Аналитики компании Avast опубликовали отчет об угрозах за третий квартал 2021 года. По данным исследователей риск столкнуться с атаками программ-вымогателей и троянов удаленного доступа (RAT) вырос как для бизнеса, так и для обычных пользователей. Специалисты лаборатории угроз Avast также зафиксировали значительное увеличение активности программ-невидимок в конце третьего квартала. Невидимки (руткиты) – это вредоносное программное обеспечение, предназначенное для сокрытия присутствия злоумышленников в системе. Они обычно скрывают установку и деятельность в системе других вредоносных программ.
RAT на марше
Трояны удаленного доступа (RAT) также представляли собой опасную угрозу для бизнеса и обычных пользователей, которая в третьем квартале имела большее распространение, чем в предыдущие. Исследователи Avast обнаружили три новых версии троянов удаленного доступа: FatalRAT с возможностями защиты от виртуальных машин, VBA RAT, который использует уязвимость Internet Explorer CVE-2021-26411, и новую версию Reverse RAT 2.0, в которую добавлены фотосъемка с веб-камеры, кража файлов и защиту от обнаружения антивирусами.
Однако первичное проникновение в систему выполняется все-таки с помощью набора эксплойтов, которые теперь ориентируются на уязвимости Google Chrome. Самым активным набором стал PurpleFox — его ежедневно обнаруживали в среднем у более чем 6 тыс. пользователей продуктов Avast. Два других набора эксплойтов — Rig и Magnitude — активно использовались на протяжении всего квартала. Набор эксплойтов Underminer вернулся к работе после длительного периода бездействия и начал время от времени обслуживать группировки HiddenBee и Amadey. В стадии интенсивной разработки находятся комплекты эксплойтов PurpleFox и Magnitude, которые регулярно получают новые вредоносные функции и модули для эксплуатации новых уязвимостей.
«Трояны удаленного доступа – одна из основных угроз для бизнеса, поскольку они могут использоваться для производственного шпионажа, — пояснил важность контроля популяции RAT руководитель департамента по исследованию вредоносных программ Avast Якуб Крустек. — Однако RAT также можно использовать против людей, например, для кражи их учетных данных, для добавления их компьютеров в зомби-сеть, для управления DDoS-атаками и, к сожалению, для киберпреследования, которое может нанести огромный вред конфиденциальности и комфорту человека».
Они же могут использоваться и для первичной загрузки программ-вымогателей. В частности, в начале третьего квартала 2021 года произошла масштабная атака на компанию Kaseya. Провайдер ИТ-услуг и его клиенты стали жертвами программы-вымогателя Sodinokibi, которая также известна как Revil, а некоторые эксперты считают, что она контролируется российскими разработчиками. Команда исследователей лаборатории угроз Avast обнаружила и предотвратила более 2,4 тыс. попыток атак с помощью этого вымогателя. Вследствие вмешательства правоохранительных органов, операторы ПО-вымогателя выпустили ключ дешифрования, что привело к выходу из строя системы Sodinokibi. Однако 9 сентября специалисты Avast снова обнаружили и заблокировали новую попытку атаки. В третьем квартале отмечалось увеличение коэффициента риска атак программ-вымогателей на 5% по сравнению со вторым кварталом и на 22% по сравнению с первым кварталом 2021 года.
Хитрости FluBot
Эксперты Avast обнаружили новые способы атак на мобильные устройства с помощью FluBot, банковского трояна для Android. Flubot сначала распространялся, выдавая себя за приложения для контроля доставки, чтобы побудить жертв загрузить якобы приложение для отслеживания посылки, которую они пропустили или скоро должны получить. В третьем квартале исследователи Avast обнаружили новые сценарии распространения этого вредоносного ПО. Один из примеров — это приложение для записи голосовой почты. Другой — фальшивые сообщения об утечке личных фотографий. В самом опасном варианте атаки жертву заманивали на поддельную страницу, на которой было написано, что устройство пользователя уже заражено трояном FluBot. В этот момент заражение, скорее всего, не произошло. Затем жертву обманом заставляли установить программу, чтобы избавиться от Flubot. Тем самым, жертва не избавлялась от заражения, а наоборот устанавливала вредоносное ПО. Flubot продолжил распространяться в тех странах, откуда во втором квартале атаковал пользователей из Европы, а именно в Испании, Италии, Германии, Австралии и Новой Зеландии. Пока русскоязычной версии подобной атаки зафиксировано не было.
