Активность программ-вымогателей во второй половине 2016 г. удвоилось

Check Point Software Technologies Ltd. (Nasdaq: CHKP), опубликовал отчет Global Threat Intelligence Trends за второе полугодие 2016 г., согласно которому число атак с применением программ-вымогателей за этот период удвоилось.

Из всех распознанных инцидентов с применением вредоносного ПО по всему миру доля ransomware-атак с июля по декабрь 2016 выросла с 5,5% до 10,5%.

В отчете Global Threat Intelligence Trends Report за второе полугодие 2016 года выделены ключевые тактики, которые киберпреступники используют для атак на компании, а также представлен подробный обзор ландшафта киберугроз в топ-категориях вредоносного ПО - программ-вымогателей, банковских и мобильных зловредов. Отчет основан на данных об угрозах, полученных с помощью глобальной карты киберугроз Check Point ThreatCloud World Cyber Threat Map в июле-декабре 2016 г.

Ключевые тренды

За этот период эксперты Check Point обнаружили следующие ключевые тренды:

· Монополия на рынке вымогателей. В 2016 году были обнаружены тысячи новых вариантов вымогательского ПО. Однако за последние месяцы мы стали свидетелями изменений в ландшафте угроз этого типа: он становится все более и более централизованным, на рынке доминируют всего несколько семейств ransomware, которые атакуют организации любых размеров.

· DDoS-атаки через IoT-устройства. В августе 2016 г. был обнаружен печально известный ботнет Mirai, первый в своем роде IoT-ботнет. Он атакует уязвимую подключенную к интернету цифровую электронику типа записывающих устройств (DVR) и камер видеонаблюдения (CCTV). Зловред превращает эти устройства в боты, а затем использует их для запуска множественных массированных атак типа «отказ в обслуживании» (DDoS). Сегодня очевидно, что уязвимые IoT-устройства используются почти в каждом доме, и что DDoS-атаки с их участием будут продолжаться.

· Новые расширения файлов, используемые в спам-рассылках. Самым распространенным вектором заражения при спам-атаках во второй половине 2016 г. были загрузчики на базе Windows Script engine (WScript). Загрузчики, написанные на языках Javascript (JS) и VBScript (VBS), доминировали по уровню распространения вредоносного спама вместе с похожими, но менее известными форматами типа JSE, WSF и VBE.

Топ вредоносных программ второго полугодия 2016:

1. Conficker (14,5%) - Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.

2. Sality (6,1%) - Вирус, который заражает ОС Microsoft Windows и позволяет удаленные действия и загрузки других вредоносных программ. Из-за своей сложности и способностей к адаптации Sality считается на сегодняшний день одной из самых опасных вредоносных программ.

3. Cutwail (4,6%) - Ботнет, чаще всего задействованный в рассылке спама, а также в DDOS-атаках. После установки боты подключаются напрямую к командному серверу и получают инструкции о том, какие письма им необходимо разослать. Закончив выполнение задания, боты отправляют спамеру точную статистику своих действий.

4. JBossjmx (4,5%) - Червь, который атакует системы с установленной уязвимой версией JBoss Application Server. Вирус создает в скомпрометированных системах вредоносную JSP-страницу, которая выполняет произвольные команды. Кроме того, создается дополнительный бэкдор, который принимает команды с удаленного IRC-сервера.

5. Locky (4,3%) - Вымогательское ПО, появившееся в феврале 2016 года. Распространяется в основном через спам-письма, содержащие инфицированный Word или Zip файл. Он загружает и устанавливает вредоносное ПО, шифрующее пользовательские файлы.

Топ программ-вымогателей второго полугодия 2016:

Процент атак вымогателей по отношению к общему число зарегистрированных атак во всем мире во второй половине 2016 г. почти удвоился - показатель вырос с 5,5% до 10,5%. Самые распространенные из обнаруженных вариантов:

1. Locky 41% - Третий из самых популярных программ вымогателей в первом полугодии. Его присутствие во второй половине года значительно увеличилось.

2. Cryptowall 27% - Программа-вымогатель, которая начинала как двойник зловреда Cryptolocker, но в конечном итоге превзошла его. После ликвидации Cryptolocker Cryptowall стал одним из ведущих на сегодняшний день вымогателей. Cryptowall известен использованием AES-шифрования и C&C-коммуникаций через анонимную сеть Tor. Эта программа активно распространяется через эксплойткиты, вредоносную рекламу и фишинговые кампании.

3. Cerber 23% - Крупнейшая в мире схема типа «вымогательское ПО-как-услуга». Cerber - это франшиза, с помощью которой разработчик набирает аффилированных лиц, которые распространяют вредоносное ПО за долю от прибыли.

Топ вредоносного мобильного ПО второго полугодия 2016:

1. Hummingbad 60% - Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активности, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.

2. Triada 9% - Модульный бэкдор для Android, который дает повышенные привилегии загруженным зловредам, поскольку помогает им внедриться в системные процессы. Triada также была замечена в подмене URL-адресов, загруженных в браузере.

3. Ztorg 7%- Троян, использующий рутовые привилегии, чтобы загружать и устанавливать приложения на смартфон пользователя без его ведома.

DDоS Intel Microsoft