Check Point: криптомайнеры набрали обороты во втором полугодии 2017 года

Check Point Software Technologies Ltd., ведущий поставщик решений в области кибербезопасности по всему миру, представил отчет Global Threat Intelligence Trends за второе полугодие 2017 года. Исследователи обнаружили, что в погоне за прибылью киберпреступники все чаще используют криптомайнеры, а организации по всему миру продолжают подвергаться атакам программ-вымогателей и вредоносных рекламных программ.

За период с июля по декабрь 2017 года от незаконного майнинга криптовалюты пострадала каждая пятая компания. С помощью этого вредоносного ПО киберпреступники получают доступ к ресурсам центрального процессора или видеокарты на ПК жертвы и используют их для добычи криптовалют. Уровень потребления может достигать 65 % мощности ЦП.

В отчете Global Threat Intelligence Trends Report за второе полугодие 2017 года также представлен подробный обзор ландшафта киберугроз в топ-категориях вредоносного ПО — вымогателях, банковских и мобильных зловредах. Данные получены из Check Point Threat Cloud за июль — декабрь 2017 года.

Эксперты CheckPoint выявили ключевые тренды киберугроз во втором полугодии 2017 года:

• Ажиотаж вокруг майнинга криптовалюты. Программы-криптомайнеры чаще всего используются для майнинга криптовалюты в личных целях. Однако из-за растущего внимания общества к виртуальным деньгам процесс майнинга, который напрямую зависит от числа владельцев криптовалют, затормозился. В результате для майнинга требуется намного больше вычислительной мощности, что побуждает хакеров придумывать новые способы незаконного использования ресурсов.

• Эксплойты теряют популярность. Еще год назад эксплоит-киты были одним из главных векторов атак. Однако в 2017 году они применялись значительно реже, потому что платформы и программы, которые уже становились жертвами эксплойтов, улучшили свою защиту. «Срок годности» новых эксплойтов сокращается и благодаря оперативным совместным действиям вендоров по безопасности и разработчиков софта и автоматическим обновлениям ПО.

• Рост мошенничества и вредоносного спама. В течение 2017 года соотношение между зловредами, которые используют протоколы HTTP и STMP, сместилось в сторону SMTP. Объем таких атак вырос с 55 % в первом полугодии до 62 % во втором. Популярность этих методов распространения привлекла внимание опытных хакеров, владеющих более совершенными практиками взлома. Они применяют свои умения для взлома документов, в особенности Microsoft Office.

• Мобильное вредоносное ПО вышло на уровень предприятий. В течение прошлого года мы видели атаки на компании, источниками которых стали мобильные устройства. Так, смартфоны и планшеты, зараженные зловредом MilkyDoor, использовались в качестве серверов-посредников для сбора конфиденциальных данных из корпоративной сети. Еще один пример мобильных угроз — вредоносное ПО Switcher, которое пытается взломать элементы сети (например, маршрутизаторы) и перенаправить трафик на подконтрольный хакерам сервер.

Майя Хоровитц (Maya Horowitz), менеджер группы по сбору данных об угрозах Check Point Software Technologies, прокомментировала: «Во второй половине 2017 года мир штурмовали криптомайнеры — они стали самым популярным способом получения прибыли от взломов. Это не новый вид атак, но растущая популярность и стоимость криптовалют в значительной степени способствуют более широкому распространению криптомайнеров. Мы отметили и другие тенденции киберугроз: программы-вымогатели, появившиеся еще в 2016 году, остаются серьезной угрозой. Их используют как для масштабных атак по всему миру, так и для целевых нападений на конкретные организации. 25 % взломов за отмеченный период были сделаны через уязвимости, обнаруженные более 10 лет назад. Менее 20 % атак проводились через бреши в защите, которые известны около двух лет. Очевидно, что компаниям все еще предстоит большая работа, чтобы выстроить надежную защиту от киберпреступников».

Топ вредоносного ПО второго полугодия 2017 года

1. Roughted (15,3 %) — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может применяться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.
2. Coinhive (8,3 %) — программа-криптомайнер, разработанная для онлайн-майнинга криптовалюты Monero без ведома пользователя при посещении им определенных сайтов. Зловред Coinhive появился только в сентябре 2017 года, но уже успел заразить 12 % организаций по всему миру.
3. Locky (7,9 %) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.

Топ программ-вымогателей второго полугодия 2017 года

1. Locky (30 %) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.
2. Globeimposter (26 %) — вымогатель, замаскированный под шифровальщик Globe ransom ware. Был обнаружен в мае 2017 года и распространялся с помощью спам-кампаний, вредоносной рекламы и эксплойт-китов. После шифрования программа добавляет расширение .crypt к каждому зашифрованному файлу.
3. WannaCry (15 %) — вымогатель, который получил широкое распространение во время крупномасштабной атаки в мае 2017 года. Он распространяется по сетям с помощью эксплойта для блока серверных сообщений (SMB) Windows под названием Eternal Blue.

Топ мобильных зловредов за второе полугодие 2017 года

1. Hidad (55 %) — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
2. Triada (8 %) — модульный бекдор для Android, который дает огромные привилегии скачанным зловредам, чтобы они могли внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
3. Lotoor (8 %) — инструмент взлома, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.

Топ вредоносного ПО для банков второго полугодия 2017 года

1. Ramnit 34 % — банковский троян, который похищает данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.
2. Zeus 22 % — троян, который атакует устройства на платформе Windows и часто используется для кражи банковской информации с помощью технологий типа «человек-в-браузере» — кейлоггинга и захвата содержимого форм.
3. Tinba 16 % — банковский троян, который похищает данные учетных записей пользователя с помощью веб-инъекций. Они активируются, когда пользователь пытается зайти на сайт своего банка.

Отчет составлен на базе данных, полученных из Check Point Threat Cloud за период с июля по декабрь 2017 года. Check Point Threat Cloud — крупнейшая кооперативная сеть, созданная для борьбы с киберпреступностью, в которую поступают данные об угрозах и трендах атак из глобальной сети сенсоров угроз. База данных Threat Cloud, содержащая более 250 млн адресов, проанализированных для обнаружения ботов, более 11 млн сигнатур вредоносных программ и более 5,5 млн зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

Полная версия отчета доступна здесь.