Компания Eset представила рейтинг наиболее распространенных угроз за IV квартал прошлого года, а также прогноз тенденций их развития в 2021 г. (PDF, EN). Пандемия Covid-19 продолжает влиять на область кибербезопасности. В частности, из-за перехода многих компаний на удаленный режим работы продолжает расти число атак на протокол удаленного рабочего стола (RDP). По данным телеметрии Eset, количество попыток таких атак выросло на 768% в течение 2020 г.
Кроме этого, все чаще киберпреступники нацеливаются на цепь поставок: только за последний квартал 2020 г. компания Eset обнаружила такое количество случаев, которое ранее фиксировалось в течение целого года. А с учетом потенциальной выгоды злоумышленников распространение атак этого вида будет только увеличиваться.
Рейтинг выявленных образцов вредоносных программ в IV квартале 2020 г., Eset
Загрузчики
После активного III квартала уровень распространения загрузчиков в конце года снизился на 14,7%. Наибольшее количество атак было зафиксировано в октябре, а самым распространенным стало семейство вредоносных программ VBA/TrojanDownloader.Agent, связанное с Emotet. В частности, операторы Emotet распространяли вредоносные спам-сообщения на тему Хэллоуина с приглашениями на вечеринку. Чтобы узнать необходимые подробности, нужно было нажать на прикрепленный документ, который запускал загрузку Emotet на устройства жертв.
Банковское вредоносное ПО
В последней четверти 2020 г. уровень распространения банковского вредоносного ПО продолжал уменьшаться, снизившись на 33% по сравнению с III кварталом. Одним из важных факторов такого спада могло быть увеличение количества программ-вымогателей, которые оказались более прибыльными для киберпреступников. Кроме этого, внедрение мер безопасности в банковском секторе осложнило заражение целей.
Программы-вымогатели
Большинство обнаруженных в конце года программ-вымогателей распространялось через электронную почту. В целом в 2020 г. увеличилось количество целенаправленных атак с использованием техники, которая предусматривает похищение данных жертвы с целью шантажа. В то время как в начале года было всего несколько групп киберпреступников, использующих этот метод, в течение следующих месяцев их количество быстро возросло.
Ожидается, что в 2021 г. злоумышленники будут увеличивать суммы выкупа, а также станут использовать более агрессивные методы для давления на своих жертв и новые техники.
Рейтинг выявленных образцов программ-вымогателей, Eset
Криптомайнеры
Резкий рост цен на Bitcoin и другую криптовалюту в конце прошлого года вызвал незначительное увеличение количества криптомайнеров впервые с октября 2018 г. При условии дальнейшего увеличения спроса на криптовалюту такие вредоносные программы, фишинг и мошенничество с цифровой валютой снова наберут популярность. Кроме того, в 2020 г. увеличилось число целенаправленных атак программ-вымогателей, которые требуют платежи в криптовалюте, влияя тем самым на ее цену.
Шпионские программы и бэкдоры
Всего в IV квартале 2020 г. уровень распространения бэкдоров и шпионских программ уменьшился. Большинство выявленных угроз этого вида использовались киберпреступниками с целью получения прибыли или как дополнительный инструмент для сбора паролей или загрузки разных типов вредоносного ПО в более сложных атаках.
Шпионские программы и бэкдоры также лежали в основе атак на цепь поставок. Только в четвертом квартале специалисты Eset обнаружили три крупных таких атаки – Lazarus в Южной Корее, операции StealthyTrident в Монголии и SignSight во Вьетнаме.
В дальнейшем злоумышленники будут чаще использовать бэкдоры в атаках программ-вымогателей для похищения данных и дальнейшего шантажа жертв в случае их отказа платить выкуп. Также в 2021 г. можно ожидать увеличения количества выявленных атак на цепь поставок в результате усиленных проверок качества кода и внедрения дополнительных мер безопасности. И, несомненно, возрастет число атак с использованием неизвестных бэкдоров и уязвимостей.
Эксплойты
Поскольку ситуация с пандемией оставалась без изменений, многим компаниям пришлось привыкнуть работать в удаленном режиме. В связи с этим киберпреступники продолжили использовать эксплойты RDP для атак программ-вымогателей, что угрожает безопасности как частных, так и государственных организаций.
