Компания ESET опубликовала рейтинг наиболее распространенных киберугроз с мая по август 2021 года. В частности, согласно данным телеметрии ESET, тактики программ-вымогателей стали более агрессивными, а количество атак методом подбора паролей и фишинговых писем увеличилось.

Кроме этого, специалисты ESET обнаружили шпионское программное обеспечение DevilsTongue, нацеленное на активистов и журналистов, а также новую активность группы Gamaredon в Украине и APT-группы Dukes в Европе. Последняя распространяла фишинговые сообщения, направленные на дипломатов, аналитические центры и международные организации в минимум 12 странах.

Программы-вымогатели

Такие угрозы в последнее время часто попадали в заголовки новостей, осуществляя атаки на критическую инфраструктуру и крупных ИТ-поставщиков. Уровень выявления этого вредоносного программного обеспечения оставался стабильным с несколькими периодами заметного роста.

В частности, на протяжении последних 4 месяцев было зафиксировано три основных волны распространения программ-вымогателей. Среди них ― атака, которая остановила работу Colonial Pipeline, крупнейшей трубопроводной компании в США, и атака на цепь поставок с использованием уязвимости в программном обеспечении Kaseya VSA.

В обоих случаях целью злоумышленников была финансовая выгода, а не кибершпионаж. В частности, киберпреступники, которые осуществляли атаку на Kaseya, выставили требование выкупа в размере 70 миллионов долларов, что является самым высоким из известных на сегодняшний день.

«Тактики программ-вымогателей стали более агрессивными. Это привело к привлечению правоохранительных органов, которые в свою очередь разоблачили несколько групп. Однако, этого нельзя сказать о TrickBot, количество выявленных образцов которого после прошлогоднего обезвреживания увеличилось вдвое», ― объясняет Роман Ковач, главный исследователь компании ESET.

Угрозы для похищения информации

Количество таких угроз в течение мая-августа выросло на 15,7%. Такой рост вполне предсказуемый, поскольку в эпоху интернета информация является товаром, который легко может быть монетизирован злоумышленниками. Среди 10 самых распространенных угроз с этой категории оказались шпионские программы, заняв первые 6 мест в списке, и бэкдоры, которые заняли следующие 4 ступеньки.

Несмотря на то, что банковское вредоносное программное обеспечение на этот раз не попало в десятку самых распространенных, количество выявленных образцов этого вида тоже возросло.

Угрозы, которые распространяются через электронную почту

Также за проанализированный период увеличилось количество вредоносных электронных писем. Среди них в основном были фишинговые и мошеннические сообщения. Активность угроз, которые распространяются по электронной почте, достигла своего пика во второй половине августа, а наиболее распространенной угрозой был троян DOC/Fraud. В основном эта угроза распространялась через электронные письма, в которых мошенники шантажировали получателей наличием видеозаписей с просмотром ими контента для взрослых.

Чаще всего в фишинговых письмах использовался бренд Microsoft. Также злоумышленники часто выдавали себя за сервис электронной подписи DocuSign и службу обмена файлами WeTransfer, указывая в письме об отправке получателю документов для загрузки.

Во вредоносных электронных письмах самой распространенной темой продолжали оставаться фальшивые запросы на оплату, за которой следовали поддельные банковские коммуникации и доставка товаров.

Параллельно тема COVID-19 также использовалась в спам-письмах, а мошенники выдавали себя за государственные учреждения и организации здравоохранения, чтобы заставить получателей поделиться конфиденциальной информацией.

Угрозы для macOS и iOS

В течение мая-августа уровень обнаружения угроз macOS увеличился почти на 10%. Это связано с ростом количества выявленных троянов почти на половину по сравнению с предыдущим периодом. Их активность даже опередила потенциально нежелательные программы (PUA), которые ранее доминировали среди угроз для macOS.

Наибольшее количество выявленных образцов пришлось на программу OSX/Mackeeper PUA, которая отображает нежелательную рекламу. Стоит отметить, что эта вредоносная программа является первой в рейтинге угроз macOS уже второй год подряд.

Угрозы для Android

Активность таких угроз увеличилась почти на 33% благодаря росту распространения шпионского, рекламного и банковского вредоносного программного обеспечения. В частности, активность последнего вида продолжала возрастать еще с начала года, увеличившись почти на половину за период с мая по август.

Кроме этого, возросла активность и вредоносных приложений для киберпреследования. В ходе анализа 86 программ с таким функционалом специалисты ESET обнаружили многочисленные уязвимости, которые могли поставить под угрозу не только данные жертв, но и самих шпионов.

Среди стран, где угрозы для Android были наиболее активными, оказались РФ, Индия, Бразилия, Аргентина, Мексика и Украина.

Безопасность Интернета вещей

Большое количество подключенных к Интернету устройств остается без исправлений, что позволяет киберпреступникам создавать ботнет-сети и использовать их для различных целей ― от распространения вредоносных программ с помощью DDoS-атак до майнинга.

В частности, ботнет Mozi продолжает использовать набор устаревших уязвимостей. Согласно данным телеметрии ESET, только за последние 4 месяца Mozi собрал около 600 000 ботов. Стоит отметить, что после ареста автора Mozi части ботнета могли функционировать автоматически, отыскивая в Интернете уязвимые устройства Интернета вещей и добавляя их в сеть с целью дальнейшего распространения.

Именно поэтому для защиты своих девайсов исследователи ESET настоятельно рекомендуют обновлять их и исправлять недостатки.

Эксплойты

Количество атак методом подбора пароля, которые часто являются способом проникновения программ-вымогателей, продолжило возрастать. В течение мая-августа специалисты ESET обнаружили 55 миллиардов новых атак методом подбора паролей (+104% по сравнению с первыми 4 месяцами года) на общедоступные сервисы протокола удаленного рабочего стола (RDP). При этом, ежедневное среднее количество атак на одного уникального пользователя увеличилось вдвое.

Киберпреступники также активизировали попытки проникновения в общедоступные сервисы SQL. По данным ESET, количество попыток атак на SQL увеличилось на 22% по сравнению с первыми 4 месяцами года.

И хотя атаки методом подбора пароля на RDP, SQL, SMB и другие сервисы остаются наиболее популярным вектором проникновения в сети, киберпреступники не ограничиваются только этим. В частности, по данным телеметрии ESET, при каждой 5 попытки проникновения злоумышленники пытались использовать уязвимости ProxyLogon в серверах MS Exchange.

В связи с повышенной активностью вредоносных программ специалисты ESET рекомендуют придерживаться основных правил кибербезопасности, в частности, своевременно обновлять операционные системы, использовать сложные пароли и двухфакторную аутентификацию, а также позаботиться о защите устройств от современных угроз.