Уязвимость BlueKeep может затронуть почти один миллион компьютеров, имеющих доступ в интернет, а также те, которые находятся в сети организаций. Уязвимость очень серьезная, так как позволяет злоумышленникам добраться до критических данных без взаимодействия с пользователем. Атака происходит через протокол RDP, и такой способ воздействия очень распространен. В частности, он используется для установки программ-вымогателей, таких как Samsam и Dharma. В настоящее время специалисты Check Point наблюдают множество попыток сканирования уязвимостей, исходящих из разных стран мира. Такое сканирование может быть начальным этапом разведки и свидетельствовать о планировании атаки. Вместе с соответствующим исправлениями Microsoft Check Point обеспечивает защиту сети и конечных устройств от этой атаки.
«Самая большая угроза, которую мы видели за последний месяц — Bluekeep. Несмотря на то, что пока не было замечено ни одной атаки, использующей эту уязвимость, было совершено несколько публичных экспериментальных проверок. Мы согласны с Microsoft и другими наблюдателями индустрии кибербезопасности, что Bluekeep может быть использован для запуска кибератак в таких же масштабных кампаниях как WannaCry и NotPetya в 2017 году. Достаточно одного компьютера с этой уязвимостью, чтобы заразить всю сеть. Тогда все зараженные компьютеры, подключенные к интернету, могут заразить другие уязвимые устройства по всему миру, что позволяет атаке распространяться экспоненциально и безостановочно. Поэтому очень важно, чтобы организации уже сейчас защищали себя, пока не стало слишком поздно» — объясняет Никита Дуров, технический директор Check Point Software Technologies в России и СНГ.
Другим важным событием в мае стали новости от разработчиков программы GandCrab Ransomware-as-a-Service, которые в последний день месяца объявили о прекращении своей деятельности и попросили своих партнеров прекратить распространение вируса в течение 20 дней. Вымогатель был активен с января 2018 года, и всего за два месяца было инфицировано более 50 000 жертв. Общий доход его разработчиков и филиалов, как утверждается, составляет миллиарды долларов. Регулярно входящий в десятку самых разыскиваемых, Gandcrab часто пополнялся новыми возможностями, позволяющими обойти инструменты обнаружения.
Самое активное вредоносное ПО мая 2019
Три самых известных криптомайнера — Cryptoloot, XMRig и Jsecoin продолжают лидировать в рейтинге вредоносных программ, каждый из которых атаковал 4% организаций по всему миру.
- ↑ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
- ↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
- ↑ Jsecoin — JavaScript-майнер, который может запускать майнинг прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.
Самые активные мобильные угрозы мая 2019:
- ↑ Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
- ↑ Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
- ↓ Triada — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузерах.
Самые распространенные уязвимости мая 2019
В мае исследователи отметили возвращение традиционных методов атак (вероятно, это вызвано снижением активности криптомайнеров). Методы SQL-инъекций лидируют в рейтинге угроз (49% организаций по всему миру). Раскрытие информации в веб-сервере Git Repository и уязвимость в OpenSSL TLS DTLS Heartbeat заняли второе и третье место соответственно, затронув 44% и 41% организаций во всем мире.
- ↑ SQL-инъекция (несколько способов использования) — вставка SQL-кода во входные данные от клиента к странице с использованием уязвимости в программном обеспечении приложения.
- ↑ Раскрытие информации в хранилище Git на веб-сервере. В Git Repository была обнаружена уязвимость, которая могла привести к раскрытию информации учетной записи.
- ↓ Ошибка HeartBleed в ПО OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.