В четвертом квартале 2020 г. число попыток атак на RDP увеличилось на 40%. Однако этот показатель значительно меньше по сравнению с ростом в период между II и III кварталами (140%). Учитывая тенденцию к усилению мер безопасности для удаленной работы, ожидается уменьшение количества атак такого типа, о чем свидетельствуют показатели IV квартала.
Угрозы для МАС
По состоянию на конец года активность вредоносных программ для macOS продолжала снижаться. Исключением стала категория троянов, общий объем которых вырос на 78% по сравнению с третьим кварталом. В 2021 г. ожидается рост объема вредоносного рекламного ПО вместе с увеличением количества поддельных приложений. Также при отсутствии улучшения процесса проверки во время загрузки приложений в официальный магазин Apple будет расти количество вредоносных программ, замаскированных под легитимные.
Угрозы для Android
Наибольший спад угроз для Android был зафиксирован в конце 2020 г. – на 38% по сравнению с предыдущим кварталом. Это произошло в результате снижения активности скрытых приложений. Странами с наибольшим количеством выявленных угроз для Android в 2020 г. были Россия, Украина и Турция. Стоит отметить, что для распространения большинства вредоносных программ для Android киберпреступники использовали тему Covid-19.
С ростом цен на Bitcoin существует вероятность новой волны мошенничества с криптовалютой, которое ранее было достаточно распространенным среди пользователей Android. Кроме этого, из-за утечки исходного кода Cerberus ожидается увеличение количества банковских вредоносных программ. Поэтому по-прежнему важным для защиты мобильных устройств от киберугроз остается загрузка приложений только из официальных магазинов, контроль разрешений и использование надежного решения по безопасности.
Веб-угрозы
В последнем квартале 2020 г. наблюдалось общее снижение активности веб-угроз за исключением категории легитимных сайтов с вредоносным кодом. В этих случаях для распространения своего вредоносного кода злоумышленники использовали сайты с низким уровнем безопасности, например, незащищенной загрузкой файлов или уязвимыми веб-приложениями. Примером группы киберпреступников, которая часто несанкционированно использует сайты для распространения своих вредоносных документов или финальных компонентов, является Emotet.
Среди гомографических атак (создание доменов, похожих на известные сайты) было зафиксировано незначительное увеличение общего количества выявленных вредоносных доменов, а также число заблокированных уникальных URL-адресов. Наибольшее количество блокировок в IV квартале пришлось на домены, которые выдают себя за blockchain.com, например, «login.bıockchaln.com».
Угрозы, которые распространяются через электронную почту
Самый высокий уровень активности угроз этого вида в течение IV квартала был зафиксирован в период Черной пятницы и праздничных кампаний в декабре. Наиболее распространенной была угроза HTML/Fraud, которая использовалась для похищения личных данных путем отправления жертве сообщение о выигрыше приза. Популярными темами вредоносных писем в четвертом квартале были запрос на оплату, счет, подтверждение заказа, доставка посылки, денежный перевод, сообщение из банка и Covid-19.
Поскольку в конце года почти все обсуждали вопрос создания, распространения и безопасности вакцины от Covid-19, злоумышленники больше всего сосредоточились именно на этой теме. По сравнению с предыдущим кварталом упоминания о вакцинах во вредоносных письмах выросли на 50%. В частности, вакцина Pfizer-BioNTech чаще всего упоминалась в мошеннических электронных письмах с такими заголовками, как «Pfizer против Covid: 11 фактов, которые вам нужно знать».
Самые популярные типы вредоносных вложений электронной почты в IV квартале 2020 г., Eset
Безопасность Интернета вещей
Слабые пароли остаются одной из ключевых проблем безопасности Интернета вещей. По данным 2020 г., «admin» по-прежнему является самой популярной комбинацией, после которой идут «root» и «1234». В общем, эти сочетания – пароли по умолчанию, которые, вероятно, никогда не менялись владельцами устройств.
По данным Eset, среди более чем 140 тыс. проверенных роутеров около 5 тыс. устройств использовали слабые пароли, а почти 3 тыс. имели, по крайней мере, одну известную уязвимость. Как и в предыдущих кварталах, наиболее распространенной уязвимостью стала CVE-2012-5687 (18%), которая позволяет злоумышленникам получить несанкционированный доступ к устройству. На втором и третьем месте оказались уязвимости для ввода команд – CVE-2014-8361 (11,1%) и CVE-2014-9583 (7,8%) соответственно.