Check Point: атаки криптомайнеров на iPhone увеличились на 400%

Безопасность Стратегия безопасности Новости поставщиков Техника
мобильная версия

Check Point, один из ведущих поставщиков решений кибербезопасности, выпустил отчет Global Threat Index за сентябрь 2018 г. Исследователи отмечают, что количество атак майнеров криптовалюты на устройства Apple iPhone увеличилось почти на 400%. Атаки проводятся при помощи вредоносного ПО Coinhive, которое занимает верхнюю строчку в рейтинге Global Threat Index с декабря 2017 г.

Майнер Coinhive остается самым распространенным вредоносным ПО — им атакованы 19% организаций по всему миру. Специалисты Check Point также обнаружили значительное увеличение числа атак Coinhive на ПК, планшеты и смартфоны с установленным браузером Safari, который обычно используется в устройствах Apple. Майнер Cryptoloot поднялся на третью строчку в рейтинге угроз Global Threat Index. Это второе по охвату вредоносное ПО для скрытой добычи криптовалют. Главное конкурентное отличие Cryptoloot от Coinhive — более низкие комиссионные для владельцев сайтов.

«Незаконный майнинг криптовалют остается главной угрозой для организаций по всему миру. За две последние недели сентября мы зафиксировали четырехкратный рост атак на iPhone и другие устройства с браузером Safari. Что интересно, эти атаки не задействуют новый функционал вредоносного ПО, поэтому мы продолжаем расследовать возможные причины такого всплеска. Вместе с тем, эта ситуация напоминает о том, что мобильные устройства — тот элемент корпоративной системы безопасности, который часто упускается из виду, поэтому очень важно защитить эти "слабые звенья" с помощью комплексного решения по предотвращению угроз», — отметил Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ.

В сентябре 2018 г. Dorkbot, троян, основная цель которого — похитить конфиденциальную информацию и запустить DDoS-атаку, сохранил второе место в рейтинге самых активных угроз. С ним столкнулись 7% организаций.

Самые активные зловреды в сентябре 2018 г. в России: Coinhive (37%) — криптомайнер, предназначенный для онлайн-майнинга криптовалюты Monero без ведома пользователя, когда он посещает веб-страницу. Встроенный JavaScript использует большое количество вычислительных ресурсов компьютеров конечных пользователей для майнинга и может привести к сбою системы; Dorkbot (32%) — IRC-червь, предназначенный для удаленного выполнения кода оператором, а также для загрузки дополнительного вредоносного ПО в зараженную систему. Это банковский троян, основной целью которого является кража конфиденциальной информации и запуск атак типа «отказ в обслуживании»;Cryptoloot (17%) — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.

Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. Первое место сохранила уязвимость CVE-2017-7269, затронувшая 48% организаций по всему миру. На втором месте — проблема CVE-2017-5638 с глобальным охватом в 43%, на третьем, с небольшим отставанием, — возможность инъекции кода из-за неверной конфигурации PHPMyAdmin на веб-сервере (Web servers PHPMyAdmin Misconfiguration Code Injection). Эта уязвимость выявлена у 42% компаний.

Топ-3 самых эксплуатируемых уязвимостей сентября: переполнение буфера Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269). Отправляя специально созданный запрос по сети на сервер Microsoft Windows Server 2003 R2 через службы Microsoft Internet Information Services 6.0, злоумышленник может удаленно выполнить произвольный код или вызвать отказ в обслуживании на целевом сервере. Главная причина уязвимости — переполнение буфера, вызванное ненадлежащей проверкой длинного заголовка в HTTP-запросе; использование данных после освобождения памяти OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309). Уязвимость обнаружена в OpenSSL в функции tls_get_message_body. Неавторизованный злоумышленник может удаленно воспользоваться этой лазейкой, отправив специально составленное сообщение на уязвимый сервер. Успешная атака позволит выполнить произвольный код в системе; инъекция кода Web servers PHPMyAdmin Misconfiguration Code Injection. Эта уязвимость выявлена в PHPMyAdmin. Ее источник — неверная конфигурация веб-приложения. Для эксплуатации системы через данную уязвимость злоумышленник может отправить объекту атаки, специально составленный HTTP-запрос.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 млн адресов, проанализированных для обнаружения ботов, более 11 млн сигнатур вредоносных программ и более 5,5 млн зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.