це призвело до залучення правоохоронних органів, які у свою чергу викрили кілька груп. Однак, цього не можна сказати про TrickBot, кількість виявлених зразків якого після минулорічного знешкодження збільшилася удвічі», — пояснює Роман Ковач, головний дослідник компанії ESET.
Загрози для викрадення інформації
Кількість таких загроз протягом травня-серпня зросла на 15,7%. Таке зростання цілком передбачуване, оскільки в епоху Інтернету інформація є товаром, який легко може бути монетизований зловмисниками. Серед 10 найпоширеніших загроз з цієї категорії опинилися шпигунські програми, посівши перші 6 місць у списку, та бекдори, які зайняли наступні 4 сходинки.
Незважаючи на те, що банківське шкідливе програмне забезпечення цього разу не потрапило у десятку найпоширеніших, кількість виявлених зразків цього виду теж зросло.
Загрози, які поширюються через електронну пошту
Також за проаналізований період збільшилася кількість шкідливих електронних листів. Серед них переважно були фішингові та шахрайські повідомлення. Активність загроз, які поширюються електронною поштою, досягла свого піку у другій половині серпня, а найбільш поширеною загрозою був троян DOC/Fraud. Переважно ця загроза поширювалася через електронні листи, в яких шахраї шантажували одержувачів наявністю відеозаписів з переглядом ними контенту для дорослих.
Найчастіше у фішингових листах використовувався бренд Microsoft. Також зловмисники часто видавали себе за сервіс електронного підпису DocuSign та службу обміну файлами WeTransfer, вказуючи в листі про відправку одержувачу документів для завантаження.
Рис.2. Фішингові листи з маскуванням під DocuSign та WeTransfer.
У шкідливих електронних листах найпоширенішою темою продовжували залишатися фальшиві запити на оплату, за якою слідували підроблені банківські комунікації та доставка товарів.
Паралельно тема COVID-19 теж використовувалася у спам-листах, а шахраї видавали себе за державні установи та організації охорони здоров’я, щоб змусити одержувачів поділитися конфіденційною інформацією.
Загрози для macOS та iOS
Протягом травня-серпня рівень виявлення загроз для macOS збільшився майже на 10%. Це пов’язано зі зростанням кількості виявлених троянів майже на половину порівняно з попереднім періодом. Їх активність навіть випередила потенційно небажані програми (PUA), які раніше переважали серед загроз для macOS.
Найбільша кількість виявлених зразків припала на програму OSX/Mackeeper PUA, яка відображає небажану рекламу. Варто зазначити, що ця шкідлива програма є першою у рейтингу загроз для macOS вже другий рік поспіль.
Загрози для Android
Активність таких загроз збільшилася майже на 33% завдяки зростанню поширення шпигунського, рекламного та банківського шкідливого програмного забезпечення. Зокрема активність останнього виду продовжувала зростати ще з початку року, збільшившись майже на половину за період з травня до серпня.
Крім цього, зросла активність і шкідливих додатків для кіберпереслідування. Під час аналізу 86 програм з таким функціоналом спеціалісти ESET виявили численні уразливості, які могли поставити під загрозу не лише дані жертв, а й самих шпигунів.
Серед країн, де загрози для Android були найбільш активними, опинилися Росія, Індія, Бразилія, Аргентина, Мексика та Україна.
Рис.3. Рівень виявлення загроз для Android за травень-серпень 2021 р.
Безпека Інтернету речей
Велика кількість підключених до Інтернету пристроїв залишається без виправлень, що дозволяє кіберзлочинцям створювати ботнет-мережі та використовувати їх для різних цілей – від поширення шкідливих програм за допомогою DDoS-атак до майнінгу.
Зокрема ботнет Mozi продовжує використовувати набір застарілих уразливостей. Відповідно до даних телеметрії ESET, тільки протягом останніх 4 місяців Mozi зібрав близько 600 000 ботів. Варто відзначити, що після арешту автора Mozi частини ботнету могли функціонувати автоматично, шукаючи в Інтернеті уразливі пристрої Інтернету речей та додаючи їх в мережу з метою подальшого поширення.
Саме тому для захисту власних девайсів дослідники ESET настійно рекомендують оновлювати їх та виправляти недоліки.
Експлойти
Кількість атак методом підбору пароля, які часто є способом проникнення програм-вимагачів, продовжила зростати. Протягом травня-серпня спеціалісти ESET виявили 55 мільярдів нових атак методом підбору паролів (+104% порівняно з першими 4 місяцями року) на загальнодоступні сервіси протоколу віддаленого робочого столу (RDP). При цьому, щоденна середня кількість атак на одного унікального користувача збільшилась удвічі.
Кіберзлочинці також активізували спроби проникнення до загальнодоступних сервісів SQL. За даними ESET, кількість спроб атак на SQL збільшилася на 22% порівняно з першими 4 місяцями року.
І хоча атаки методом підбору пароля на RDP, SQL, SMB та інші сервіси залишаються найбільш популярним вектором проникнення у мережі, кіберзлочинці не обмежуються лише цим. Зокрема за даними телеметрії ESET, під час кожної 5 спроби проникнення зловмисники намагалися використовувати уразливості ProxyLogon у серверах MS Exchange.
Через підвищену активність шкідливих програм спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема своєчасно оновлювати операційні системи, використовувати складні паролі та двофакторну аутентифікацію, а також подбати про захист пристроїв від сучасних загроз.
Повний звіт про тенденції поширення шкідливих програм доступний за посиланням.