Риск заражения корпоративных сетей вырос на 17%

Риск заражения корпоративных сетей вырос на 17%

Риск заражения корпоративных сетей вырос на 17%

Check Point выявил, что в декабре 2015 года риск заражения компаний вырос на 17%. Количество активных семейств вредоносного ПО увеличилось за этот период на 25%.

На основе данных, полученных с помощью ThreatCloud World Cyber Threat Map, в декабре  2015 года Check Point зарегистрировал более 1500 различных видов вредоносного ПО, в то время как в ноябре было обнаружено 1200 видов. Этот тренд свидетельствует о повышении уровня угроз, с которыми сталкиваются организации в процессе защиты своих сетей.

Как и ранее, Confickerостается наиболее распространенным видом вредоносного ПО. С использованием Conficker было совершено до 25% атак — значительно больше, чем с помощью вредоносной программы Sality, которая использовалась в 9% атак и находится на втором месте. Conficker и оказавшийся на третьем месте Necurs  отключают службы безопасности, чтобы создать еще больше уязвимостей в сети, которые позволяют использовать скомпрометированные машины для DDoS и спам-атак.

60% атак по всему миру совершались с использованием 10 наиболее распространенных видов вредоносного ПО. Топ-3 вида вредоносов включают:

  1. Conficker  — используется в 25% всех зарегистрированных атак. Машины, зараженные Conficker, управляются ботом.  Conficker также отключает службы безопасности, оставляя компьютеры еще более уязвимыми к воздействию других вирусов.
  2. Sality— позволяет своему оператору осуществлять удаленные действия и загрузки других вредоносных программ в зараженные системы. Главная цель Sality — как можно дольше оставаться в системе, предоставляя возможности удаленного контроля и установки других вирусов.
  3. Necurs — используется в качестве бэкдора для последующего скачивания вредоносного ПО на зараженный компьютер и отключения служб безопасности, для обхода системы обнаружения угроз.

Первое место в рейтинге наиболее атакуемых стран в декабре 2015 года заняла Намибия. Страны с самым низким уровнем атак — это Уругвай, Монако и Латвия. Россия находится на 56 месте, сохранив эту позицию с ноября 2015 года. Как и во всем мире, в России наиболее распространенными вредоносными программами стали Conficker и Necurs.Кроме этого также часто встречались:

  • Delf — троян, осуществляющий переадресацию веб-трафика, манипуляции с некоторыми приложениями Windowsили сторонними приложениями, загрузку, установку и запуск дополнительных вредоносных программ.
  • Kometaur — связывается с удаленным сервером и отправляет информацию о системе, выбранной в качестве цели.
  • Xinyin — вредоносное ПО для мобильных платформ, которое способно незаметно устанавливать и удалять приложения, отправлять СМС-сообщения, отслеживать количество входящих и исходящих вызовов, а также число принятых и отправленных СМС, показывать рекламные уведомления и самостоятельно загружать обновления.

Исследователи CheckPoint также выявили топ мобильных вредоносов за декабрь 2015. И вновь атаки на Android-платформы встречались гораздо чаще, чем на iOS. Топ-3 вида мобильного вредоносного ПО:

  1. Xinyin
  2. AndroRAT — вредоносное программное обеспечение, которое способно включать себя в состав легитимного мобильного приложения и устанавливаться без ведома пользователя, предоставляя хакеру полный удаленный доступ к устройству на базе Android.
  3. Ztorg — троян, использующий root-полномочия для скачивания и установки приложений на мобильный телефон без ведома пользователя.

«Повышение активности вредоносных программ в декабре свидетельствует о серьезной степени угрозы для корпоративных сетей и ценных данных, — говорит Василий Дягилев, глава представительства CheckPoint в России и СНГ. — Организации должны поставить вопрос кибербезопасности на первый пункт своей повестки на 2016 год. Киберпреступники постоянно находят новые способы атак, потому компаниям необходимо быть столь же упорными и решительными в защите своих сетей». 

Check Point выявил, что в декабре 2015 года риск заражения компаний вырос на 17%. Количество активных семейств вредоносного ПО увеличилось за этот период на 25%." />

Фейковый 7-Zip превращал компьютеры в прокси-узлы для чужого трафика

Исследователи раскрыли новую группировку Lurking Lizard, которая несколько лет строила бизнес на вредоносных резидентских прокси. Проще говоря, злоумышленники заражали устройства пользователей и превращали их в прокси-узлы, через которые потом можно гонять чужой интернет-трафик.

Владелец устройства при этом мог даже не подозревать, что его домашний IP уже работает на чей-то мутный бизнес.

По данным Infoblox, активность Lurking Lizard прослеживается как минимум с августа 2022 года. Инфраструктура группировки включает более 230 доменов-двойников. Один из свежих примеров — кампания с троянизированным установщиком 7-Zip на домене 7zip[.]com. Пользователь думает, что качает архиватор, а на деле может записать своё устройство в прокси-ботнет.

Группировка не ограничивалась одним брендом. Lurking Lizard имитировала крупные прокси-сервисы, включая IPIDEA, SmartProxy, IP Royal и 911Proxy, а также запускала фейковые независимые сайты с обзорами, чтобы загонять трафик на собственные витрины.

 

Отдельный трюк — покупка истёкших доменов с уже накопленной репутацией. В ход шли и похожие адреса: например, 7zip[.]com вместо настоящего 7-zip[.]org. Однако инфраструктура Lurking Lizard использовалась не только для фейкового 7-Zip.

Исследователи нашли поддельные установщики WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), псевдоинструменты для скачивания TikTok и YouTube, а также WireVPN. Кампания цепляла пользователей Windows, macOS и Android. Одно Android-приложение под брендом WireVPN набрало более 1 млн загрузок, хотя неясно, насколько они были органическими.

Схема работает в два этапа: сначала жертв заманивают троянизированными установщиками, приложениями и сайтами-двойниками, а затем заражённые устройства продают как часть прокси-сети. В итоге чужой телевизор, ноутбук или смартфон может внезапно стать транспортом для подозрительного трафика, а проблемы прилетят владельцу IP.

RSS: Новости на портале Anti-Malware.ru