Эксплойт-кит Rig поднялся на второе место самых активных зловредов

Эксплойт-кит Rig поднялся на второе место самых активных зловредов

Эксплойт-кит Rig поднялся на второе место самых активных зловредов

Check Point обнаружил огромный скачок в использовании наборов эксплойтов по всему миру. Согласно мартовскому отчету Check Point Threat Index, второе место в списке самых популярных вредоносных программ занял эксплойт-кит Rig.

Наборы эксплойтов, предназначенные, чтобы искать и использовать уязвимости на машинах, а затем загружать и исполнять вредоносный код, почти не использовались с мая 2016 года, когда исчезли популярные наборы зловредов Angler и Nuclear. Однако мартовский отчет показал, что Rig EK резко поднялся в списках, став вторым среди наиболее часто используемых зловредов. В марте злоумышленники также чаще использовали Terror EK – от попадания в топ-10 его отделяет всего лишь одно место.

Rig включает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.

Terror впервые был обнаружен в начале декабря 2016 и включал в себя восемь различных функциональных эксплойтов.  Как Rig, так и Terror способны доставлять различные виды угроз – от кибервымогателей и банковских троянов до спам-ботов и майнинга биткоинов.

Как и в феврале, тройка самых популярных семейств вредоносных программ представлена самыми разными по функционалу видами вредоносного ПО. В 2016 году одним из самых прибыльных инструментов киберпреступников стало вымогательство, а теперь они начали использовать для его доставки эксплойт-киты. И нет никаких оснований думать, что вымогатели сойдут на нет в ближайшее время.

На первом и втором месте в рейтинге самых распространенных вредоносных программ находятся HackerDefender и Rig EK соответственно, на их счету 5% зараженных организаций по всему миру. За ними следуют Conficker и Cryptowal, жертвами которых стали 4% компаний.

Самые активные зловреды марта 2017:

  1. HackerDefender — Пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и ключей системного реестра. Также его применяют в качестве бэкдора и программы для перенаправления портов, которая работает через TCP-порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
  2. RigEK— Набор эксплойтов появился в 2014 году. Rigвключает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
  3. Conficker — Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.

В рейтинге самых опасных мобильных зловредов, как и в феврале, первое и второе место занимают Hiddad и Hummingbad. А вот третье место в марте занял Ztorg, отсутствовавший в тройке лидеров с января 2017.

Самыеактивныемобильныезловреды:

  1. Hiddad — Зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
  2. Hummingbad — Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
  3. Ztorg — Троян, использующий рутовые привилегии, чтобы загружать и устанавливать приложения на смартфон пользователя без его ведома.

Василий Дягилев, глава представительства Check Point Software Technologies в Росси и СНГ, отметил: «Резкий рост активности эксплойт-паков в марте показывает, что угрозы никогда не исчезают навсегда — они могут просто затихнуть, а затем внезапно активизироваться. Злоумышленникам всегда легче пересмотреть и внести изменения в существующие семейства зловредов, а не разрабатывать новые. А наборы эксплойтов — это особенно гибкие и адаптируемые типы угроз. Чтобы противостоять угрозам от Rig, Terror и других эксплойтов, организациям нужно использовать передовые системы безопасности, такие как Check Point SandBlast ™ Zero-Day Protection и Mobile Threat Prevention».

Данные для Threat Map предоставлены Check Point’s ThreatCloudTM — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Количество кибератак на автомобили в России в 2025 году выросло на 20%

Согласно исследованию АО «ГЛОНАСС» и компании «Технологии безопасности транспорта» (ТБТ), за восемь месяцев 2025 года зафиксировано 328 кибератак на автомобили. Это на 20 больше, чем за аналогичный период 2024 года. О 20-процентном росте в годовом выражении сообщили также в компании «Спикател», однако абсолютные значения там не раскрыли.

Отчёт по исследованию оказался в распоряжении «Ведомостей». Данные собирались из разных источников: как открытых (ИТ-компании, органы власти), так и закрытых — включая результаты bug bounty-программ и информацию из профессиональных сообществ специалистов по ИТ и ИБ.

Анализ показал, что 93% атак совершаются удалённо. В 85% случаев злоумышленники эксплуатируют уязвимости Bluetooth или облачных сервисов. Такие атаки позволяют дистанционно управлять автомобилем или даже угнать его. В числе часто используемых векторов названы системы сенсорного слияния (лидары и радары), технологии SDV (Software Defined Vehicles, программно определяемый функциональность автомобиля) и AV (Autonomous Vehicles, системы автономного вождения).

По словам руководителя направления кибербезопасности транспортных средств АО «ГЛОНАСС» Владимира Педанова, особенно востребованы взломы SDV-сервисов, которые автопроизводители предоставляют за дополнительную плату. Так, Volkswagen, Tesla и John Deere распространяют подобные функции через подписки. Например, инструменты для взлома автопилота John Deere появились всего через месяц после начала его коммерческого распространения.

Взлом технологий автопилота, подчеркнул Педанов, гораздо опаснее, так как напрямую влияет на безопасность движения. Однако исполнительный директор ассоциации «Консорциум предприятий в сфере автомобильных электронных приборов и телематики» Дмитрий Корначев считает, что ущерб от таких атак пока ограничен из-за невысокой зрелости телематических систем.

Главным мотивом злоумышленников становится блокировка систем автомобиля ради вымогательства. При этом сами автопроизводители также могут использовать схожие механизмы против «серых» машин.

Генеральный директор группы компаний ST IT, эксперт рынка TechNet НТИ Антон Аверьянов указал, что перспективным вектором атак остаются внутренние сервисы автопроизводителей, где также выявляются уязвимости. Так, в сентябре 2024 года была обнаружена брешь в инфраструктуре KIA, затронувшая даже автомобили, владельцы которых не подключали KIA Connect. Однако такие случаи редки и быстро устраняются.

Руководитель ИБ-направления «Телеком биржи» Александр Блезнеков назвал системной проблемой крайне низкий уровень защищённости бортовых систем. Во многих автомобилях средства защиты отсутствуют вовсе, что делает их уязвимыми как для удалённых атак через интернет, так и для атак в непосредственной близости к машине.

Как отметил директор департамента расследований T.Hunter Игорь Бедеров, современные автомобили фактически превратились в компьютеры на колёсах. Они оснащены множеством систем, подключённых к интернету через сотовую связь или Wi-Fi, что значительно расширяет поверхность атаки. При этом автопроизводители и их поставщики становятся привлекательными целями для финансово мотивированных злоумышленников.

В то же время подобные угрозы актуальны лишь для относительно небольшой части автопарка. По данным страховых компаний, на которые ссылаются «Ведомости», как минимум 70% автомобилей в России старше 10 лет, и для них киберриски фактически не представляют опасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru