Криптомайнер Coinhive атаковал 22% организаций по всему миру, по сравнению с апрелем (16%) количество атак увеличилось почти на 50%, сообщается в отчете Check Point Software Technologies . Еще один криптомайнер Cryptoloot расположился на втором месте (11%), на третьем — вредоносное рекламное ПО Roughted (8%).
Пятый месяц подряд рейтинг топ-10 активных зловредов Check Point Global Threat Index возглавляет криптомайнер. В мае Coinhive по-прежнему сохраняет первенство среди самых распространенных вредоносных ПО. Еще один криптомайнер Cryptoloot расположился на втором месте (11%), на третьем — вредоносное рекламное ПО Roughted (8%).
Исследователи Check Point также отмечают, что киберпреступники продолжают эксплуатировать незакрытые серверные уязвимости Microsoft Windows Server 2003 (CVE-2017-7269) и Oracle Web Logic (CVE-2017-10271) для атак на корпоративные сети. В мировом масштабе 44% организаций подверглись атакам на уязвимости Microsoft Windows Server 2003, 40% — на Oracle Web Logic и 17% были подвержены влиянию внедрения SQL-кода.
"Киберпреступники с большей долей вероятности попытаются атаковать уже известные уязвимости, надеясь, что организации еще не успели их устранить, а уже потом будут разрабатывать новые векторы кибератак, — отмечает Майя Хоровиц, руководитель группы Threat Intelligence компании Check Point Software Technologies. — Крайне важно, чтобы компании своевременно устанавливали вышедшие патчи. Несмотря на их наличие, многие организации до сих пор страдают от известных уязвимостей. Этот факт подчеркивает значение таких основ обеспечения безопасности, как установка патчей, которые играют решающее значение для защиты сети".
Вредоносный криптомайнинг затронул почти 40% организаций в мае и продолжает быть самой распространенной киберугрозой. Очевидно, что злоумышленники считают этот метод прибыльным и эффективным. Для предотвращения атак криптомайнеров, как и любых других, организациям чрезвычайно важно развертывать многоуровневую стратегию кибербезопасности, которая защищает как от известных вредоносных семейств и кибератак, так и от новых угроз.
Самые активные зловреды в мае 2018:
CoinHive — криптомайнер, предназначенный для добычи криптовалюты Monero без ведома пользователя, когда тот посещает веб-сайты.
Cryptoloot — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.
Roughted — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват. В рейтинге самого активного вредоносного ПО для атак на российские организации расположились уже упомянутые криптомайнеры. Так, самыми активными зловредами стали вредоносные криптомайнеры Cryptoloot (40%) и Coinhive (36%), за ними на третьем месте расположился набор эксплоитов Rig EK (21%).
Lokibot, банковский троян для Android, который предоставляет привилегии суперпользователя для загрузки вредоносного ПО, в мае стал самым популярным вредоносным ПО, используемым для атаки на мобильные устройства организаций, за ним следуют Triada и Lotoor.
Исследователи также проанализировали наиболее эксплуатируемые уязвимости:
1. Переполнение приемного буфера Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) — Злоумышленник отправляет обработанный запрос по сети в Microsoft Windows Server 2003 R2 через Microsoft Internet Information Services 6.0, а затем удаленно может исполнить произвольный код или вызвать отказ в обслуживании на целевом сервере. В основном это связано с уязвимостью переполнения буфера, вызванной неправильной обработкой длинного заголовка в HTTP-запросе. Патч доступен с марта 2017 года.
2. Удаленное выполнение кода Oracle WebLogic WLS (CVE-2017-10271) — Уязвимость связана с тем, как Oracle WebLogic обрабатывает декодирование xml-файлов. Успешная атака может привести к удаленному выполнению кода. Патч доступен с октября 2017 года.
3. Внедрение SQL-кода — взлом сайта или приложения путем внедрения в SQL-запрос произвольного кода, используя уязвимость безопасности в программном обеспечении приложения.
Этот список показывает, что злоумышленники успешно используют как современные методы (две уязвимости, опубликованные в 2017 году), так и классические векторы атак, такие как внедрение SQL-кода.