Xakep #305. Многошаговые SQL-инъекции
Команда исследователей Check Point представила отчет Global Threat Index, посвященный самым активным угрозам мая 2021 года. TrickBot, который впервые вошел в топ-лист в апреле 2019 года, теперь занял первое место в мировом топе. При этом Dridex (который был одной из самых популярных вредоносных программ в последние месяцы на фоне глобального всплеска программ-вымогателей), вообще вышел из рейтинга. А в России, тем временем, первое место занимает банковский троян Qbot.
Эксперты напоминают, что TrickBot — ботнет и банковский троян, один из крупнейших и наиболее успешных вредоносов на сегодняшний день. Малварь была замечена впервые еще в 2015 году, вскоре после серии громких арестов, которые существенно изменили состав хак-группы Dyre.
За прошедшие годы малварь эволюционировала из классического банковского трояна, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров, до шифровальщиков и инфостилеров).
TrickBot стал особенно популярен после ликвидации ботнета Emotet в январе текущего года и попал в заголовки новостей на прошлой неделе, когда Министерство юстиции США предъявило обвинения гражданке Латвии за ее роль в создании и распространении Trickbot.
Также с начала 2021 года команда Check Point наблюдает значительный рост атак на предприятия. По сравнению с маем 2020 года количество инцидентов в Северной и Южной Америке увеличилось на 70%, в регионе EMEA — на 97%, а в Азиатско-Тихоокеанском регионе — на 168%.
В итоге список самой активной малвари в мире в мае 2021 выглядит так:
- TrickBot— один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. TrickBot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний. Атаковал 8% организаций по всему миру.
- XMRig — опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero. Обнаружено в 3% организаций.
- FormBook — впервые замечен в 2016 году. Инфостилер, предназначенный для Windows. На хакерских форумах позиционируется как MaaS (Malware-as-a-Service) из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных браузеров, делает скриншоты, отслеживает и запоминает нажатия клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера. Затронул 3% организаций.
В России ситуация, как обычно, выглядит немного иначе:
- Qbot — банковский троян. Впервые появился в 2008 году, был предназначен для кражи банковских учетных данных и работал как кейлоггер. Qbot часто распространяется через спам и использует несколько методов обнаружения виртуальных машин и песочниц, чтобы затруднить анализ и уклониться от обнаружения. Затронул 21,5% организаций.
- TrickBot— один из доминирующих банкеров, который постоянно дополняется новыми возможностями, функциями и векторами распространения. TrickBot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний. Затронул 12% организаций.
- XMRig— опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero. Затронул 9% организаций.