Кампанія Qbot, яка відбулася минулого місяця, використовує новий метод доставки, у якому електронний лист надсилається цільовим особам разом із вкладенням із захищеними PDF-файлами.
Після завантаження зловмисне програмне забезпечення Qbot буде встановлено на пристрої. Дослідники виявили, що шкідливий спам було надіслано кількома мовами, а це означає, що цілями можуть бути організації по всьому світу. Mirai, одне з найпопулярніших шкідливих програм для Інтернету речей, також повернулося минулого місяця. Дослідники виявили, що Mirai використовує нову вразливість нульового дня (CVE-2023-1380), щоб атакувати маршрутизатори TP-Link і додавати їх до свого ботнету, який використовувався в деяких з найпоширеніших DDoS-атак усіх часів. Ця остання кампанія є результатом комплексного звіту Check Point Research (CPR) про поширення атак IOT.
Орієнтація на постачальників програмного забезпечення
У Німеччині також відбулися зміни в секторах, які постраждали від кібератак: не на першому місці, оскільки роздрібна та оптова торгівля залишаються найбільш атакуваними сферами. Проте ISP/MSP (постачальники програмного забезпечення) піднялися на друге місце, тоді як охорона здоров’я скотилася на 3 місце за кількістю атак у квітні. Напади на заклади охорони здоров’я добре задокументовані, і деякі країни продовжують постійно стикатися з нападами. Галузь залишається прибутковою мішенню для хакерів, потенційно надаючи їм доступ до конфіденційної інформації про пацієнтів і платежів. Це може вплинути на фармацевтичні компанії, оскільки це може призвести до витоків у клінічних випробуваннях або нових ліків і пристроїв.
«Кіберзлочинці постійно працюють над новими способами обходу обмежень, і ці кампанії є ще одним доказом того, як зловмисне програмне забезпечення адаптується, щоб вижити. Оновлена кампанія Qbot нагадує нам про важливість комплексної кібербезпеки та належної обачності в оцінці походження та наміру електронної пошти», – сказала Майя Горовіц, віце-президент з досліджень Check Point Software.
Найпопулярніші шкідливі програми в Німеччині
*Стрілки вказують на зміну в рейтингу порівняно з попереднім місяцем.
1. ↔ Qbot – Qbot, також відомий як Qakbot, є банківським трояном, який вперше з’явився у 2008 році. Він призначений для викрадення банківської інформації користувача та натискань клавіш. Qbot, який зазвичай розповсюджується через спам, використовує кілька методів захисту від ВМ, захисту від налагодження та захисту від пісочниці, щоб ускладнити аналіз і уникнути виявлення.
2. ↑ NanoCore – NanoCore — це троян віддаленого доступу, націлений на користувачів операційної системи Windows, і вперше був помічений у дикій природі у 2013 році. Усі версії RAT включають базові плагіни та функції, такі як запис екрана, майнінг криптовалюти, віддалене керування робочим столом і викрадення сеансів веб-камери.
3. ↑ AgentTesla – AgentTesla — це складна програма RAT, яка діє як кейлоггер і викрадач паролів і діє з 2014 року. AgentTesla може відстежувати та збирати натискання клавіш жертви та буфер обміну, робити знімки екрана та вилучати облікові дані для різноманітного програмного забезпечення, встановленого на комп’ютері жертви (включаючи Google Chrome, Mozilla Firefox і клієнт електронної пошти Microsoft Outlook). AgentTesla продається на різних інтернет-маркетах і хакерських форумах.
Топ-3 вразливості
За останній місяць найбільш використовуваною уразливістю стала «Обхід шкідливого URL-адреси каталогу веб-серверів», яка вразила 48 відсотків організацій у всьому світі, за нею йдуть Apache Log4j Remote Code Execution (44 відсотки) і HTTP Headers Remote Code Execution (віддалене виконання коду HTTP Headers Remote Code Execution) з 43 відсотками глобального впливу.
↑ Шкідлива URL-адреса веб-серверів. Перехід до каталогу – на різних веб-серверах існує вразливість до обходу каталогу. Уразливість пов’язана з помилкою перевірки введення на веб-сервері, який не очищає належним чином URI для шаблонів обходу каталогу. Успішна експлуатація дозволяє неавтентифікованим зловмисникам відкривати або отримувати доступ до довільних файлів на вразливому сервері.
↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – в Apache Log4j існує вразливість, яка дозволяє дистанційне виконання коду. Успішне використання цієї вразливості може дозволити віддаленому зловмиснику запустити довільний код на ураженій системі.
↓ Віддалене виконання коду заголовків HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – заголовки HTTP дозволяють клієнту та серверу включати додаткову інформацію з запитом HTTP для передачі. Віддалений зловмисник може використовувати вразливий заголовок HTTP для виконання довільного коду на машині жертви.
Топ-3 зловмисних програм для мобільних пристроїв
За останній місяць Ahmyth був найпоширенішим шкідливим програмним забезпеченням для мобільних пристроїв, за ним йдуть Anubis і Hiddad.
1. ↔ AhMyth – AhMyth — це троян віддаленого доступу (RAT), виявлений у 2017 році. Він поширюється через програми для Android, які можна знайти в магазинах програм і на різних веб-сайтах. Коли користувач встановлює одну з цих інфікованих програм, зловмисне програмне забезпечення може збирати конфіденційну інформацію з пристрою та виконувати такі дії, як клавіатурний журнал, робити знімки екрана, надсилати SMS-повідомлення та активувати камеру.
↔ Anubis – Anubis — банківський троян, розроблений для телефонів Android. З моменту першого виявлення він отримав додаткові функції, включаючи троян віддаленого доступу (RAT), кейлоггер і можливості запису аудіо, а також різні функції програм-вимагачів. Його помітили в сотнях різних додатків у Google Store.
↔ Hiddad – Hiddad – це зловмисне програмне забезпечення для Android, яке перепаковує законні програми, а потім публікує їх у сторонньому магазині. Його основною функцією є показ реклами, але він також може отримати доступ до важливих деталей безпеки операційної системи.
У вас є хвилинка?
Приділіть кілька хвилин для нашого опитування користувачів 2023 року та допоможіть покращити B2B-CYBER-SECURITY.de!Вам потрібно відповісти лише на 10 запитань, і у вас є шанс виграти призи від Kaspersky, ESET і Bitdefender.
Тут ви переходите безпосередньо до опитування
Напад на промисловість у Німеччині
1. ↔ Retail/Wholesale (Роздріб/Опт)
2. ↑ Постачальник ІТ-послуг/Постачальник керованих послуг (ISP/MSP)
3. ↓ Освіта/Дослідження
Глобальний індекс впливу загроз Check Point і карта ThreatCloud розроблені на базі ThreatCloud Intelligence Check Point. ThreatCloud надає дані про загрози в реальному часі, отримані від сотень мільйонів датчиків по всьому світу в мережах, кінцевих точках і мобільних телефонах. Цей інтелект збагачений механізмами на основі штучного інтелекту та ексклюзивними даними досліджень Check Point Research, відділу досліджень і розробок Check Point Software Technologies.
Більше на Checkpoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.