Check Point: активность RoughTed и Fireball в июле резко снизилась

RoughTed — это крупномасштабная кампания вредоносной рекламы, которая используется для переадресации пользователей на зараженные сайты и для загрузки мошеннических программ, эксплойт-китов и программ-вымогателей. Несмотря на снижение популярности, RoughTed оставался наиболее распространенной формой вредоносного ПО в течение июля. Hacker Defender, пользовательский руткит для Windows, занял второе место — он атаковал 5% организаций по всему миру. 

Отчет также показывает резкое снижение активности зловреда Fireball, который опустился на третье место. В июле он атаковал 4,5% организаций, хотя еще два месяца назад их было 20%  по всему миру. Возможно, это связано с арестом подозреваемых организаторов кампании. 

«Падение активности Fireball обнадеживает, оно может быть связано с арестом подозреваемых распространителей в Китае. Это подчеркивает позитивное влияние, которое совместная работа вендоров по безопасности и правоохранительных органов оказывает на киберпреступный мир», — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. 

Количество атак на Россию в июле 2017 года значительно уменьшилось — она опустилась с 31 на 74 место в рейтинге самых атакуемых стран. Чаще всего российские организации атаковали с использованием зловредов Roughted, Ldpinch, Conficker, Fireball, HackerDefender, BoA, Fraud, Kometaur, Parite и Cryptolocker. 

Больше всего кибератакам подвергались компании Замбии, Доминиканской республики и Камбоджи. Меньше всего атак было на организации на острове Гернси, в Мозамбике и Киргизии. 

Самые активные зловреды июля 2017:

*Стрелками указаны изменения в рейтинге по сравнению с данными прошлого месяца 

1. 1.       ↔ RoughTed — Масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.
2. 2.       ↑ Hacker Defender — Пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и ключей системного реестра. Также его применяют в качестве бэкдора и программы для перенаправления портов, которая работает через TCP-порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
3. 3.       ↓ Fireball — Зловред, который захватывает контроль над браузерами и может использоваться как полноценный загрузчик вредоносного ПО. Он способен исполнять любой код на устройстве жертвы, что открывает злоумышленникам множество возможностей — от кражи персональных данных до загрузки дополнительных зловредов.   

Впервые за 2017 год Hummingbad не попал в топ-три самых активных мобильных зловредов. На этот раз его место занял TheTruthSpy, атаковавший наибольшее число организаций, за ним следуют Lootor и Triada. 

Самые активные мобильные зловреды:

1. 1.       TheTruthSpy — Шпионский зловред, который может быть установлен в скрытом режиме для отслеживания данных, поступающих на устройство.
2. 2.       Lotoor — Инструмент для взлома, который использует уязвимости в ОС Android, чтобы получить привилегии суперпользователя на взломанных мобильных устройствах.
3. 3.       Triada — Модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере. 

«Хорошо, что даже самые активные зловреды становятся менее эффективными, но важно, чтобы организации не расслаблялись. Несмотря на то, что популярность RoughTed значительно снизилась, он все еще пытается заразить каждую пятую организацию в мире. Также стоит помнить, что как только злоумышленники видят снижение эффективности одного инструмента, они разрабатывают новые, усовершенствованные формы зловредов. Организации из всех отраслей нуждаются в многоуровневой системе безопасности. Решения SandBlast™ Zero-Day Protection и Mobile Threat Prevention, например, способны защитить от различных типов атак, а также от вредоносного ПО нулевого дня», — дополнил Василий. 

Данные для ThreatCloud Map предоставлены Check Point’s ThreatCloudTM — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.

* Полный список десяти самых активных семейств вредоносного ПО за июль 2017 года доступен в блоге Check Point:  http://blog.checkpoint.com/2017/08/21/julys-wanted-malware-roughted-fireball-decrease-stay-prevalent/