Разделы

Безопасность Стратегия безопасности

Главные угрозы в III квартале 2021 года: программы-вымогатели и трояны удаленного доступа

Компания Avast опубликовала отчет об угрозах за III квартал 2021 г. По данным исследователей лаборатории угроз Avast, риск столкнуться с атаками программ-вымогателей и троянов удаленного доступа (RAT) вырос как для бизнеса, так и для обычных пользователей. RAT могут использоваться для отраслевого шпионажа, кражи учетных данных, преследования и даже распределенных атак типа «отказ в обслуживании» (DDoS). Исследователи угроз отмечают постоянное появление новых инноваций в кибепреступности, появление новых механизмов в области наборов эксплойтов и мобильного банковского трояна Flubot.

Риск для бизнеса: программы-вымогатели и RAT

В начале III квартала 2021 г. произошла масштабная атака на компанию Kaseya. Провайдер ИТ-услуг и его клиенты стали жертвами программы-вымогателя Sodinokibi (также известна как Revil). Команда исследователей лаборатории угроз Avast обнаружила и предотвратила более 2400 попыток атак. Вследствие вмешательства правоохранительных органов, операторы ПО-вымогателя выпустили ключ дешифрования, что привело к выходу из строя системы Sodinokibi. Однако 9 сентября 2021 г. специалисты Avast снова обнаружили и заблокировали новую попытку атаки. В III квартале команда лаборатории угроз Avast отметила, что коэффициент риска атак программ-вымогателей увеличился на 5% по сравнению со вторым кварталом и на 22% по сравнению с I кварталом 2021 г.

Трояны удаленного доступа (RAT) также представляли собой опасную угрозу для бизнеса и обычных пользователей, которая в третьем квартале имела большее распространение, чем в предыдущие. Исследователи Avast обнаружили три новых версии троянов удаленного доступа: FatalRAT с возможностями защиты от виртуальных машин, VBA RAT, который использует уязвимость Internet Explorer CVE-2021-26411, и новую версию Reverse RAT 2.0, в которую добавлены фотосъемка с веб-камеры, кража файлов и защиту от обнаружения антивирусами.

«Трояны удаленного доступа – одна из основных угроз для бизнеса, поскольку они могут использоваться для производственного шпионажа. Однако RAT также можно использовать против людей, например, для кражи их учетных данных, для добавления их компьютеров в ботнет, для управления DDoS-атаками и, к сожалению, для киберпреследования, которое может нанести огромный вред конфиденциальности и комфорту человека», – сказал Якуб Крустек, руководитель департамента по исследованию вредоносных программ Avast.

Рост распространения руткитов, усовершенствованных наборов эксплойтов и мобильных банковских троянов

Специалисты лаборатории угроз Avast также зафиксировали значительное увеличение активности руткитов в конце III квартала. Руткит – вредоносное программное обеспечение, предназначенное для предоставления злоумышленникам несанкционированного доступа с определенными системными привилегиями. Руткиты обычно предоставляют услуги другим вредоносным программам в пользовательском режиме.

BPM-проект года создан на платформе Digital Q.BPM от «Диасофт»
цифровизация

Снова стали использоваться усовершенствованные наборы эксплойтов, которые теперь ориентируются на уязвимости Google Chrome. Самым активным набором стал PurpleFox. От него Avast в день защищал в среднем более 6000 пользователей. Rig и Magnitude активно исползовались на протяжении всего квартала. Набор эксплойтов Underminer появился после длительного периода бездействия и начал время от времени обслуживать HiddenBee и Amadey. В стадии интенсивной разработки находятся комплекты эксплойтов PurpleFox и Magnitude, которые регулярно получают новые функции и возможности эксплуатации.

Также эксперты Avast отслеживали новые способы атак на мобильные устройства с помощью FluBot, банковского трояна для Android, операторы которого изменили свой подход к социальной инженерии.

Flubot сначала распространялся, выдавая себя за службы доставки, чтобы побудить жертв загрузить якобы приложение для отслеживания посылки, которую они пропустили или скоро должны получить. В III квартале исследователи Avast обнаружили новые сценарии распространения этого вредоносного ПО. Один из примеров — это приложение для записи голосовой почты. Другой — фальшивые сообщения об утечке личных фотографий. В самом опасном варианте атаки жертву заманивали на поддельную страницу, на которой было написано, что устройство пользователя уже заражено трояном FluBot. В этот момент заражение, скорее всего, не произошло. Затем жертву обманом заставляли установить программу, чтобы избавиться от Flubot. Тем самым, жертва не избавлялась от заражения, а наоборот устанавливала вредоносное ПО.

Flubot продолжил распространяться в тех странах, откуда во втором квартале атаковал пользователей из Европы, а именно в Испании, Италии, Германии, Австралии и Новой Зеландии.