Check Point: ботнет Echobot начал широкомасштабные атаки на умные устройства

Рекомендуем почитать:

Xakep #245. Нейросети

• Содержание выпуска
• Подписка на «Хакер»

Эксперты компании Check Point подготовили отчет Global Threat Index, посвященный самым активным угрозам августа 2019 года. Аналитики отмечают активность ботнета Echobot, а также «возвращение к жизни» ботнета Emotet.

В отчете исследовательская группа предупреждает о новой вариации ботнета Mirai — Echobot, который начал широкомасштабные атаки на умные устройства. Echobot появился в мае 2019 года, и за прошедшее время «научился» использовать более 50 различных уязвимостей. Особенно активно малварь эксплуатирует проблемы удаленного внедрения команд (Command Injection Over HTTP). Атаки Echobot затронули уже 34% организаций во всем мире.

«Echobot — новая вариация ботнета Mirai. Мы отмечаем резкий рост его использования: в настоящее время он нацелен на более чем 50 различных уязвимостей и уже успел затронуть более 34% компаний по всему миру. Поэтому важно, чтобы организации регулярно обновляли все свои сети, программное обеспечение и устройства IoT. В России в топ-3 поднялась вредоносная программа AgentTesla, которая активно распространялась в летние месяцы. Как правило, фишинговые письма имитировали те сообщения, которые часто рассылаются в период отпусков: информацию о бронировании и покупке авиабилетов, счета за них», — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ.

Как и предполагали исследователи, в августе инфраструктура другого ботнета, Emotet, была снова активирована. Дело в том, что пару месяцев назад, в июне 2019 года, количество вредоносных кампаний Emotet резко снизилось. Тогда команда Check Point предположила, что инфраструктура ботнета могла быть отключена для обслуживания и обновления. Мы уже отмечали, что «отпуск» операторов Emotet – это вовсе не из ряда вон выходящий случай. Ботнеты нередко делают перерывы в работе, обновляя инфраструктуру, или пока их операторы отдыхают. Например, известный ботнет Dridex каждый год отключался в период с середины декабря до середины января, на время зимних каникул.

В итоге топ наиболее активной малвари в августе 2019 года выглядит следующим образом.

Самая активная малварь в августе 2019 в России:

• Cryptoloot — майнер, который использует CPU или GPU мощности и существующие ресурсы для добычи криптовалюты.
• AgentTesla— усовершенствованный RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).
• XMRig — ПО с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

Самая активная малварь в августе 2019 в мире:

• XMRig — ПО с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero
• Jsecoin — JavaScript-майнер, который может запускать майнер прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.
• Dorkbot — червь на основе IRC, предназначенный для удаленного выполнения кода его оператором, а также для загрузки дополнительных вредоносных программ в зараженную систему.

Самые активные мобильные угрозы августа 2019:

• Lotoor— программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах
• AndroidBauts— рекламный вредонос, которое похищает IMEI, IMSI, данные GPS и другую информацию об устройстве и позволяет устанавливать сторонние приложения на зараженные мобильные устройства.
• Triada— модульный бэкдор, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить их в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузере.

Источник