Check Point: активность RoughTed и Fireball в июле резко снизилась

Исследователи компании Check Point обнаружили, что в июле число организаций, попавших под атаку вредоносной кампании RoughTed, снизилось более чем на треть — с 28% до 18%. Данные отражены в последнем отчете Global Threat Impact Index.

RoughTed — это крупномасштабная кампания вредоносной рекламы, которая используется для переадресации пользователей на зараженные сайты и для загрузки мошеннических программ, эксплойт-китов и программ-вымогателей. Несмотря на снижение популярности, RoughTed оставался наиболее распространенной формой вредоносного ПО в течение июля. Hacker Defender, пользовательский руткит для Windows, занял второе место — он атаковал 5% организаций по всему миру.

Отчет также показывает резкое снижение активности зловреда Fireball, который опустился на третье место. В июле он атаковал 4,5% организаций, хотя еще два месяца назад их было 20%  по всему миру. Возможно, это связано с арестом подозреваемых организаторов кампании.

«Падение активности Fireball обнадеживает, оно может быть связано с арестом подозреваемых распространителей в Китае. Это подчеркивает позитивное влияние, которое совместная работа вендоров по безопасности и правоохранительных органов оказывает на киберпреступный мир», — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ.

Количество атак на Россию в июле 2017 года значительно уменьшилось — она опустилась с 31 на 74 место в рейтинге самых атакуемых стран. Чаще всего российские организации атаковали с использованием зловредов Roughted, Ldpinch, Conficker, Fireball, HackerDefender, BoA, Fraud, Kometaur, Parite и Cryptolocker.

Больше всего кибератакам подвергались компании Замбии, Доминиканской республики и Камбоджи. Меньше всего атак было на организации на острове Гернси, в Мозамбике и Киргизии.

Самые активные зловреды июля 2017:

1. RoughTed — Масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.
2. Hacker Defender — Пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и ключей системного реестра. Также его применяют в качестве бэкдора и программы для перенаправления портов, которая работает через TCP-порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
3. Fireball — Зловред, который захватывает контроль над браузерами и может использоваться как полноценный загрузчик вредоносного ПО. Он способен исполнять любой код на устройстве жертвы, что открывает злоумышленникам множество возможностей — от кражи персональных данных до загрузки дополнительных зловредов.  

Впервые за 2017 год Hummingbad не попал в топ-три самых активных мобильных зловредов. На этот раз его место занял TheTruthSpy, атаковавший наибольшее число организаций, за ним следуют Lootor и Triada.

Самые активные мобильные зловреды:

1. TheTruthSpy— Шпионский зловред, который может быть установлен в скрытом режиме для отслеживания данных, поступающих на устройство.
2. Lotoor — Инструмент для взлома, который использует уязвимости в ОС Android, чтобы получить привилегии суперпользователя на взломанных мобильных устройствах.
3. Triada— Модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.

«Хорошо, что даже самые активные зловреды становятся менее эффективными, но важно, чтобы организации не расслаблялись. Несмотря на то, что популярность RoughTed значительно снизилась, он все еще пытается заразить каждую пятую организацию в мире. Также стоит помнить, что как только злоумышленники видят снижение эффективности одного инструмента, они разрабатывают новые, усовершенствованные формы зловредов. Организации из всех отраслей нуждаются в многоуровневой системе безопасности. Решения SandBlast™ Zero-Day Protection и Mobile Threat Prevention, например, способны защитить от различных типов атак, а также от вредоносного ПО нулевого дня», — дополнил Василий.