Банковский троян Ramnit удвоил свою активность за несколько месяцев

Банковский троян Ramnit удвоил свою активность за несколько месяцев

Компания Check Point опубликовала отчет Global Threat Index за август 2018 года, в котором отмечает значительное увеличение числа атак с использованием банковского трояна Ramnit. За последние несколько месяцев Ramnit удвоил свою активность, чему способствовала широкомасштабная кампания, в ходе которой устройства жертв становились вредоносными прокси-серверами.

В августе 2018 года Ramnit подскочил до 6-го места в рейтинге угроз Threat Index и стал самым распространенным банковским трояном в восходящем тренде банковских угроз.

«Это второй случай за лето, когда злоумышленники все чаще используют банковские трояны, чтобы получить быструю прибыль. Тенденции, подобные этой, не следует игнорировать, поскольку хакеры четко знают, какие векторы атаки с большой вероятностью будут успешными в текущий момент», — комментирует Василий Дягилев, глава представительства Check Point в России и СНГ.

«Хакеры изучают привычки пользователей и знают, что в летний период они более уязвимы для банковских троянов. Это показывает, насколько злоумышленники упорны и изобретательны в своих попытках заполучить деньги».

«Чтобы предотвратить эксплуатацию как банковскими троянами, так и другими типами атак, крайне важно, чтобы предприятия применяли многоуровневую стратегию кибербезопасности, которая защищает от известных вредоносных программ и от угроз нулевого дня».

Согласно отчету, в августе 2018 года криптомайнер Coinhive остался наиболее распространенным вредоносным ПО, атаковав 17% организации по всему миру. В топ-3 поднялся модульный бот Andromeda, который, как и Dorkbot, затронул 6% организаций по всему миру.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакер продает доступ к 50 сетям с непропатченным Confluence Server

Исследователи из Rapid7 обнаружили на хакерском форуме XSS объявление о продаже root-доступа к серверам Atlassian Confluence в сетях 50 американских компаний. По словам брокера, у него имеются сведения о других 10 тыс. уязвимых машин, и этому заявлению можно верить: продавец пользуется хорошей репутацией у киберкриминала.

Критическая RCE-уязвимость, которую предлагается использовать с оплатой эксплойта (CVE-2022-26134), была обнаружена при разборе целевой атаки на одного из клиентов Volexity. Патч для нее Atlassian выпустила в срочном порядке в начале текущего месяца; на тот момент в интернете было выявлено более 9 тыс. уязвимых серверов Confluence, в том числе в России.

Пользуясь тем, что админы зачастую тормозят с установкой столь важных обновлений, раскрытую 0-day быстро взяли на вооружение несколько китайских APT-групп, а также распространители шифровальщиков — форка Cerber и объявившегося в прошлом году AvosLocker (согласно Prodaft).

В этом месяце наблюдатели из Barracuda Networks ежедневно фиксируют попытки эксплойта CVE-2022-26134 по своей клиентской базе, с пиком, пришедшимся на 13 июня. Агрессивный поток исходит в основном из сетей облачных и хостинг-провайдеров России, США и Индии. Конечные цели при этом различны, от безобидного тестирования на проникновение до засева DDoS-ботов (вариантов Mirai) и криптомайнеров.

 

В связи с повышенной эксплойт-активностью админам рекомендуется незамедлительно обновить Atlassian Confluence до пропатченной версии. Нелишне будет также поискать признаки компрометации таких серверов. Эксперты Rapid7 тем временем пытаются установить владельцев 50 взломанных сетей, чтобы сообщить им о неприятной находке.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru