Ідея будь-якого шкідливого програмного забезпечення, спрямованого проти компаній, виходить за рамки. Тут Varonis Threat Labs представляє 9 важливих варіантів зловмисного програмного забезпечення, які протягом останніх років були особливо націлені на інформацію в компаніях - переважно трояни віддаленого доступу (RAT), викрадачі інформації або банківські трояни.
На додаток до чіткої тенденції до високоіндивідуалізованого програмного забезпечення-вимагача, Varonis Threat Labs також помітили збільшення поширення так званого «товарного шкідливого програмного забезпечення» за останній рік. Цей термін стосується зловмисного програмного забезпечення, яке доступне для придбання або безкоштовного завантаження у великих масштабах, не налаштоване для окремих жертв і використовується різними зловмисниками. Згідно зі спостереженнями дослідників безпеки, серед величезної кількості доступних варіантів зловмисного програмного забезпечення наступні дев’ять особливо відіграють помітну роль.
njRAT – троян віддаленого доступу (RAT)
Вперше зареєстрований наприкінці 2012 – на початку 2013 року, njRAT – це широко поширений троян віддаленого доступу (RAT), спочатку розроблений групою кіберзлочинців Sparclyheason. Вихідний код цього RAT вже був опублікований у травні 2013 року. Як наслідок, його в основному використовують менш кмітливі кіберзлочинці. Численні посібники та посібники з його використання були опубліковані на підпільних форумах і YouTube. njRAT все ще дуже поширений і здебільшого поширюється через спам-кампанії. Його також можна знайти в «троянських» версіях законних програм, завантажених із підозрілих джерел і файлообмінних веб-сайтів.
Подібно до інших популярних програм RAT, njRAT пропонує можливості віддаленого керування та моніторингу, а також можливість передавати та запускати файли, маніпулювати реєстром та отримувати доступ до віддаленої оболонки. Крім того, RAT може віддалено записувати аудіо та відео через підключені мікрофони та веб-камери, а також використовувати функції клавіатурного журналу та викрадення паролів.
Formbook (XLoader)
Formbook вперше був помічений на початку 2016 року та перейменований на XLoader у 2020 році. Formbook доступний як зловмисне програмне забезпечення як послуга на підпільних форумах і зазвичай використовується менш досвідченими зловмисниками для викрадення облікових даних або інших даних у жертв.
Поширення Formbook продовжувало збільшуватися у 2021 році, можливо, через його доступність, низьку вартість і простоту використання. Спочатку Formbook був призначений лише для Windows. Однак з моменту появи XLoader Apple macOS також підтримується. На додаток до можливостей викрадення облікових даних, Formbook також містить деякі функції, подібні до RAT, наприклад можливість передавати та виконувати корисні дані, а також примусово перезавантажувати чи вимикати систему. У цьому відношенні Formbook також підходить як точка входу для розповсюдження шкідливого корисного навантаження, а також для досягнення інших цілей, крім крадіжки даних.
NanoCore - троян віддаленого доступу (RAT)
NanoCore вперше був відкритий у 2013 році, і його можна було придбати приблизно за 25 доларів. «Зламані» версії зараз також широко поширені в кіберзлочинному підпіллі. Зловмисне програмне забезпечення пропонує типові функції RAT, які можуть бути доповнені модульною архітектурою. Для значного розширення функціональності можна використовувати плагіни. Завдяки наявності зламаних і витікаючих версій NanoCore все ще широко використовується сьогодні. Розповсюдження зазвичай відбувається через фішингові листи та заражені піратські копії.
Локібот - викрадач інформації
Lokibot (також відомий як Loki та LokiPWS) — програма для викрадання інформації, яка вперше з’явилася в середині 2015 року і спочатку продавалася на форумах про кіберзлочинність за ціною до 400 доларів США, перш ніж стався витік вихідного коду. Він підтримує додаткові модулі, такі як кейлоггер і функції крадіжки гаманця криптовалюти. Останнім часом це часто спостерігалося у зв’язку з фішинговими кампаніями щодо COVID-19.
