Check Point Global Threat Index: Coinhive закрывается, но криптомайнинг по-прежнему доминирует

Компания Check Point Software Technologies Ltd. опубликовала отчет с самыми активными угрозами в марте Global Threat Index. Согласно рейтингу, несмотря на то что майнинговые сервисы, такие как Coinhive, закрываются, криптомайнеры все еще остаются самыми распространенными вредоносными программами, направленными на компании по всему миру.

Сервисы Coinhive и Authedmine прекратили работу 8 марта — и впервые с декабря 2017 года Coinhive уступил верхнюю позицию Global Threat Index. Однако, несмотря на то что криптомайнер работал в марте только в течение восьми дней, он занял шестое место среди самых активных угроз. В моменты своей самой активной работы Coinhive атаковал 23% организаций по всему миру.

Многие сайты все еще содержат JavaScrip-код Coinhive и сегодня, хотя майнинг ими уже не осуществляется. Исследователи Check Point предупреждают, что Coinhive может легко возобновить свою деятельность, если валюта Monero вновь покажет рост. Кроме того, воспользоваться отсутствием конкуренции со стороны Coinhive могут другие криптомайнеры — и увеличить свою активность.

Три из пяти самых активных угроз в марте — криптомайнеры Cryptoloot, XMRig и JSEcoin. Так, Cryptoloot впервые возглавил рейтинг угроз, за ним следует модульный троян Emotet. Оба атаковали около 6% компаний по всему миру. Третий по распространенности — зловред XMRig (5%).

«С учетом общего снижения стоимость криптовалюты с 2018 года, скорее всего, все больше криптомайнеров пойдут по стопам Coinhive и прекратят свою работу. Тем не менее, я подозреваю, что киберпреступники найдут способы заработать, например, сфокусируются на майнинге в облачных средах, где встроенная функция автоматического масштабирования позволяет добывать еще больше криптовалюты. Мы видели, как организации просят заплатить сотни тысяч долларов своим облачным поставщикам за вычислительные ресурсы, незаконно используемые криптомайнерами. Так что компаниям следует как можно скорее обратить внимание на защиту облачных сред», — комментирует Никита Дуров, технический директор Check Point Software Technologies в России и СНГ.

Топ-3 самых активных вредоносных ПО в марте 2019:


  1. ↑ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
  2. ↑ Emotet — продвинутый, самораспространяющийся модульный троян. Emotet когда-то использовался в качестве банковского трояна, а в последнее время используется в качестве доставки других вредоносных программ или вредоносных кампаний. Он использует несколько методов, чтобы избежать обнаружения. Также распространяется через фишинговые спам-сообщения, содержащие вредоносные вложения или ссылки.
  3. ↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

В этом месяце Hiddad стал наиболее распространенным вредоносным ПО для мобильных устройств и сместил Lotoor с первого места. Троян Triada остается на третьем месте.

Самые активные мобильные угрозы марта 2019:


  1. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
  2. Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
  3. Triada — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузере.

Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. CVE-2017-7269 остался на первом месте (47%). Также в тройке утечка информации через репозитории веб-сервера Git (46%) и критические уязвимости библиотеки OpenSSL TLS DTLS Heartbeat (45%).

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.