Криптомайнеры атаковали 40% организаций во всем мире

В отчёте Global Threat Impact Index за май Check Point отмечает, что криптомайнер Coinhive атаковал 22% организаций, по сравнению с апрелем (16%) количество атак увеличилось почти на 50%. 

Пятый месяц подряд рейтинг топ-10 активных зловредов Check Point Global Threat Index возглавляет криптомайнер. В мае Coinhive по-прежнему сохраняет первенство среди самых распространенных вредоносных ПО. Еще один криптомайнер Cryptoloot расположился на втором месте (11%), на третьем — вредоносное рекламное ПО Roughted(8%). 

Исследователи Check Point также отмечают, что киберпреступники продолжают эксплуатировать незакрытые серверные уязвимостиMicrosoft Windows Server 2003 (CVE-2017-7269) и Oracle Web Logic (CVE-2017-10271) для атак на корпоративные сети. В мировом масштабе 44% организаций подверглись атакам на уязвимости Microsoft Windows Server2003, 40% — на Oracle Web Logic и 17% были подвержены влиянию внедрения SQL-кода. 

«Киберпреступники с большей долей вероятности попытаются атаковать уже известные уязвимости, надеясь, что организации еще не успели их устранить, а уже потом будут разрабатывать новые векторы кибератак, — отмечает Майя Хоровиц, руководитель группы Threat Intelligenceкомпании Check Point Software Technologies. — Крайне важно, чтобы компании своевременно устанавливали вышедшие патчи. Несмотря на их наличие, многие организации до сих пор страдают от известных уязвимостей. Этот факт подчеркивает значение таких основ обеспечения безопасности, как установка патчей, которые играют решающее значение для защиты сети». 

Вредоносный криптомайнинг затронул почти 40% организаций в мае и продолжает быть самой распространенной киберугрозой. Очевидно, что злоумышленники считают этот метод прибыльным и эффективным. Для предотвращения атак криптомайнеров, как и любых других, организациям чрезвычайно важно развертывать многоуровневую стратегию кибербезопасности, которая защищает как от известных вредоносных семейств и кибератак, так и от новых угроз. 

Самые активные зловреды в мае 2018: 

*Стрелки указывают на изменение позиции зловреда в рейтинге по отношению к предыдущему месяцу. 

1. ↔ CoinHive — криптомайнер, предназначенный для добычи криптовалюты Monero без ведома пользователя, когда тот посещает веб-сайты.
2. ↔ Cryptoloot — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.
3. ↔ Roughted — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват. 

В рейтинге самого активного вредоносного ПО для атак на российские организации расположились уже упомянутые криптомайнеры. Так, самыми активными зловредами стали вредоносные криптомайнеры Cryptoloot (40%) и Coinhive (36%), за ними на третьем месте расположился набор эксплоитов Rig EK (21%). 

Lokibot, банковский троян для Android, который предоставляет привилегии суперпользователя для загрузки вредоносного ПО, в мае стал самым популярным вредоносным ПО, используемым для атаки на мобильные устройства организаций, за ним следуют Triada и Lotoor. 

Самые активные мобильные зловреды мая 2018:

1. Lokibot —  банковский троян для Android, который крадет пользовательские данные и требует за них выкуп. Зловред может заблокировать телефон, если удалить его права администратора.
2. Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам.
3. Lotoor — инструмент для взлома, который использует уязвимости в ОС Android, чтобы получить привилегии суперпользователя на взломанных мобильных устройствах. 

Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. На первом месте — уязвимость CVE-2017-7269 с глобальным охватом 46%, затем CVE-2017-10271 (40%), на третьем месте — уязвимость типа «внедрение SQL-кода», затрагивающая 16% организаций во всем мире.

 Топ-3 самых эксплуатируемых уязвимостей в мае 2018: 

1.    ↔ Переполнение приемного буфера Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) — Злоумышленник отправляет обработанный запрос по сети в Microsoft Windows Server 2003 R2 через Microsoft Internet Information Services 6.0, а затем удаленно может исполнить произвольный код или вызвать отказ в обслуживании на целевом сервере. В основном это связано с уязвимостью переполнения буфера, вызванной неправильной обработкой длинного заголовка в HTTP-запросе. Патч доступен с марта 2017 года.

2.    ↔ Удаленное выполнение кода Oracle WebLogic WLS (CVE-2017-10271) — Уязвимость связана с тем, как Oracle WebLogicобрабатывает декодирование xml-файлов. Успешная атака может привести к удаленному выполнению кода. Патч доступен с октября 2017 года.

3.    ↔ Внедрение SQL-кода — взлом сайта или приложения путем внедрения в SQL-запрос произвольного кода, используя уязвимость безопасности в программном обеспечении приложения. 

Этот список показывает, что злоумышленники успешно используют как современные методы (две уязвимости, опубликованные в 2017 году), так и классические векторы атак, такие как внедрение SQL-кода. 

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ. 

* Полная версия отчета доступна по ссылке:http://blog.checkpoint.com/2018/06/07/mays-wanted-malware/