Remcos - троян віддаленого доступу (RAT)
Remcos продається як «законний» комерційний інструмент віддаленого доступу та регулярно оновлюється його розробниками. Remcos є одним із найпоширеніших троянів віддаленого доступу, і, як і подібні інструменти, орієнтований насамперед на недосвідчених зловмисників, які можуть дізнатися більше про зловмисне програмне забезпечення з численних посібників YouTube. Однак багато професійних зловмисників також використовують Remcos, щоб уникнути необхідності розробляти власні інструменти та мати можливість зосередитися на інших фазах своєї атаки.
На додаток до стандартних функцій RAT, Remcos пропонує функцію «Remote Scripting», яка дозволяє виконувати код одночасно на кількох хостах. Крім того, користувачі Remcos можуть придбати додаткові послуги у розробників, напр. Б. масова розсилка для розсилки фішингових листів і динамічна служба DNS. Це забезпечує єдине ім’я хоста, яке полегшує доступ до хосту командного керування (C2) і дозволяє зловмисникам оновлювати свою IP-адресу без оновлення двійкового файлу Remcos.
AZORult - викрадач інформації
Вперше виявлений на початку 2016 року, AZORult — це програма для викрадання інформації, яка часто поширюється через спам-кампанії, які стосуються актуальних питань або маскуються під законні бізнес-комунікації. Здебільшого розповсюджує документи Microsoft Office зі шкідливими макросами. Коли жертви вмикають макроси, інфраструктура керування зловмисниками завантажує зловмисне корисне навантаження. Потім він запускає AZORult, щоб викрасти конфіденційні дані, включаючи облікові дані для входу, дані платіжної картки, дані веб-перегляду та гаманці криптовалюти, перш ніж відправити їх на C2 і вимкнути себе.
AZORult часто виникає в поєднанні з іншими атаками, більшість з яких мають інші цілі. Окрім маскування під ділові комунікації, розповсюдження часто відбувається через заражені «креки» або інший сумнівний вміст, часто пов’язаний із порушенням авторських прав.
Netwire - троян віддаленого доступу (RAT)
Netwire вперше був ідентифікований у 2012 році і дуже поширений. Троян віддаленого доступу (RAT) часто поширюється через фішингові кампанії, які видаються за підтвердження замовлення або сповіщення про відстеження. Окрім стандартних функцій RAT, у Netwire з 2016 року є функція зчитування платіжних карток. Це особливо націлено на платіжні пристрої в магазинах.
Netwire використовує спеціальне шифрування для свого командно-контрольного трафіку, щоб уникнути виявлення та ускладнити розслідування. Викрадені дані шифруються перед передачею.
Danabot - банківський троян
Danabot — це модульний банківський троян, який спочатку використовувався однією групою, а тепер продається іншим кіберзлочинцям під назвою Malware-as-a-Service (MaaS). Спочатку Danabot зосереджувався на крадіжці облікових даних, рахунків у криптовалюті та банківських облікових даних за допомогою веб-впровадження. Однак модульна архітектура дозволяє легко налаштовувати зловмисне програмне забезпечення та використовувати його різними способами. Наприклад, доступні функції шифрування RAT і програм-вимагачів.
У жовтні 2021 року пакет NPM для популярної бібліотеки JavaScript UAParser.js було зламано та змінено для завантаження та запуску Danabot разом із майнером крипто. Законний пакет завантажується від XNUMX до XNUMX мільйонів разів на тиждень, що демонструє величезний вплив атаки на ланцюг поставок.
Emotet – зловмисне програмне забезпечення, шпигун, програма для завантаження, програма-вимагач
Emotet, мабуть, одна з найвідоміших шкідливих програм. Emotet спочатку був розроблений як банківський троян. Хоча Emotet зберіг деякі основні можливості крадіжки інформації, з роками зловмисне програмне забезпечення перетворилося на завантажувач для інших зловмисних програм. Актори, що стоять за Emotet, також запропонували свій ботнет як послугу, ставши провідним розповсюджувачем інших популярних загроз, таких як програми-вимагачі Ryuk.
Тим часом Emotet також трохи затих через міжнародне видалення різними правоохоронними органами. Однак діяльність знову зростає, іноді під новими назвами та в інших сузір'ях.
Більше на Varonis.com
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,