Команда Check Point Research (CPR) представила отчет Global Threat Index о самых активных угрозах в декабре 2021 года. Данные для Global Threat Impact Index и ThreatCloud Map собраны ThreatCloud intelligence — сетевым сообществом по борьбе с киберпреступностью, которое предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. Исследователи сообщества отмечают, что уязвимость Log4Shell практически «захлестнула» сеть, а самым распространенным вредоносом в России оказался REvil, против которого недавно была совершена операция по задержанию участников группировки.
Хроники Log4Shell
В декабре «Удаленное выполнение кода Apache Log4j» стала наиболее используемой уязвимостью, затрагивающей 48,3% организаций по всему миру и даже удостоилась собственного наименования — Log4Shell. Впервые об этой уязвимости сообщили 9 декабря 2021 года в обсуждении проекта Apache Log4j — самой популярной библиотеки ведения журналов на языке Java. Ее используют во многих интернет-сервисах и приложениях — всего уязвимую библиотеку скачали с GitHub более 400 000 раз, однако речь идет о разработчиках, которые встраивали ее в свои продукты.
В результате, уязвимость затронула почти половину компаний во всем мире за очень короткий промежуток времени. Злоумышленники тут же начали пользовать ее для внедрения своих вредоносных модулей. Наиболее часто она применялась для удаленной установки криптомайнеров и других вредоносных программ на уязвимые серверы. До сих пор большинство атак были сосредоточены на майнинге криптовалюты за счет ресурсов жертв, но продвинутые злоумышленники начали действовать агрессивно и использовать уязвимость в других своих целях.
«Новость о Log4Shell была одной из самых ярких в декабре, — считает руководитель группы Threat Intelligence Research компании Check Point Software Technologies Майя Горовиц. — Это одна из самых серьезных уязвимостей, с которыми мы когда-либо сталкивались. Из-за сложности ее исправления и простоты использования она, вероятно, останется с нами на долгие годы, если подавляющее большинство организаций ничего не предпримет в ближайшее время».
Возвращение Emotet
Хотя по данным исследователей самым распространенным вредоносным ПО в мире остается Trickbot, тем не менее вернувшийся в ноябре Emotet быстро поднялся с седьмой позиции на вторую. Это продвинутый самораспространяющийся модульный троян, разработчики которого поддерживают целую сеть контрольных серверов. Emotet когда-то был рядовым банковским трояном, но в последнее время используется для внедрения в сеть предприятия-жертвы и дальнейшего распространения вредоносных программ и проведения фишинговых кампаний уже внутри предприятия. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
«В этом месяце мы также видели, как зомби-сеть Emotet переместилась с седьмого места в рейтинге самого распространенного вредоносного ПО на второе, — пояснила Майя Горовиц перестановки в рейтинге. — Как мы и подозревали, ей не потребовалось на это много времени. Emotet устойчива к обнаружению и быстро распространяется через фишинговые электронные письма с вредоносными вложениями или ссылками».
Мобильные вредоносы
В декабре лидером по мобильным угрозам стало семейство вредоносных программ AlienBot, которое распространяется по схеме «вредонос как услуга» (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в официальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство. Второе место заняло вредоносное приложение xHelper, которое активно используется с марта 2019 года для загрузки других вредоносных приложений и отображения рекламы под устройства Android. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его. Замыкает тройку лидеров вредоносная программа-ботнет FluBot, которая распространяется через фишинговые СМС. Они часто имитируют бренды логистических служб. Как только пользователь переходит по ссылке из сообщения, происходит автоматическая установка FluBot, который сразу получает доступ ко всей конфиденциальной информации на телефоне и отсылает ее злоумышленникам.
